L'anti Rootkit d'AVG détecte plusieur choses

Résolu/Fermé
Signaler
Messages postés
219
Date d'inscription
dimanche 24 octobre 2010
Statut
Membre
Dernière intervention
22 février 2014
-
Messages postés
219
Date d'inscription
dimanche 24 octobre 2010
Statut
Membre
Dernière intervention
22 février 2014
-
Bonjour tout le monde!
Sur AVG, j'ai planifié une analyse qui s'éxecute tout les mercredis, l'analyse c'est donc lancé, et à la fin, l'anti rootkit d'AVG m'a détecté 8 choses!

"";"Raccordement SYSENTER -> 0xFFFFF800022788C0, <unknown>";"Infecté"
"";"Raccordement SYSENTER -> 0xFFFFF800022788C0, <unknown>";"Infecté"
"";"Raccordement SYSENTER -> 0xFFFFF800022788C0, <unknown>";"Infecté"
"";"Raccordement SYSENTER -> 0xFFFFF800022788C0, <unknown>";"Infecté"
"";"Raccordement SYSENTER -> 0xFFFFF80002278B80, <unknown>";"Infecté"
"";"Raccordement SYSENTER -> 0xFFFFF80002278B80, <unknown>";"Infecté"
"";"Raccordement SYSENTER -> 0xFFFFF80002278B80, <unknown>";"Infecté"
"";"Raccordement SYSENTER -> 0xFFFFF80002278B80, <unknown>";"Infecté"

Je trouve ça vraiment étonnant, c'est la première fois que ça m'arrive. Quelqu'un pourrait il m'aider s'il vous plait? Merci!


12 réponses

Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 793
Presque certain.
Attends une prochaine mise à jour et tu verras mercredi prochain s'il débloque encore (tiens moi au jus).

Passe un coup de delfix en cochant toutes cases : https://www.commentcamarche.net/telecharger/securite/7111-delfix/

~~

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.

~~

Sécurise ton PC !

Un exploit sur site web permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Bonne lecture et n'oublie pas d'indiquer que ton sujet est résolu :)
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 41989 internautes nous ont dit merci ce mois-ci

Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 793
Salut

▶ Télécharge ici : RogueKiller (choisir entre la version 32 et 64 bits selon ton Windows, si tu ne sais pas, demande moi!)
▶ Enregistre et ferme tous les programmes en cours
▶ Lance RogueKiller et attend que le Prescan ait fini
▶ Accepte l'EULA puis clique sur Scan.
▶ Une fois terminé, clique sur Rapport et copie/colle le rapport dans ta prochaine réponse.
Messages postés
219
Date d'inscription
dimanche 24 octobre 2010
Statut
Membre
Dernière intervention
22 février 2014
14
Merci pour la réponse rapide! Voilà le rapport:

RogueKiller V8.7.0 _x64_ [Sep 30 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Léo Dalecki [Droits d'admin]
Mode : Recherche -- Date : 10/02/2013 13:43:05
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 11 ¤¤¤
[HJ POL][PUM] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ
[HJ POL][PUM] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
[HJ POL][PUM] HKLM\[...]\Wow6432Node\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ
[HJ POL][PUM] HKLM\[...]\Wow6432Node\[...]\System : EnableLUA (0) -> TROUVÉ
[HJ SMENU][PUM] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> TROUVÉ
[HJ SMENU][PUM] HKCU\[...]\Advanced : Start_ShowDownloads (0) -> TROUVÉ
[HJ SMENU][PUM] HKCU\[...]\Advanced : Start_ShowHelp (0) -> TROUVÉ
[HJ SMENU][PUM] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> TROUVÉ
[HJ SMENU][PUM] HKCU\[...]\Advanced : Start_TrackProgs (0) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤
-> D:\Users\Default\NTUSER.DAT | DRVINFO [Drv - D:] | SYSTEMINFO [Sys - NO_SYS] [Sys32 - NOT_FOUND] | USERINFO [Startup - NOT_FOUND]
-> D:\Users\Default User\NTUSER.DAT | DRVINFO [Drv - D:] | SYSTEMINFO [Sys - NO_SYS] [Sys32 - NOT_FOUND] | USERINFO [Startup - NOT_FOUND]
-> D:\Users\Léo Dalecki\NTUSER.DAT | DRVINFO [Drv - D:] | SYSTEMINFO [Sys - NO_SYS] [Sys32 - NOT_FOUND] | USERINFO [Startup - NOT_FOUND]
-> D:\Users\UpdatusUser\NTUSER.DAT | DRVINFO [Drv - D:] | SYSTEMINFO [Sys - NO_SYS] [Sys32 - NOT_FOUND] | USERINFO [Startup - NOT_FOUND]

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts


127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) (Lecteurs de disque standard) - WDC WD10EZEX-00RKKA0 SCSI Disk Device +++++
--- User ---
[MBR] 2033278cd4782afce74e35cc3caed83f
[BSP] d418692e8ecb6054107477f8e860e250 : Windows 7/8 MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 953868 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: (\\.\PHYSICALDRIVE1 @ IDE) (Lecteurs de disque standard) - INTEL SSDSC2CT120A3 SCSI Disk Device +++++
--- User ---
[MBR] 4819d6557128841d52e32b483c5f4f30
[BSP] a9def633ff81a9d7ace3d73be12109b7 : Empty MBR Code
Partition table:
0 - [XXXXXX] UNKNOWN (0x00) [VISIBLE] Offset (sectors): 1 | Size: 2097152 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive2: (\\.\PHYSICALDRIVE2 @ IDE) (Lecteurs de disque standard) - WDC WD3200AAJS-22L7A SCSI Disk Device +++++
--- User ---
[MBR] 074b54fbd906e57a3cd19e289889e21b
[BSP] 5a071e71063d0891f80b9ba7475c617e : Standard MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 305244 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[0]_S_10022013_134305.txt >>


Merci!



Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 793
J'ai l'impression que c'est du Faux positif.

Pour voir.

▶ Télécharges ici: mbar
▶ Décompresses le contenu du dossier vers le bureau.
▶ Ouvrir le dossier et exécuter mbar.exe (Sous Vista/7 : exécuter en tant qu'administrateur)
▶ La fenêtre suivante annonce que cette version sera valide un mois et que l'utilisation se fait aux risques et périls de l'utilisateur.
▶ Clic sur Next
▶ La nouvelle fenêtre te propose de faire la mise a jour. Clic sur Update et une fois terminé clic sur next
▶ Pour lancer l'analyse clic sur scan
▶ Cliques sur le bouton Nettoyage (cleanup) pour supprimer toutes les menaces et redémarrer si tu es invité à le faire.
▶ Patiente pendant le processus de nettoyage qui peut être long.
▶ Lorsque terminé, envois les deux rapports qui se trouvent dans le dossier MBAR : mbar-log.txt et log.txt
Messages postés
219
Date d'inscription
dimanche 24 octobre 2010
Statut
Membre
Dernière intervention
22 février 2014
14
Quand j'execute mbar.exe, Windows freeze et plus rien ne répond, je ne peut même plus ouvrir le gestionnaire des tâches! Je ne peut pas scanner!
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 793
Essaie en mode sans échec :)
Bizarre cette réaction.
Messages postés
219
Date d'inscription
dimanche 24 octobre 2010
Statut
Membre
Dernière intervention
22 février 2014
14
Pareil, Windows freeze et je suis obligé de la forcer à s'arrêter en appuyans sur le bouton power.
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 793
Mouais ....

▶ Télécharge : Gmer (by Przemyslaw Gmerek) et enregistre-le sur ton bureau

Desactive toutes tes protections le temps du scan de gMer

Double clique sur gmer.exe

▶ clique sur l'onglet rootkit,lances le scan

▶ Les lignes rouges indiquent la presence d'un rootkit. Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

Ensuite

▶ Si des lignes rouges sont apparues, sur ces lignes :

▶ Services:cliques droit delete service
▶ Process:cliques droit kill process
▶ Adl ,file:cliques droit delete files
Messages postés
219
Date d'inscription
dimanche 24 octobre 2010
Statut
Membre
Dernière intervention
22 février 2014
14
Je n'ai pas eu de ligne rouge, mais j'ai eu une erreur lors du scan: "C:\Windows\system32\config\system: Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus."

Sinon voilà le log:

GMER 2.1.19163 - http://www.gmer.net
Rootkit scan 2013-10-02 14:16:17
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk1\DR1 -> \Device\0000006b INTEL___ rev.300i 111,79GB
Running: qgqkln9m.exe; Driver: D:\TEMP\pwldrpob.sys


---- Kernel code sections - GMER 2.1 ----

.text C:\Windows\System32\win32k.sys!W32pServiceTable fffff96000183f00 7 bytes [40, 9D, F3, FF, 01, AB, F0]
.text C:\Windows\System32\win32k.sys!W32pServiceTable + 8 fffff96000183f08 3 bytes [C0, 06, 02]

---- User code sections - GMER 2.1 ----

.text C:\Windows\SysWOW64\PnkBstrA.exe[2248] C:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 322 0000000072041a22 2 bytes [04, 72]
.text C:\Windows\SysWOW64\PnkBstrA.exe[2248] C:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 496 0000000072041ad0 2 bytes [04, 72]
.text C:\Windows\SysWOW64\PnkBstrA.exe[2248] C:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 552 0000000072041b08 2 bytes [04, 72]
.text C:\Windows\SysWOW64\PnkBstrA.exe[2248] C:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 730 0000000072041bba 2 bytes [04, 72]
.text C:\Windows\SysWOW64\PnkBstrA.exe[2248] C:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 762 0000000072041bda 2 bytes [04, 72]
.text C:\Windows\SysWOW64\PnkBstrA.exe[2248] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 00000000763b1465 2 bytes [3B, 76]
.text C:\Windows\SysWOW64\PnkBstrA.exe[2248] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 00000000763b14bb 2 bytes [3B, 76]
.text ... * 2
.text D:\Program Files\Steam\Steam.exe[3496] C:\Windows\syswow64\KERNELBASE.dll!HeapCreate 00000000767b549c 5 bytes JMP 00000001000f0800
.text C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[2548] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 00000000763b1465 2 bytes [3B, 76]
.text C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[2548] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 00000000763b14bb 2 bytes [3B, 76]
.text ... * 2

---- Disk sectors - GMER 2.1 ----

Disk \Device\Harddisk1\DR1 unknown MBR code

---- EOF - GMER 2.1 ----

Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 793
bah y'a pas de rootkit, avg débloque.
y'a pas eu de mise à jour ?

Messages postés
219
Date d'inscription
dimanche 24 octobre 2010
Statut
Membre
Dernière intervention
22 février 2014
14
Oui je suis passé à AVG 2014 hier. Tu est sur qu'il n'y a rien? En tout cas merci!
Messages postés
219
Date d'inscription
dimanche 24 octobre 2010
Statut
Membre
Dernière intervention
22 février 2014
14
Merci, je connais bien Mbam, je scan réguilèrement avec. J'avais aussi désactivé Java dans Firefox. En tout cas merci!