Que fair avec Mcaffe? ( rootkits)
sparcate
Messages postés
87
Statut
Membre
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour, suite à un root-kits chopé par un crack, j'ai download Mcaffe Rootkit Detective1.1 Je me met alors à faire un scan ( en mode sans échèc ), Et je ne sais pas quoi cocher entre: "view hidden processes and files", " View hidden registry keys/values ", "View hooked services", "View hooked imports/exports" et "View all processes". Et je ne sais pas quoi faire des informations qui y sont présente ( il y a du Win32 ), je n'ose pas trop i toucher :s. Merci de vos infos :)
A voir également:
- Que fair avec Mcaffe? ( rootkits)
- Mcaffe virus - Accueil - Piratage
- Fair use wizard - Télécharger - Conversion & Codecs
- Rootkits download - Télécharger - Antivirus & Antimalwares
- Fair phone 6 - Guide
- Media fair pc - Télécharger - Téléchargement & Transfert
145 réponses
fais ce que je t'ai demandé ici :
http://www.commentcamarche.net/forum/affich 12891241 que fair avec mcaffe rootkits?entiere#7
http://www.commentcamarche.net/forum/affich 12891241 que fair avec mcaffe rootkits?entiere#7
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Je réutilise "Combofix" ? ou juste
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
?
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
?
Un grand merci à toi et à tes capacités en informatiques :D Sur ce je vais m'pieuter.. :s En éspèrant te revoire demain. Et encore merci de ta patience ainsi que ton aide, tu es super sympa ;)
Rapport OTL:
========== PROCESSES ==========
Process explorer.exe killed successfully!
No active process named iexplore.exe was found!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named TeaTimer.exe was found!
========== OTL ==========
========== SERVICES/DRIVERS ==========
Service\Driver 0261B deleted successfully.
Service\Driver 0261E deleted successfully.
Service\Driver aba1F deleted successfully.
Service\Driver aswSP deleted successfully.
Service\Driver cf31C deleted successfully.
Service\Driver 5af20 c261D not found.
Service\Driver 5af20 c261D not found.
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus\\"DisableMonitoring"|dword:00000000 /E : value set successfully!
========== FILES ==========
c:\windows\system32\drivers\aba1F.DAT moved successfully.
c:\windows\system32\drivers\5af20.DAT moved successfully.
Invalid time flag! [ u261E.DAT ]. Must be numerical.
c:\windows\system32\drivers\cf31C.DAT moved successfully.
c:\windows\system32\drivers\c261D.DAT moved successfully.
Invalid time flag! [ u261B.DAT ]. Must be numerical.
Invalid time flag! [ u48298C9A4D3490B9FF9AB023A9238F3.TMP ]. Must be numerical.
Invalid time flag! [ u261B.SYS ]. Must be numerical.
Invalid time flag! [ u261E.SYS ]. Must be numerical.
File\Folder c:\windows\system32\drivers\aba1F.SYS not found.
File\Folder c:\windows\system32\drivers\cf31C.SYS not found.
File\Folder c:\windows\system32\drivers\5af20.SYS not found.
c:\windows\Tasks\Norton Security Scan for utilisateur.job moved successfully.
File\Folder c:\documents and settings\utilisateur\Application Data\Dealio not found.
========== COMMANDS ==========
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Temp folders emptied.
OTL by OldTimer - Version 2.1.1.0 log created on 06162009_070357
Files moved on Reboot...
Registry entries deleted on Reboot...
Sur ce je pars au travail. Bonne chance.
========== PROCESSES ==========
Process explorer.exe killed successfully!
No active process named iexplore.exe was found!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named TeaTimer.exe was found!
========== OTL ==========
========== SERVICES/DRIVERS ==========
Service\Driver 0261B deleted successfully.
Service\Driver 0261E deleted successfully.
Service\Driver aba1F deleted successfully.
Service\Driver aswSP deleted successfully.
Service\Driver cf31C deleted successfully.
Service\Driver 5af20 c261D not found.
Service\Driver 5af20 c261D not found.
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus\\"DisableMonitoring"|dword:00000000 /E : value set successfully!
========== FILES ==========
c:\windows\system32\drivers\aba1F.DAT moved successfully.
c:\windows\system32\drivers\5af20.DAT moved successfully.
Invalid time flag! [ u261E.DAT ]. Must be numerical.
c:\windows\system32\drivers\cf31C.DAT moved successfully.
c:\windows\system32\drivers\c261D.DAT moved successfully.
Invalid time flag! [ u261B.DAT ]. Must be numerical.
Invalid time flag! [ u48298C9A4D3490B9FF9AB023A9238F3.TMP ]. Must be numerical.
Invalid time flag! [ u261B.SYS ]. Must be numerical.
Invalid time flag! [ u261E.SYS ]. Must be numerical.
File\Folder c:\windows\system32\drivers\aba1F.SYS not found.
File\Folder c:\windows\system32\drivers\cf31C.SYS not found.
File\Folder c:\windows\system32\drivers\5af20.SYS not found.
c:\windows\Tasks\Norton Security Scan for utilisateur.job moved successfully.
File\Folder c:\documents and settings\utilisateur\Application Data\Dealio not found.
========== COMMANDS ==========
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Temp folders emptied.
OTL by OldTimer - Version 2.1.1.0 log created on 06162009_070357
Files moved on Reboot...
Registry entries deleted on Reboot...
Sur ce je pars au travail. Bonne chance.
J'éxécute la manip' en rentrant ( vers 16h00 ) sinon je serai en retard :s Désolé. Mais merci pour ta grande aide que tu m'apporte :D Á s'soire.
Me revoila avec le rapport de SDFix :) :
http://www.cijoint.fr/cjlink.php?file=cj200906/cijkAHqqrJ.txt
http://www.cijoint.fr/cjlink.php?file=cj200906/cijkAHqqrJ.txt
Double clic sur OTL.exe pour le lancer.
Copie la liste qui se trouve en gras ci-dessous,
et colle-la dans la zone sous Customs Scans/Fixes
:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
TeaTimer.exe
:services
5af20
c261D
:OTL
:reg
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:Enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"="C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
:commands
[emptytemp]
[rebooty]
Clique sur RunFix pour lancer la suppression.
Poste le rapport.
==========
Copie la liste qui se trouve en gras ci-dessous,
et colle-la dans la zone sous Customs Scans/Fixes
:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
TeaTimer.exe
:services
5af20
c261D
:OTL
:reg
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:Enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"="C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
:commands
[emptytemp]
[rebooty]
Clique sur RunFix pour lancer la suppression.
Poste le rapport.
==========
Rapport O.T.L:
========== PROCESSES ==========
Process explorer.exe killed successfully!
No active process named iexplore.exe was found!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named TeaTimer.exe was found!
========== SERVICES/DRIVERS ==========
Service\Driver 5af20 deleted successfully.
Service\Driver c261D deleted successfully.
========== OTL ==========
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\"C:\\WINDOWS\\system32\\sessmgr.exe"|"C:\\WINDOWS\\system32\\sessmgr.exe:*:Enabled:@xpsp2res.dll,-22019" /E : value set successfully!
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\"C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"|"C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" /E : value set successfully!
========== COMMANDS ==========
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Temp folders emptied.
Error: Unable to interpret <[rebooty]> in the current context!
OTL by OldTimer - Version 2.1.1.0 log created on 06162009_170442
========== PROCESSES ==========
Process explorer.exe killed successfully!
No active process named iexplore.exe was found!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named TeaTimer.exe was found!
========== SERVICES/DRIVERS ==========
Service\Driver 5af20 deleted successfully.
Service\Driver c261D deleted successfully.
========== OTL ==========
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\"C:\\WINDOWS\\system32\\sessmgr.exe"|"C:\\WINDOWS\\system32\\sessmgr.exe:*:Enabled:@xpsp2res.dll,-22019" /E : value set successfully!
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\"C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"|"C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" /E : value set successfully!
========== COMMANDS ==========
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Temp folders emptied.
Error: Unable to interpret <[rebooty]> in the current context!
OTL by OldTimer - Version 2.1.1.0 log created on 06162009_170442
Fichier analysé
Statut
C:\Program Files\Steam\steamapps\firecommando\counter-strike source\cstrike\proofens.exe
Infecté par: Trojan.Generic.1777677
C:\Program Files\Steam\steamapps\firecommando\counter-strike source\cstrike\proofens.exe
Supprimé
C:\System Volume Information\_restore{0C010BC7-13DB-41B1-9115-B66B2E59E625}\RP132\A0019567.exe
Infecté par: Gen:Trojan.Heur.0732534675
C:\System Volume Information\_restore{0C010BC7-13DB-41B1-9115-B66B2E59E625}\RP132\A0019567.exe
Echec de la désinfection
C:\System Volume Information\_restore{0C010BC7-13DB-41B1-9115-B66B2E59E625}\RP132\A0019567.exe
Supprimé
C:\System Volume Information\_restore{0C010BC7-13DB-41B1-9115-B66B2E59E625}\RP199\A0037297.exe
Infecté par: Trojan.Generic.1777677
C:\System Volume Information\_restore{0C010BC7-13DB-41B1-9115-B66B2E59E625}\RP199\A0037297.exe
Supprimé
Statut
C:\Program Files\Steam\steamapps\firecommando\counter-strike source\cstrike\proofens.exe
Infecté par: Trojan.Generic.1777677
C:\Program Files\Steam\steamapps\firecommando\counter-strike source\cstrike\proofens.exe
Supprimé
C:\System Volume Information\_restore{0C010BC7-13DB-41B1-9115-B66B2E59E625}\RP132\A0019567.exe
Infecté par: Gen:Trojan.Heur.0732534675
C:\System Volume Information\_restore{0C010BC7-13DB-41B1-9115-B66B2E59E625}\RP132\A0019567.exe
Echec de la désinfection
C:\System Volume Information\_restore{0C010BC7-13DB-41B1-9115-B66B2E59E625}\RP132\A0019567.exe
Supprimé
C:\System Volume Information\_restore{0C010BC7-13DB-41B1-9115-B66B2E59E625}\RP199\A0037297.exe
Infecté par: Trojan.Generic.1777677
C:\System Volume Information\_restore{0C010BC7-13DB-41B1-9115-B66B2E59E625}\RP199\A0037297.exe
Supprimé
Télécharge Superantispyware (SAS)
Choisis "enregistrer" et enregistre-le sur ton bureau.
Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.
Créé une icône sur le bureau.
Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.
- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
- Sous Configuration and Preferences, clique sur le bouton "Preferences"
- Clique sur l'onglet "Scanning Control "
- Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :
Close browsers before scanning
Scan for tracking cookies
Terminate memory threats before quarantining
- Laisse les autres lignes décochées.
- Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.
- Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".
Dans la colonne de gauche, coche C:\Fixed Drive.
Dans la colonne de droite, sous "Complete scan", clique sur "Perform Complete Scan"
Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.
A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.
Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".
Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.
Pour recopier les informations sur le forum, fais ceci :
- après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
- Clique sur "Preferences" puis sur l'onglet "Statistics/Logs ".
- Dans "scanners logs", double-clique sur SUPERAntiSpyware Scan Log.
- Le rapport va s'ouvrir dans ton éditeur de texte par défaut.
- Copie son contenu dans ta réponse.
Regarde bien le tuto SUPERAntiSpyware il est très bien expliqué.
Choisis "enregistrer" et enregistre-le sur ton bureau.
Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.
Créé une icône sur le bureau.
Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.
- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
- Sous Configuration and Preferences, clique sur le bouton "Preferences"
- Clique sur l'onglet "Scanning Control "
- Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :
Close browsers before scanning
Scan for tracking cookies
Terminate memory threats before quarantining
- Laisse les autres lignes décochées.
- Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.
- Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".
Dans la colonne de gauche, coche C:\Fixed Drive.
Dans la colonne de droite, sous "Complete scan", clique sur "Perform Complete Scan"
Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.
A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.
Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".
Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.
Pour recopier les informations sur le forum, fais ceci :
- après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
- Clique sur "Preferences" puis sur l'onglet "Statistics/Logs ".
- Dans "scanners logs", double-clique sur SUPERAntiSpyware Scan Log.
- Le rapport va s'ouvrir dans ton éditeur de texte par défaut.
- Copie son contenu dans ta réponse.
Regarde bien le tuto SUPERAntiSpyware il est très bien expliqué.
