RookitRevealer & embedded nulls

[Isoris]

J'ai essayé "RootkitRevealer" et il m'a détecté 16 lignes du registre HKLM/SOFTWARE avec des "nulls embedded".

Par les dates de création de ces lignes je peux en déduire avec une bonne chance:

- 1 groupe de 12 lignes créées par Pinnacle studio ou Pixie utilisé pour l'installation.

- 1 ligne créée par O&O Defrag (confirmé après suppression du caractère null)

- 1 groupe de 3 lignes d'origine incertaine.

Ceci est peut être sans influence mais par principe et par jeu j'ai remplacé ces "nulls" par des "blancs" en utilisant un éditeur hexadécimal puisque Regedit s'arrête sur le null ( Attention, j'avais et j'ai toujours un backup du registre pour pallier à tout ennui qui pourrait survenir.)

Par la suite RootKitRevealer n'a plus rien détecté et le fonctionnement de mon PC et des logiciels ci dessus n'en a pas été altéré à ma connaissance.

Et maintenant Regedit montre bien sûr la totalité de ces lignes de registre ce qui me paraît plus correct comme façon de faire.

 

Qu'en pensez vous ? Je garde mes lignes découvertes ?

 

 

Isoris.

[Isoris]

J'ai fait "vite & mal"...

 

Bonjour à tous d'abord.... et merci de m'accueillir.

[Thanos]

Salut Isoris et bienvenue

 

J'ai fait "vite & mal"...

Ca fais flipper Explique nous ce qui ne fonctionne plus! Il faut se méfier avec l'interprétation de

 

RootkitRevealer! J'espère qu'il n'y a pas trop de dégats dans la bdr

 

Si on peux t'aider,n'hésite pas à poster un log hijackthis en suivant la procédure:

 

http://forum.zebulon.fr/index.php?showtopic=69176

[Isoris]

Bonjour,

Je me suis mal exprimé. "Vite & mal" c'est pour mon oubli de vous saluer à mon arrivée sur le forum.

 

Non tout va très bien à priori sur mon PC et le log HijackThis reste vierge (l'habituel étant dans l'ignorelist).

 

Ce que je voudrais savoir:

- Est ce que je peux prendre le risque de maintenir "dévoilé" ce qui était caché ? Si quelqu'un a fait la manip avant moi, il doit le savoir maintenant.

 

- J'aimerais aussi savoir qui a déposé le groupe de 3 pour pouvoir vérifier s'il a un impact:

Il s'agit de:

HKLM\SOFTWARE\Classes\CLSID\{1D0D1DBE-D81F-D306-5437E45696154CEE}\{BB3F4491-C2FA-99A3-3FB31108844B020A}\{37E50F9E-362C-792E-57F19660836F5A8C}* 16/03/2005 16:53 0 bytes Key name contains embedded nulls (*)

HKLM\SOFTWARE\Classes\CLSID\{3024A848-7C77-6F90-8B14B36A94BB61F2}\{6CDD5654-07A8-13D8-C2EB636328E10F29}\{AF593ADC-BF32-7E11-B704756686EE805B}* 16/03/2005 16:53 0 bytes Key name contains embedded nulls (*)

HKLM\SOFTWARE\Classes\CLSID\{EA0A4278-51A3-7709-84DDEF02950ADF94}\{11936336-4B9A-79DD-A94F2AD208D83E94}\{0A7B61F5-80AE-3EB6-867F93DE000E0517}* 16/03/2005 16:53 0 bytes Key name contains embedded nulls (*)

 

qui sont devenus après remplacement du "Null" par un "Blanc":

[HKEY_CLASSES_ROOT\CLSID\{1D0D1DBE-D81F-D306-5437E45696154CEE}\{BB3F4491-C2FA-99A3-3FB31108844B020A}\{37E50F9E-362C-792E-57F19660836F5A8C} ]

"N3ON3SCQTOHKQM23SBHY163HKH1"=hex:01,00,01,00,00,00,00,00,fa,de,c6,7c,16,d0,d3,\

6d,35,81,92,71,e8,29,5a,84,14,35,16,70,d8,6e,ff,61

 

[HKEY_CLASSES_ROOT\CLSID\{3024A848-7C77-6F90-8B14B36A94BB61F2}\{6CDD5654-07A8-13D8-C2EB636328E10F29}\{AF593ADC-BF32-7E11-B704756686EE805B} ]

"N3ON3SCQTOHKQM23SBHY163HKH1"=hex:01,00,01,00,00,00,00,00,fa,de,c6,7c,16,d0,d3,\

6d,35,81,92,71,e8,29,5a,84,14,35,16,70,d8,6e,ff,61

 

[HKEY_CLASSES_ROOT\CLSID\{EA0A4278-51A3-7709-84DDEF02950ADF94}\{11936336-4B9A-79DD-A94F2AD208D83E94}\{0A7B61F5-80AE-3EB6-867F93DE000E0517} ]

"N3ON3SCQTOHKQM23SBHY163HKH1"=hex:01,00,01,00,00,00,00,00,fa,de,c6,7c,16,d0,d3,\

6d,35,81,92,71,e8,29,5a,84,14,35,16,70,d8,6e,ff,61

 

on a donc 3 fois les mêmes valeurs inscrites ici. Par qui ?

 

Voilà pour le moment. Bon week-end à tous.

 

Isoris.

[Isoris]

Bonjour,

 

Ca y est j'ai trouvé qui m'a positionné ces 3 valeurs: c'est SYSTRAN.

 

donc en résumé Pinnacle Studio (12valeurs), Systran (3 valeurs) & O&O defrag (1 valeur) ont désiré cacher des données dans MA base de registre en insérant un caractère null ce qui empêche regedit de l'éditer.

 

En remplaçant ce "null" par un "blanc" on récupère l'accès par Regedit et là on en fait ce qu'on veut bien sûr.

En laissant ces lignes "dévoilées" les logiciels considérés ne semblent pas voir la différence.

Pour celui qui a installé ces logiciels en essai et qui ne les a plus c'est un bon moyen pour effacer ces lignes devenues superflues.

 

Un autre moyen pour dévoiler ces clefs, que j'ai trouvé plus risqué, aurait été de diminuer de 1 l'information en hexa de la taille de la chaîne de caractères pour éviter de lire le dernier caractère (ici le nul). Le "blanc" m'a paru plus facile à installer sans erreur et ensuite il est toujours possible d'exporter la clef, de l'effacer et de la réimporter pour que le "blanc" ne soit plus présent ( ce que je n'ai pas encore fait d'ailleurs).

 

Je vous tiens au courant si des problèmes apparaissent sur ces logiciels par la suite.

 

 

Isoris.

[Isoris]

J'ai un peu de constatations supplémentaires:

 

Pour les lignes de Systran et O&O Defrag, il semble qu'on puisse les supprimer sans impact visible ( Peut être utiles pendant la période d'essai de ces logiciels ?).

 

Par contre pour Pinnacle Studio si on les efface ou si simplement on élimine le caractère nul, à la première utilisation ces 12 lignes sont recréées. Si les caractère nuls sont remplacés par des blancs les lignes sont donc visibles (sous Regedit par exemple) et elles semblent reconnues de la même façon qu'avec leurs nuls.

 

Je reste en fonctionnement sous ces conditions et vous tiens au courant au cas où ça intéresse quelqu'un.

 

A bientôt si quelque chose change.

 

Isoris.