[Résolu] Rootkits découverts suite à analyse AVG

[byves]

Bonsoir,

 

. AVG Viens me Découvrir DE 7 rootkits Qui n'ont Unité centrale Vous Prépare de Être Voir liste ci-Dessous:

 

C: \ Windows \ System32 \ Drivers \ spyv.sys Boucle incluse Ataport.sys DllUnload -> spyv.sys 0 x5E360 C: \ Windows \ System32 \ Drivers \ spyv.sys pci.sys, importation fr boucle ntoskrnl.exe IoAttachDeviceToDeviceStack -> spyv.sys +0 x62650 C: \ Windows \ System32 \ Drivers \ spyv.sys pci.sys, l'importation fr boucle ntoskrnl.exe IoDetachDevice -> spyv.sys 0 x625DC C: \ Windows \ System32 \ Drivers \ spyv.sys ATAPI. système, l'importation en Ataport.sys bouclette AtaPortReadPortBufferUshort -> spyv.sys 0 x2D35C C: \ Windows \ System32 \ drivers \ spyv.sys atapi.sys, l'importation en Ataport.sys bouclette AtaPortReadPortUchar -> spyv.sys 0 x2D224 C: \ Windows \ System32 \ Drivers \ spyv.sys atapi.sys, l'importation en Ataport.sys bouclette AtaPortWritePortUchar -> spyv.sys 0 x2DA24 C: \ Windows \ System32 \ Drivers \ spyv.sys atapi.sys, l ' importation en boucle Ataport.sys AtaPortWritePortBufferUshort -> spyv.sys 0 x2DBA0

 

Commentaire PUIS-je m'en débarrasser?

 

Cordialement

Modifié le 31 mars 2014 par byves

[pear]

Bonsoir,

 

Important:
*- Si vous utilisez Malwarebytes Anti-Malware PRO, il faut le désinstaller et faire redémarrer le PC, avant d'installer la version 2.0
Mais les licences "à vie" de la version 1.x seront reportées sur la version 2.x.


Téléchargez Malwarebytes Anti-Malware et enregistrez-le sur le Bureau.
Faites un double clic sur mbam-setup-2.0.0.1000.exe et suivez les invites pour installer le programme.
Cliquer Setting pour le mettre en Français
vérifiez que cette cases Lancer Malwarebytes Anti-Malware est bien cochée.
Un essai gratuit de 14 jours des fonctions de la version Premium(payante) est pré-sélectionné, décochez le.
Cela ne diminuera pas les capacités d'analyse et de suppression du programme.
Cliquez sur Terminer.



Dans l'onglet Paramètres > Sous-onglet Détection et Protection, Options de détection, cochez la case située devant Recherche de Rootkits
Sur le Tableau de bord, cliquez sur le lien Mettre à jour .
Si , par la suite, vos bases de données sont obsolètes vous en serez averti et invtié à Corriger maintenant.

Après la mise à jour,Connecter les supports amovibles (USB) et cliquer sur Examen-> Examen personnalisé
Cochez tout
cliquez sur le bouton Examiner maintenant .

Si des élémentss ont détectés, cliquez sur Appliquer les actions pour que MBAM nettoye ce qu'il a détecté.
Dans la plupart des cas, un redémarrage sera nécessaire.
Attendez l'affichage du message vous invitant à faire redémarrer le PC, puis cliquez sur Oui

(Copier dans le Presse-papiers pour coller dans une réponse sur le forum)
Après le redémarrage, quand vous êtes de retour sur le Bureau, ouvrez de nouveau MBAM.
Cliquez sur l'onglet Historique > Journaux de l'application.
Faites un double clic sur le Journal d'examen dont les date et heure correspondent à l'analyse qui vient d'être effectuée.
Cliquez sur Afficher puis Copier dans le Presse-papiers
Collez le contenu du Presse-papiers dans votre prochaine réponse.

[byves]

OK pear, merci,

 

Nouvelle versdion MBAM Pro téléchargée et installée, analyse en cours.

Résultats:

 

Malwarebytes Anti-Malware

www.malwarebytes.org

Date de l'examen: 30/03/2014

Heure de l'examen: 19:36:33

Fichier journal:

Administrateur: Oui

Version: 2.00.0.1000

Base de données Malveillants: v2014.03.30.04

Base de données Rootkits: v2014.03.27.01

Licence: Premium

Protection contre les malveillants: Activé(e)

Protection contre les sites Web malveillants: Activé(e)

Chameleon: Désactivé(e)

Système d'exploitation: Windows 7 Service Pack 1

Processeur: x64

Système de fichiers: NTFS

Utilisateur: Byves64

Type d'examen: Examen "Menaces"

Résultat: Terminé

Objets analysés: 245021

Temps écoulé: 4 min, 56 sec

Mémoire: Activé(e)

Démarrage: Activé(e)

Système de fichiers: Activé(e)

Archives: Activé(e)

Rootkits: Désactivé(e)

Shuriken: Activé(e)

PUP: Activé(e)

PUM: Activé(e)

Processus: 0

(No malicious items detected)

Modules: 0

(No malicious items detected)

Clés du Registre: 0

(No malicious items detected)

Valeurs du Registre: 0

(No malicious items detected)

Données du Registre: 0

(No malicious items detected)

Dossiers: 2

PUP.Optional.OpenCandy, C:\Users\Byves64\AppData\Roaming\OpenCandy, , [5b11ca3fea91a195dc150946ee14e41c],

PUP.Optional.OpenCandy, C:\Users\Byves64\AppData\Roaming\OpenCandy\87560BAD1C4C4919B9E89FE9DC945F32, , [5b11ca3fea91a195dc150946ee14e41c],

Fichiers: 1

PUP.Optional.Amonetize, C:\Users\Byves64\AppData\Roaming\OpenCandy\87560BAD1C4C4919B9E89FE9DC945F32\WS_p4v2_2CB2.exe, , [4c20bf4a7dfeeb4bc5e104dda45fff01],

Secteurs physiques: 0

(No malicious items detected)

(end)

 

Je vais faire une nouvelle analyse car j'avais activé la recherche de rootkits alors que j'avais déjà lancé l'analyse.

 

Bonne soirée.

[byves]

Voici le résultat après redémarrage et nouvelle analyse:

 

Malwarebytes Anti-Malware

www.malwarebytes.org

Date de l'examen: 30/03/2014

Heure de l'examen: 19:53:35

Fichier journal:

Administrateur: Oui

Version: 2.00.0.1000

Base de données Malveillants: v2014.03.30.04

Base de données Rootkits: v2014.03.27.01

Licence: Premium

Protection contre les malveillants: Activé(e)

Protection contre les sites Web malveillants: Activé(e)

Chameleon: Désactivé(e)

Système d'exploitation: Windows 7 Service Pack 1

Processeur: x64

Système de fichiers: NTFS

Utilisateur: Byves64

Type d'examen: Examen "Menaces"

Résultat: Terminé

Objets analysés: 244979

Temps écoulé: 7 min, 16 sec

Mémoire: Activé(e)

Démarrage: Activé(e)

Système de fichiers: Activé(e)

Archives: Activé(e)

Rootkits: Activé(e)

Examen approfondi Rootkits: Activé(e)

Shuriken: Activé(e)

PUP: Activé(e)

PUM: Activé(e)

Processus: 0

(No malicious items detected)

Modules: 0

(No malicious items detected)

Clés du Registre: 0

(No malicious items detected)

Valeurs du Registre: 0

(No malicious items detected)

Données du Registre: 0

(No malicious items detected)

Dossiers: 0

(No malicious items detected)

Fichiers: 0

(No malicious items detected)

Secteurs physiques: 0

(No malicious items detected)

(end)

Merci et bonne soirée

[pear]

ICa semble propre.

Autre chose ?

[byves]

Bonjour pear,

 

Nouvelles analyses ce matin 31/03, bizarreries:

 

Selon AVG, 5 Rootkits non réparables.

Selon MBAM, aucun élément malveillant détecté.

 

Qui a tort, qui a raison?

[pear]

Postez le rapport Avg pour que l'on puisse voir ce qu'il trouve.

[byves]

Voici le rapport AVG: http://cjoint.com/?DCFlovRbLV0

[pear]

Recherche de Rootkit
Télécharger SysProtsur le bureau
Installez le et double cliquez sur "SysProt.exe"
Cliquez sur l'onglet "log" ;
Cochez toutes les cases présentes dans la fenêtre "Write to log" ;
Cochez Hidden Objects Only (au bas, à gauche)
Les "Objets cachés (Hidden)" sont en Rouge dans tous les modules
Cliquez sur Create log (au bas, à droite)
Une nouvelle fenêtre apparaîtra : cochez Scan root drive et cliquez sur Start ;
Un rapport sera sauvegardé dans le dossier SysProt.
Signalez les lignes rouges, car votre rapport ne montrera pas la couleur
Copiez/collez en le contenu dans votre réponse.
[/color]

[byves]

Je verrais ça en soirée, pour l'instant, je scanne avec l'AV gratuit "House Call" de Trend Micro, j' en suis à 57% après 140 minutes de scan et pour l'instant il ne m'a découvert qu'un seul menace!

Rapport plus tard avec celui de "SysProt".

 

@+