Rootkit

Question

Bonjour, 



Tout à l'heure, j'ai fait un scan avec Malware-bytes avec qui s'est terminé avec aucun élément nuisible détecté. Cependant, 20 secondes après avoir fermé Malware-bytes Avast s'est réveillé et m'a dit qu'il  avait trouvé un rootkit: Mbam rootkit (un truc comme ça) alors que je ne scannais même pas avec Avast.

Que s'est il passé ? C'est la première fois ?

g3n-h@ckm@n · Answer

salut possible plus de precisions sur le nom ?

kalimusic · Answer

Bonjour,

Le fichier a été mis en quarantaine ?
Ouvre Avast! > Maintenance > Zone de quarantaine  
Tu vas retrouver le nom exact du fichier et son emplacement, donne moi ces informations stp.

A +

jacques · Answer

Merci de m'avoir répondu.

 Il n' y a rien dans la zone de quarantaine mais j'ai refait un scan complet avec Malwarebytes et à la fin du scan Avast a encore détecté ça : SVC:MBAM Rootkit:

C'est un faux positif non ?

Merci d'avance.

kalimusic · Answer

Effectivement, cela ressemble à un faux positif. 

Peu de cas pour l'instant mais tu n'es pas seul : https://www.clubedohardware.com.br/topic/933511-svc-mbam-rootkit/ 

En fait Avast! détecte le service comme un rootkit 
Tu possèdes les versions gratuites ou payantes ? 

A +  

«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

jacques · Answer

Je possède les versions gratuites,pourquoi?Mais c'est sûr que je ne suis pas infecté ?

Merci d'avance.

kalimusic · Answer

Je cherche d'où provenir le conflit. La version payante de malwarebytes possède un module résident alors je pose la question.
Il y a eu un peu le même type de problème avec Ccleaner en février dernier : https://forum.avast.com/index.php?topic=92631.0
Donc pas d'inquiétude.

A +

jacques · Answer

D'accord Merci de ton aide, tu me tiens au courant.Je peux continuer à surfer normalement (facebook,...) ou j'attends que ce soit résolu ?

kalimusic · Answer

Concernant Avast! :
Quelle est ta version du programme
Numéro de base de donnée virale

A +

jacques · Answer

Version du programme: 7.0.1426
VPS: 120407

Merci

kalimusic · Answer

re,

Il faudrait avoir le nom du fichier détecté pour l'envoyer à Avast!
Il te propose de le mettre en quarantaine en fin de scan ou pas ?

A +

jacques · Answer

Re, 

Non il me le demande de le supprimer ou de l'ignorer, mais là je n'ai plus cette alerte, bizarre.

kalimusic · Answer

Avast! a fait une mise à jour entre temps ?

jacques · Answer

Non mais je crois que avec Avast 7, on peut reçevoir les mises à jours en temps réel, c'estpeut-être ça.

kalimusic · Answer

Ce qui est étrange, c'est qu'aucun fichier n'était désigné seulement le service.
Tiens nous au courant, fait une copie écran si l'alerte revient.

A +

jacques · Answer

Salut,

J'ai  a nouveau eu un message maintenant et j'ai pris un screen où puis-je héberger l'image ?

juju666 · Answer

Salut, 

Sur casimages.com par exemple :) 
 .::. Contributeur Sécurité .::.

kalimusic · Answer

Bonjour,

merci juju ;)

@ jacques
poste le screen et regarde si dans le journal des évènements, tu as des informations sur cette alerte.

A +

jacques7593 · Answer

Lien du screen:   

https://www.casimages.com/i/120415072115370272.png.html

Comment je fais pour accéder au journal d'évenements ?

Merci d'avance.

kalimusic · Answer

Tu l'as mis en quarantaine ?

jacques7593 · Answer

je peux pas je peux juste supprimer et redémarrer mais ça fait rien.

kalimusic · Answer

ok, regarde dans Protection résidente > Agent des fichiers > Afficher le fichier de rapport 

Contient il cette alerte ?

A +

jacques7593 · Answer

Non il n'y a  pas l'alerte.

Merci d'avance.

kalimusic · Answer

C'était pendant un scan de Avast! ou de MBAM ?
Si tu as une autre alerte, clique sur Avancé pour voir ce qu'il propose.
Je pense toujours à un faux positif.

Télécharge aswMBR sur ton Bureau.

&#x25CF; Lance  aswMBR.exe
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Refuse la demande de mise à jour
&#x25CF; Clique sur le bouton Scan
&#x25CF; Patiente pendant l'analyse
&#x25CF; Clique sur Save log 
&#x25CF; Enregistre le rapport sur le Bureau. 
&#x25CF; Copie/colle le rapport dans ton prochain message.

A +

jacques7593 · Answer

Salut,

Impossible de finir l'analyse, il bloque à visual tool applications même en mode sans échec.J'ai réussi à sauvegarder le début en mode sans échec mais le rapport n'est pas le même:

aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-04-15 20:53:34
-----------------------------
20:53:34.296    OS Version: Windows 6.1.7600 
20:53:34.296    Number of processors: 2 586 0x603
20:53:34.296    ComputerName: Jacques  UserName: Jacques
20:53:35.390    Initialize success
20:53:36.015    AVAST engine defs: 12041501
20:53:37.765    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\0000005c
20:53:37.765    Disk 0 Vendor: WDC_WD32 01.0 Size: 305245MB BusType: 3
20:53:37.765    Disk 0 MBR read successfully
20:53:37.781    Disk 0 MBR scan
20:53:38.140    Disk 0 Windows 7 default MBR code
20:53:38.156    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS          100 MB offset 2048
20:53:38.484    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS       305143 MB offset 206848
20:53:38.531    Disk 0 scanning sectors +625139712
20:53:38.890    Disk 0 scanning C:\Windows\system32\drivers
20:53:50.750    Service scanning
20:54:05.062    Modules scanning
20:54:08.843    Module: C:\Windows\System32\user32.dll  **SUSPICIOUS**
20:54:09.890    Disk 0 trace - called modules:
20:54:09.921    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll storport.sys nvstor.sys 
20:54:09.921    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x853be398]
20:54:09.937    3 CLASSPNP.SYS[8a2b459e] -> nt!IofCallDriver -> [0x85081ab8]
20:54:09.937    5 ACPI.sys[89b723b2] -> nt!IofCallDriver -> \Device\0000005c[0x851c3c00]
20:54:10.843    AVAST engine scan C:\Windows
20:54:12.640    AVAST engine scan C:\Windows\system32
20:55:29.140    Disk 0 MBR has been saved successfully to "C:\Users\mehdi\Desktop\MBR.dat"
20:55:29.156    The log file has been saved successfully to "C:\Users\mehdi\Desktop\aswMBR.

Le rapport n'était pas le même en mode sans échec et en normal.

Dernière chose: En mode sans échec j'ai un bluescreen pendant le scan appramment causé par ntkrnlpa.exe, est-ce que ça a pu endommagé l'ordinateur ? (merci de me répondre à la dernière question, c'est super important, c'est pas mon ordi).

Merci d'avance.

kalimusic · Answer

Non, aucun soucis pour ton système.
Aucune action n'a été effectuée, c'est juste un scan.

Analyse le fichier => C:\Windows\System32\user32.dll sur le site https://www.virustotal.com/gui/
Si un message te dit que le fichier à déjà été analysé, ré-analyse le
Copie-colle l'url affichée dans la barre d'adresse dans ta réponse.
tuto : Analyser un fichier avec VirusTotal

A +

jacques7593 · Answer

Analyse Virus total: 0/42 

Pour revenir sur le bluescreen, t'es bien sûr parce'que une fois j'avais fait un scan avec drweb puis ensuite blue screen à répétition ?

Merci d'avance.

kalimusic · Answer

Si tu parles de DrWeb cure-it, c'est un antivirus portable, il scanne, supprime et désinfecte, il a une action sur le système.

aswMBR n'a fait que lire certaines informations.

Par contre c'est le signe que tout ne tourne pas rond, il faudrait vérifier l'intégrité des fichiers système : http://www.chantal11.com/2010/09/verifier-reparer-fichiers-systeme-sfc-scannow-console-winre-windows-7-vist/

A +

jacques7593 · Answer

Oui je parlais de DrWeb.

De quoi qui tourne pas rond pour le blue screen , aswMBR qui se finit pas ou user32.dll ?
Es-tu penses que pour MBAM c'est un faux positif ?

Merci d'avance.

kalimusic · Answer

Le bsod peut être aussi du à un driver qui n'a pas aimé l'outil.
Vérifie l'intégrité des fichiers, ça ne coute rien.

Oui, je pense depuis le début à un fp, j'ai posé à la question sur le forum d'Avast! avec les éléments que tu m'as fournis. J'attends leur réponse.

jacques7593 · Answer

Bah c'est ce que je pensais aussi car j'ai jamais de bsod sauf pendant le scan , c'est pour ça je vous ai demandé si ça allait avoir des conséquences.
Je le ferai et je vous dirai.

Merci d'avance.

Rootkit

30 réponses

Votre réponse

Discussions similaires

Newsletters