Rootkit
jacques
-
lilidurhone Messages postés 48926 Date d'inscription Statut Contributeur sécurité Dernière intervention -
lilidurhone Messages postés 48926 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
Tout à l'heure, j'ai fait un scan avec Malware-bytes avec qui s'est terminé avec aucun élément nuisible détecté. Cependant, 20 secondes après avoir fermé Malware-bytes Avast s'est réveillé et m'a dit qu'il avait trouvé un rootkit: Mbam rootkit (un truc comme ça) alors que je ne scannais même pas avec Avast.
Que s'est il passé ? C'est la première fois ?
Tout à l'heure, j'ai fait un scan avec Malware-bytes avec qui s'est terminé avec aucun élément nuisible détecté. Cependant, 20 secondes après avoir fermé Malware-bytes Avast s'est réveillé et m'a dit qu'il avait trouvé un rootkit: Mbam rootkit (un truc comme ça) alors que je ne scannais même pas avec Avast.
Que s'est il passé ? C'est la première fois ?
A voir également:
- Rootkit
- Rootkit - Télécharger - Antivirus & Antimalwares
- Rootkit hunter - Télécharger - Antivirus & Antimalwares
- Sophos anti rootkit - Télécharger - Antivirus & Antimalwares
- Avg anti rootkit - Télécharger - Antivirus & Antimalwares
- Panda anti-rootkit - Télécharger - Antivirus & Antimalwares
30 réponses
ok, regarde dans Protection résidente > Agent des fichiers > Afficher le fichier de rapport
Contient il cette alerte ?
A +
Contient il cette alerte ?
A +
C'était pendant un scan de Avast! ou de MBAM ?
Si tu as une autre alerte, clique sur Avancé pour voir ce qu'il propose.
Je pense toujours à un faux positif.
Télécharge aswMBR sur ton Bureau.
● Lance aswMBR.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Refuse la demande de mise à jour
● Clique sur le bouton Scan
● Patiente pendant l'analyse
● Clique sur Save log
● Enregistre le rapport sur le Bureau.
● Copie/colle le rapport dans ton prochain message.
A +
Si tu as une autre alerte, clique sur Avancé pour voir ce qu'il propose.
Je pense toujours à un faux positif.
Télécharge aswMBR sur ton Bureau.
● Lance aswMBR.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Refuse la demande de mise à jour
● Clique sur le bouton Scan
● Patiente pendant l'analyse
● Clique sur Save log
● Enregistre le rapport sur le Bureau.
● Copie/colle le rapport dans ton prochain message.
A +
Salut,
Impossible de finir l'analyse, il bloque à visual tool applications même en mode sans échec.J'ai réussi à sauvegarder le début en mode sans échec mais le rapport n'est pas le même:
aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-04-15 20:53:34
-----------------------------
20:53:34.296 OS Version: Windows 6.1.7600
20:53:34.296 Number of processors: 2 586 0x603
20:53:34.296 ComputerName: Jacques UserName: Jacques
20:53:35.390 Initialize success
20:53:36.015 AVAST engine defs: 12041501
20:53:37.765 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\0000005c
20:53:37.765 Disk 0 Vendor: WDC_WD32 01.0 Size: 305245MB BusType: 3
20:53:37.765 Disk 0 MBR read successfully
20:53:37.781 Disk 0 MBR scan
20:53:38.140 Disk 0 Windows 7 default MBR code
20:53:38.156 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 100 MB offset 2048
20:53:38.484 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 305143 MB offset 206848
20:53:38.531 Disk 0 scanning sectors +625139712
20:53:38.890 Disk 0 scanning C:\Windows\system32\drivers
20:53:50.750 Service scanning
20:54:05.062 Modules scanning
20:54:08.843 Module: C:\Windows\System32\user32.dll **SUSPICIOUS**
20:54:09.890 Disk 0 trace - called modules:
20:54:09.921 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll storport.sys nvstor.sys
20:54:09.921 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x853be398]
20:54:09.937 3 CLASSPNP.SYS[8a2b459e] -> nt!IofCallDriver -> [0x85081ab8]
20:54:09.937 5 ACPI.sys[89b723b2] -> nt!IofCallDriver -> \Device\0000005c[0x851c3c00]
20:54:10.843 AVAST engine scan C:\Windows
20:54:12.640 AVAST engine scan C:\Windows\system32
20:55:29.140 Disk 0 MBR has been saved successfully to "C:\Users\mehdi\Desktop\MBR.dat"
20:55:29.156 The log file has been saved successfully to "C:\Users\mehdi\Desktop\aswMBR.
Le rapport n'était pas le même en mode sans échec et en normal.
Dernière chose: En mode sans échec j'ai un bluescreen pendant le scan appramment causé par ntkrnlpa.exe, est-ce que ça a pu endommagé l'ordinateur ? (merci de me répondre à la dernière question, c'est super important, c'est pas mon ordi).
Merci d'avance.
Impossible de finir l'analyse, il bloque à visual tool applications même en mode sans échec.J'ai réussi à sauvegarder le début en mode sans échec mais le rapport n'est pas le même:
aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-04-15 20:53:34
-----------------------------
20:53:34.296 OS Version: Windows 6.1.7600
20:53:34.296 Number of processors: 2 586 0x603
20:53:34.296 ComputerName: Jacques UserName: Jacques
20:53:35.390 Initialize success
20:53:36.015 AVAST engine defs: 12041501
20:53:37.765 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\0000005c
20:53:37.765 Disk 0 Vendor: WDC_WD32 01.0 Size: 305245MB BusType: 3
20:53:37.765 Disk 0 MBR read successfully
20:53:37.781 Disk 0 MBR scan
20:53:38.140 Disk 0 Windows 7 default MBR code
20:53:38.156 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 100 MB offset 2048
20:53:38.484 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 305143 MB offset 206848
20:53:38.531 Disk 0 scanning sectors +625139712
20:53:38.890 Disk 0 scanning C:\Windows\system32\drivers
20:53:50.750 Service scanning
20:54:05.062 Modules scanning
20:54:08.843 Module: C:\Windows\System32\user32.dll **SUSPICIOUS**
20:54:09.890 Disk 0 trace - called modules:
20:54:09.921 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll storport.sys nvstor.sys
20:54:09.921 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x853be398]
20:54:09.937 3 CLASSPNP.SYS[8a2b459e] -> nt!IofCallDriver -> [0x85081ab8]
20:54:09.937 5 ACPI.sys[89b723b2] -> nt!IofCallDriver -> \Device\0000005c[0x851c3c00]
20:54:10.843 AVAST engine scan C:\Windows
20:54:12.640 AVAST engine scan C:\Windows\system32
20:55:29.140 Disk 0 MBR has been saved successfully to "C:\Users\mehdi\Desktop\MBR.dat"
20:55:29.156 The log file has been saved successfully to "C:\Users\mehdi\Desktop\aswMBR.
Le rapport n'était pas le même en mode sans échec et en normal.
Dernière chose: En mode sans échec j'ai un bluescreen pendant le scan appramment causé par ntkrnlpa.exe, est-ce que ça a pu endommagé l'ordinateur ? (merci de me répondre à la dernière question, c'est super important, c'est pas mon ordi).
Merci d'avance.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Non, aucun soucis pour ton système.
Aucune action n'a été effectuée, c'est juste un scan.
Analyse le fichier => C:\Windows\System32\user32.dll sur le site https://www.virustotal.com/gui/
Si un message te dit que le fichier à déjà été analysé, ré-analyse le
Copie-colle l'url affichée dans la barre d'adresse dans ta réponse.
tuto : Analyser un fichier avec VirusTotal
A +
Aucune action n'a été effectuée, c'est juste un scan.
Analyse le fichier => C:\Windows\System32\user32.dll sur le site https://www.virustotal.com/gui/
Si un message te dit que le fichier à déjà été analysé, ré-analyse le
Copie-colle l'url affichée dans la barre d'adresse dans ta réponse.
tuto : Analyser un fichier avec VirusTotal
A +
Analyse Virus total: 0/42
Pour revenir sur le bluescreen, t'es bien sûr parce'que une fois j'avais fait un scan avec drweb puis ensuite blue screen à répétition ?
Merci d'avance.
Pour revenir sur le bluescreen, t'es bien sûr parce'que une fois j'avais fait un scan avec drweb puis ensuite blue screen à répétition ?
Merci d'avance.
Si tu parles de DrWeb cure-it, c'est un antivirus portable, il scanne, supprime et désinfecte, il a une action sur le système.
aswMBR n'a fait que lire certaines informations.
Par contre c'est le signe que tout ne tourne pas rond, il faudrait vérifier l'intégrité des fichiers système : http://www.chantal11.com/2010/09/verifier-reparer-fichiers-systeme-sfc-scannow-console-winre-windows-7-vist/
A +
aswMBR n'a fait que lire certaines informations.
Par contre c'est le signe que tout ne tourne pas rond, il faudrait vérifier l'intégrité des fichiers système : http://www.chantal11.com/2010/09/verifier-reparer-fichiers-systeme-sfc-scannow-console-winre-windows-7-vist/
A +
Oui je parlais de DrWeb.
De quoi qui tourne pas rond pour le blue screen , aswMBR qui se finit pas ou user32.dll ?
Es-tu penses que pour MBAM c'est un faux positif ?
Merci d'avance.
De quoi qui tourne pas rond pour le blue screen , aswMBR qui se finit pas ou user32.dll ?
Es-tu penses que pour MBAM c'est un faux positif ?
Merci d'avance.
Le bsod peut être aussi du à un driver qui n'a pas aimé l'outil.
Vérifie l'intégrité des fichiers, ça ne coute rien.
Oui, je pense depuis le début à un fp, j'ai posé à la question sur le forum d'Avast! avec les éléments que tu m'as fournis. J'attends leur réponse.
Vérifie l'intégrité des fichiers, ça ne coute rien.
Oui, je pense depuis le début à un fp, j'ai posé à la question sur le forum d'Avast! avec les éléments que tu m'as fournis. J'attends leur réponse.
Dis kalimusic
Voilà moi aussi j'ai eu le même problème que jacques c'est en voulant télécharger le pilote de la carte graphique sur le site touslesdrivers pour mon asus j'ai eu exactement le même message que lui par contre après suppression de ce fameux faux positif plus de message d'erreur c'était le 9 avril à 10h19 le soit disant rootkit était détecté dans WCLS
Pourrais tu éventuellement remonter l'info à avast
Voilà moi aussi j'ai eu le même problème que jacques c'est en voulant télécharger le pilote de la carte graphique sur le site touslesdrivers pour mon asus j'ai eu exactement le même message que lui par contre après suppression de ce fameux faux positif plus de message d'erreur c'était le 9 avril à 10h19 le soit disant rootkit était détecté dans WCLS
Pourrais tu éventuellement remonter l'info à avast
