[Résolu] Détection AVG anti-rootkit récurrente

nardino · le 20 octobre 2013

Bonsoir,

Rien de bien significatif dans ce rapport.

Testons un autre outil.

Gmer.exe sur ton bureau.

Clique sur Download EXE
Tu vas obtenir une fichier avec une suite de caractères terminée par .exe.
Tu cliques droit sur le fichier et Exécuter en tant qu'administrateur.
Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO"
Tu cliques sur l'onglet Rootkit/Malware
Tu décoches ces cases
- Sections
- Disque/Partition autre que C (dans le cadre en-dessous de Files)
- Show All
Clique sur le bouton Scan
Laisse l'outil travailler, cela peut prendre un quart d'heure.
Quand le scan sera terminé, clique sur Save...
Nomme-le ark.txt et enregistre sur le bureau

Tu l'ouves et tu postes un copier-coller dans ta réponse.

Tu supprimes les lignes en rouge s'il y en a, et seulement celles-ci.

Tu cliques droit sur la ligne et tu sélectionnes l'action appropriée : Delete File ou Delete the service selon le type dela colonne de gauche.

@+

Liberame · le 21 octobre 2013

Bonjour,

Je ne suis pas parvenu à sauvegarder après le scan (le bouton save... ne donnait rien). Aucune ligne rouge apparemment non plus. J'ai donc fait un copy et voilà ce que j'obtiens (mais je ne sais pas si c'est ce dont vous avez besoin) :

GMER 2.1.19163 - http://www.gmer.net
Rootkit scan 2013-10-21 11:55:24
Windows 6.0.6002 Service Pack 2 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 WDC_WD32 rev.11.0 298,09GB
Running: x7o3s1ox.exe; Driver: C:\Users\Gaiason\AppData\Local\Temp\kgryykod.sys

---- Kernel IAT/EAT - GMER 2.1 ----

IAT C:\Windows\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!DbgBreakPoint] [fffffa80031e0440] [unknown section]
IAT C:\Windows\system32\drivers\pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [fffffa6000a66650] \SystemRoot\System32\Drivers\spqb.sys [unknown section]
IAT C:\Windows\system32\drivers\pci.sys[ntoskrnl.exe!IoDetachDevice] [fffffa6000a665dc] \SystemRoot\System32\Drivers\spqb.sys [unknown section]
IAT C:\Windows\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUshort] [fffffa6000a312c0] \SystemRoot\System32\Drivers\spqb.sys [unknown section]
IAT C:\Windows\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort] [fffffa6000a3135c] \SystemRoot\System32\Drivers\spqb.sys [unknown section]
IAT C:\Windows\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUchar] [fffffa6000a31224] \SystemRoot\System32\Drivers\spqb.sys [unknown section]
IAT C:\Windows\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUchar] [fffffa6000a31a24] \SystemRoot\System32\Drivers\spqb.sys [unknown section]
IAT C:\Windows\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort] [fffffa6000a31ba0] \SystemRoot\System32\Drivers\spqb.sys [unknown section]
IAT C:\Windows\system32\drivers\ataport.SYS[ntoskrnl.exe!DbgBreakPoint] [fffffa800322b440] [unknown section]
IAT C:\Windows\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!DbgBreakPoint] [fffffa8005c2f440] [unknown section]

---- Devices - GMER 2.1 ----

Device \FileSystem\Ntfs \Ntfs fffffa80032392c0
Device \Driver\usbehci \Device\USBFDO-7 fffffa8005cfe2c0
Device \Driver\usbuhci \Device\USBPDO-5 fffffa8005cd92c0
Device \Driver\usbehci \Device\USBFDO-3 fffffa8005cfe2c0
Device \Driver\usbuhci \Device\USBPDO-1 fffffa8005cd92c0
Device \Driver\iScsiPrt \Device\RaidPort0 fffffa8005d762c0
Device \Driver\cdrom \Device\CdRom0 fffffa8005d5b2c0
Device \Driver\usbuhci \Device\USBPDO-6 fffffa8005cd92c0
Device \Driver\usbuhci \Device\USBFDO-4 fffffa8005cd92c0
Device \Driver\netbt \Device\NetBT_Tcpip_{7810840B-472B-4DD1-B35D-C8F0F14BBF43} fffffa80063c12c0
Device \Driver\usbuhci \Device\USBPDO-2 fffffa8005cd92c0
Device \Driver\usbuhci \Device\USBFDO-0 fffffa8005cd92c0
Device \Driver\netbt \Device\NetBT_Tcpip_{E161B2FC-9A41-4EE8-BF5C-2159F92D854E} fffffa80063c12c0
Device \Driver\usbehci \Device\USBPDO-7 fffffa8005cfe2c0
Device \Driver\usbuhci \Device\USBFDO-5 fffffa8005cd92c0
Device \Driver\usbehci \Device\USBPDO-3 fffffa8005cfe2c0
Device \Driver\usbuhci \Device\USBFDO-1 fffffa8005cd92c0
Device \Driver\volmgr \Device\HarddiskVolume1 fffffa800322f2c0
Device \Driver\volmgr \Device\FtControl fffffa800322f2c0
Device \Driver\volmgr \Device\VolMgrControl fffffa800322f2c0
Device \Driver\volmgr \Device\HarddiskVolume2 fffffa800322f2c0
Device \Driver\volmgr \Device\HarddiskVolume3 fffffa800322f2c0
Device \Driver\netbt \Device\NetBt_Wins_Export fffffa80063c12c0
Device \Driver\usbuhci \Device\USBFDO-6 fffffa8005cd92c0
Device \Driver\usbuhci \Device\USBPDO-4 fffffa8005cd92c0
Device \Driver\usbuhci \Device\USBFDO-2 fffffa8005cd92c0
Device \Driver\usbuhci \Device\USBPDO-0 fffffa8005cd92c0
Device \Driver\iScsiPrt \Device\ScsiPort1 fffffa8005d762c0
Device \Driver\Smb \Device\NetbiosSmb fffffa800638c2c0

---- Threads - GMER 2.1 ----

Thread C:\Windows\system32\wininit.exe [892:3296] 000007fefc9763b0
Thread C:\Windows\system32\svchost.exe [1412:1820] 000007fef859bd78
Thread C:\Windows\system32\svchost.exe [1412:2056] 000007fef85a6844
Thread C:\Windows\system32\svchost.exe [1412:2264] 000007fef82a7ba4
Thread C:\Windows\system32\svchost.exe [1412:2272] 000007fef82b19e0
Thread C:\Windows\system32\svchost.exe [1412:2404] 000007fef7bfb10c
Thread C:\Windows\system32\svchost.exe [1412:2608] 000007fef7889358
Thread C:\Windows\system32\svchost.exe [1412:2636] 000007fef7893820
Thread C:\Windows\system32\svchost.exe [1412:4668] 000007fef7e1d038
Thread C:\Windows\system32\svchost.exe [1412:792] 000007fef78960bc
Thread C:\Windows\system32\svchost.exe [1412:4136] 000007fef1fbaf94
Thread C:\Windows\system32\svchost.exe [1412:3104] 000007fef1fbaf94
Thread C:\Windows\system32\svchost.exe [1412:4816] 000007fef1fbaf94
Thread C:\Windows\system32\svchost.exe [1412:2232] 000007fef1fbaf94
Thread C:\Windows\system32\svchost.exe [1412:2276] 000007fef8555000
Thread C:\Windows\system32\svchost.exe [1412:4792] 000007fef7e12704
Thread C:\Windows\system32\svchost.exe [1412:2368] 000007fef7e12704
Thread C:\Windows\system32\svchost.exe [1564:2252] 000007fef852587c
Thread C:\Windows\system32\svchost.exe [1564:2292] 000007fef7e41010
Thread C:\Windows\system32\svchost.exe [1564:2296] 000007fef7e41010
Thread C:\Windows\system32\svchost.exe [1564:2304] 000007fef7c77ccc
Thread C:\Windows\system32\svchost.exe [1564:2324] 000007fef8555000
Thread C:\Windows\system32\svchost.exe [1564:2728] 000007fef7803dec
Thread C:\Windows\system32\svchost.exe [1564:2732] 000007fef8251520
Thread C:\Windows\system32\svchost.exe [1564:2740] 000007fef7935354
Thread C:\Windows\system32\svchost.exe [1564:2760] 000007fef5a07624
Thread C:\Windows\system32\svchost.exe [1564:2776] 000007fef59f2084
Thread C:\Windows\system32\svchost.exe [1564:4408] 000007fef0c576a0
Thread C:\Windows\System32\spoolsv.exe [1788:2824] 000007fef55913dc
Thread C:\Windows\System32\spoolsv.exe [1788:2828] 000007fef55912ac
Thread C:\Windows\System32\spoolsv.exe [1788:2836] 000007fef54c1c00
Thread C:\Windows\System32\spoolsv.exe [1788:2844] 000007fef54738a0
Thread C:\Windows\System32\spoolsv.exe [1788:2848] 000007fef859bd78
Thread C:\Windows\System32\spoolsv.exe [1788:2852] 000007fef859c4f8
Thread C:\Windows\System32\spoolsv.exe [1788:2856] 000007fef85a6844
Thread C:\Windows\System32\spoolsv.exe [1788:2888] 000007fef772a704
Thread C:\Windows\system32\svchost.exe [1812:2060] 000007fef9507ef4
Thread C:\Windows\system32\svchost.exe [1812:2064] 000007fef94fe984
Thread C:\Windows\system32\svchost.exe [1812:2068] 000007fef94fe984
Thread C:\Windows\system32\svchost.exe [1812:2072] 000007fef94fe984
Thread C:\Windows\system32\svchost.exe [1812:2076] 000007fef94fe984
Thread C:\Windows\system32\svchost.exe [1812:2080] 000007fef94fe984
Thread C:\Windows\system32\svchost.exe [1812:4832] 000007fef950cab8
Thread C:\Windows\system32\svchost.exe [1812:5056] 000007fef96f8a4c
Thread C:\Windows\system32\svchost.exe [1812:2036] 000007fef96f8a4c
Thread C:\Windows\system32\svchost.exe [1812:3456] 000007fef96f8a4c
Thread C:\Windows\system32\svchost.exe [1812:4068] 000007fef96f8a4c
Thread C:\Windows\system32\svchost.exe [1812:5048] 000007fef96f8a4c
Thread C:\Windows\system32\svchost.exe [1812:2704] 000007fef96f8a4c
Thread C:\Windows\system32\svchost.exe [1812:1196] 000007fef96f8a4c
Thread C:\Windows\system32\svchost.exe [1812:1240] 000007fef96f8a4c
Thread C:\Windows\system32\svchost.exe [1812:4240] 000007fef96f8a4c
Thread C:\Windows\system32\svchost.exe [1812:4644] 000007fef96f8a4c
Thread C:\Windows\SysWOW64\svchost.exe [336:944] 00000000763df36f
Thread C:\Windows\SysWOW64\svchost.exe [336:2448] 000000001000c800
Thread C:\Windows\SysWOW64\svchost.exe [336:2456] 000000003af0fd60
Thread C:\Windows\SysWOW64\svchost.exe [336:3524] 00000000763df36f
Thread C:\Windows\SysWOW64\svchost.exe [336:3724] 0000000072b517ae
Thread C:\Windows\SysWOW64\svchost.exe [336:4732] 00000000755177c6
Thread C:\Windows\system32\svchost.exe [2220:2308] 000007fef859bd78
Thread C:\Windows\system32\svchost.exe [2220:2444] 000007fef859c4f8
Thread C:\Windows\system32\svchost.exe [2220:2452] 000007fef85a6844
Thread C:\Program Files\Windows Media Player\wmpnetwk.exe [4428:4516] 000007fefa99b8ec
Thread C:\Program Files\Windows Media Player\wmpnetwk.exe [4428:4540] 000007feeaf11d80
Thread C:\Program Files\Windows Media Player\wmpnetwk.exe [4428:4724] 000007fef8555000
Thread C:\Program Files\Windows Media Player\wmpnetwk.exe [4428:3040] 000007feeae69a50

---- Registry - GMER 2.1 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xCE 0xBB 0x3E 0xCE ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xCE 0xBB 0x3E 0xCE ...

---- EOF - GMER 2.1 ----

Merci pour votre aide.

nardino · le 21 octobre 2013

Bonjour,

Aucun des outils spécialisés dans la détection de rootkits ne trouve quelque chose.

Il doit exister une procédure pour signaler un faux-positif à AVG.

Regarde dans les paramètres de ton antivirus.

@+

Liberame · le 21 octobre 2013

Je n'ai donc pas de criante à avoir quant à d'éventuelles menaces pesant sur mon système?

Si c'est bien le cas, merci beaucoup de m'avoir permis de le déterminer.

Au revoir.

Liberame · le 21 octobre 2013

Un passage à la version 2014 d'AVG a confirmé l'hypothèse du faux-positif puisque l'anti-rootkit ne signale plus aucune menace. Je suis désolé de vous avoir pris de votre temps pour ce qui ne nécessitait finalement qu'une mise à jour. A ma décharge, je croyais être parfaitement à jour étant donné que je paie ma version d'AVG et que la MAJ se fait quotidiennement... Le changement de version demandait d'aller faire un tour sur le site.

Désolé et encore merci!

Modifié le 21 octobre 2013 par Liberame

nardino · le 21 octobre 2013

Bonsoir,

Tu n'as pas à t'excuser.

Heureux pour toi que cela soit résolu.

N'oublie pas de passer le sujet en résolu.

Connexion

Pas encore inscrit ?

[Résolu] Détection AVG anti-rootkit récurrente

Messages recommandés

nardino

Liberame

nardino

Liberame

Liberame

nardino

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer