Rootkit sur RogueKiller
Résolu
gemma67
Messages postés
2
Date d'inscription
Statut
Membre
Dernière intervention
-
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
bonjour,
j'ai utilisé roguekiller qui a trouvé des rootkits. voici le rapport
RogueKiller V11.0.7.0 [Jan 11 2016] (Gratuit) par Adlice Software
email : https://www.adlice.com/contact/
Remontées : https://forum.adlice.com/
Site web : https://www.adlice.com/fr/roguekiller/
Blog : https://www.adlice.com/
Système d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Démarré en : Mode normal
Utilisateur : [Administrateur]
Démarré depuis : C:\Program Files\RogueKiller\RogueKiller.exe
Mode : Scan -- Date : 01/18/2016 19:38:15
¤¤¤ Processus : 0 ¤¤¤
¤¤¤ Registre : 0 ¤¤¤
¤¤¤ Tâches : 0 ¤¤¤
¤¤¤ Fichiers : 0 ¤¤¤
¤¤¤ Fichier Hosts : 0 ¤¤¤
¤¤¤ Antirootkit : 34 (Driver: Chargé) ¤¤¤
[SSDT:Addr(Hook.SSDT)] ZwAssignProcessToJobObject[42] : Unknown @ 0xffffffff90c88da4
[SSDT:Addr(Hook.SSDT)] ZwCreateKey[64] : Unknown @ 0xffffffff8ff71674
[SSDT:Addr(Hook.SSDT)] ZwCreateMutant[67] : Unknown @ 0xffffffff90c88fd4
[SSDT:Addr(Hook.SSDT)] ZwCreateProcess[72] : Unknown @ 0xffffffff90c162b4
[SSDT:Addr(Hook.SSDT)] ZwCreateProcessEx[73] : Unknown @ 0xffffffff8ff7785c
[SSDT:Addr(Hook.SSDT)] ZwCreateSymbolicLinkObject[77] : Unknown @ 0xffffffff90c88f9c
[SSDT:Addr(Hook.SSDT)] ZwCreateThread[78] : Unknown @ 0xffffffff8ff713f4
[SSDT:Addr(Hook.SSDT)] ZwDebugActiveProcess[116] : Unknown @ 0xffffffff90c88e4c
[SSDT:Addr(Hook.SSDT)] ZwDeleteKey[123] : Unknown @ 0xffffffff8ff71604
[SSDT:Addr(Hook.SSDT)] ZwDeleteValueKey[126] : Unknown @ 0xffffffff8ff7155c
[SSDT:Addr(Hook.SSDT)] ZwDuplicateObject[129] : Unknown @ 0xffffffff90c88f64
[SSDT:Addr(Hook.SSDT)] ZwGetContextThread[151] : Unknown @ 0xffffffff90c88ef4
[SSDT:Addr(Hook.SSDT)] ZwLoadDriver[165] : Unknown @ 0xffffffff8ff71384
[SSDT:Addr(Hook.SSDT)] ZwMapViewOfSection[177] : Unknown @ 0xffffffff8ff71464
[SSDT:Addr(Hook.SSDT)] ZwOpenProcess[194] : Unknown @ 0xffffffff8ff71cf4
[SSDT:Addr(Hook.SSDT)] ZwOpenSection[197] : Unknown @ 0xffffffff8ff7149c
[SSDT:Addr(Hook.SSDT)] ZwOpenThread[201] : Unknown @ 0xffffffff8ff71cbc
[SSDT:Addr(Hook.SSDT)] ZwProtectVirtualMemory[210] : Unknown @ 0xffffffff90c88ddc
[SSDT:Addr(Hook.SSDT)] ZwRenameKey[267] : Unknown @ 0xffffffff8ff715cc
[SSDT:Addr(Hook.SSDT)] ZwRestoreKey[280] : Unknown @ 0xffffffff8ff71594
[SSDT:Addr(Hook.SSDT)] ZwResumeThread[282] : Unknown @ 0xffffffff90c88e84
[SSDT:Addr(Hook.SSDT)] ZwSetContextThread[289] : Unknown @ 0xffffffff90c88ebc
[SSDT:Addr(Hook.SSDT)] ZwSetSystemInformation[317] : Unknown @ 0xffffffff90c88f2c
[SSDT:Addr(Hook.SSDT)] ZwSetValueKey[324] : Unknown @ 0xffffffff8ff7163c
[SSDT:Addr(Hook.SSDT)] ZwSystemDebugControl[332] : Unknown @ 0xffffffff90c88e14
[SSDT:Addr(Hook.SSDT)] ZwTerminateProcess[334] : Unknown @ 0xffffffff8ff71c84
[SSDT:Addr(Hook.SSDT)] ZwTerminateThread[335] : Unknown @ 0xffffffff8ff716ac
[SSDT:Addr(Hook.SSDT)] ZwWriteVirtualMemory[358] : Unknown @ 0xffffffff8ff7142c
[SSDT:Addr(Hook.SSDT)] ZwCreateThreadEx[382] : Unknown @ 0xffffffff8ff713bc
[SSDT:Addr(Hook.SSDT)] ZwCreateUserProcess[383] : Unknown @ 0xffffffff8ff71d2c
[ShwSSDT:Addr(Hook.Shadow)] NtUserCreateWindowEx[356] : Unknown @ 0xffffffff85090b24
[ShwSSDT:Addr(Hook.Shadow)] NtUserSetWindowsHookAW[572] : Unknown @ 0xffffffff85090b5c
[ShwSSDT:Addr(Hook.Shadow)] NtUserSetWindowsHookEx[573] : Unknown @ 0xffffffff8509cda4
[IRP:Addr(Hook.IRP)] \Driver\kbdclass - IRP_MJ_READ[3] : Unknown @ 0xffffffff8ff70338
¤¤¤ Navigateurs web : 1 ¤¤¤
[PUM.HomePage][FIREFX:Config] 61r4au7n.default : user_pref("browser.startup.homepage", "https://duckduckgo.com/"); -> Trouvé(e)
¤¤¤ Vérification MBR : ¤¤¤
+++++ PhysicalDrive0: Hitachi HTS543225L9A300 +++++
--- User ---
[MBR] 9540e3c0cdb012506de1cec7ad21ae0b
[BSP] bdac868dfe2d1b7da38d215b76a8969e : HP|VT.Unknown MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 13312 MB
1 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 27263039 | Size: 225162 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
User = LL1 ... OK
User = LL2 ... OK
comment puis-je les supprimer?
merci d'avance pour toute aide que vous pourriez m'apporter.
j'ai utilisé roguekiller qui a trouvé des rootkits. voici le rapport
RogueKiller V11.0.7.0 [Jan 11 2016] (Gratuit) par Adlice Software
email : https://www.adlice.com/contact/
Remontées : https://forum.adlice.com/
Site web : https://www.adlice.com/fr/roguekiller/
Blog : https://www.adlice.com/
Système d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Démarré en : Mode normal
Utilisateur : [Administrateur]
Démarré depuis : C:\Program Files\RogueKiller\RogueKiller.exe
Mode : Scan -- Date : 01/18/2016 19:38:15
¤¤¤ Processus : 0 ¤¤¤
¤¤¤ Registre : 0 ¤¤¤
¤¤¤ Tâches : 0 ¤¤¤
¤¤¤ Fichiers : 0 ¤¤¤
¤¤¤ Fichier Hosts : 0 ¤¤¤
¤¤¤ Antirootkit : 34 (Driver: Chargé) ¤¤¤
[SSDT:Addr(Hook.SSDT)] ZwAssignProcessToJobObject[42] : Unknown @ 0xffffffff90c88da4
[SSDT:Addr(Hook.SSDT)] ZwCreateKey[64] : Unknown @ 0xffffffff8ff71674
[SSDT:Addr(Hook.SSDT)] ZwCreateMutant[67] : Unknown @ 0xffffffff90c88fd4
[SSDT:Addr(Hook.SSDT)] ZwCreateProcess[72] : Unknown @ 0xffffffff90c162b4
[SSDT:Addr(Hook.SSDT)] ZwCreateProcessEx[73] : Unknown @ 0xffffffff8ff7785c
[SSDT:Addr(Hook.SSDT)] ZwCreateSymbolicLinkObject[77] : Unknown @ 0xffffffff90c88f9c
[SSDT:Addr(Hook.SSDT)] ZwCreateThread[78] : Unknown @ 0xffffffff8ff713f4
[SSDT:Addr(Hook.SSDT)] ZwDebugActiveProcess[116] : Unknown @ 0xffffffff90c88e4c
[SSDT:Addr(Hook.SSDT)] ZwDeleteKey[123] : Unknown @ 0xffffffff8ff71604
[SSDT:Addr(Hook.SSDT)] ZwDeleteValueKey[126] : Unknown @ 0xffffffff8ff7155c
[SSDT:Addr(Hook.SSDT)] ZwDuplicateObject[129] : Unknown @ 0xffffffff90c88f64
[SSDT:Addr(Hook.SSDT)] ZwGetContextThread[151] : Unknown @ 0xffffffff90c88ef4
[SSDT:Addr(Hook.SSDT)] ZwLoadDriver[165] : Unknown @ 0xffffffff8ff71384
[SSDT:Addr(Hook.SSDT)] ZwMapViewOfSection[177] : Unknown @ 0xffffffff8ff71464
[SSDT:Addr(Hook.SSDT)] ZwOpenProcess[194] : Unknown @ 0xffffffff8ff71cf4
[SSDT:Addr(Hook.SSDT)] ZwOpenSection[197] : Unknown @ 0xffffffff8ff7149c
[SSDT:Addr(Hook.SSDT)] ZwOpenThread[201] : Unknown @ 0xffffffff8ff71cbc
[SSDT:Addr(Hook.SSDT)] ZwProtectVirtualMemory[210] : Unknown @ 0xffffffff90c88ddc
[SSDT:Addr(Hook.SSDT)] ZwRenameKey[267] : Unknown @ 0xffffffff8ff715cc
[SSDT:Addr(Hook.SSDT)] ZwRestoreKey[280] : Unknown @ 0xffffffff8ff71594
[SSDT:Addr(Hook.SSDT)] ZwResumeThread[282] : Unknown @ 0xffffffff90c88e84
[SSDT:Addr(Hook.SSDT)] ZwSetContextThread[289] : Unknown @ 0xffffffff90c88ebc
[SSDT:Addr(Hook.SSDT)] ZwSetSystemInformation[317] : Unknown @ 0xffffffff90c88f2c
[SSDT:Addr(Hook.SSDT)] ZwSetValueKey[324] : Unknown @ 0xffffffff8ff7163c
[SSDT:Addr(Hook.SSDT)] ZwSystemDebugControl[332] : Unknown @ 0xffffffff90c88e14
[SSDT:Addr(Hook.SSDT)] ZwTerminateProcess[334] : Unknown @ 0xffffffff8ff71c84
[SSDT:Addr(Hook.SSDT)] ZwTerminateThread[335] : Unknown @ 0xffffffff8ff716ac
[SSDT:Addr(Hook.SSDT)] ZwWriteVirtualMemory[358] : Unknown @ 0xffffffff8ff7142c
[SSDT:Addr(Hook.SSDT)] ZwCreateThreadEx[382] : Unknown @ 0xffffffff8ff713bc
[SSDT:Addr(Hook.SSDT)] ZwCreateUserProcess[383] : Unknown @ 0xffffffff8ff71d2c
[ShwSSDT:Addr(Hook.Shadow)] NtUserCreateWindowEx[356] : Unknown @ 0xffffffff85090b24
[ShwSSDT:Addr(Hook.Shadow)] NtUserSetWindowsHookAW[572] : Unknown @ 0xffffffff85090b5c
[ShwSSDT:Addr(Hook.Shadow)] NtUserSetWindowsHookEx[573] : Unknown @ 0xffffffff8509cda4
[IRP:Addr(Hook.IRP)] \Driver\kbdclass - IRP_MJ_READ[3] : Unknown @ 0xffffffff8ff70338
¤¤¤ Navigateurs web : 1 ¤¤¤
[PUM.HomePage][FIREFX:Config] 61r4au7n.default : user_pref("browser.startup.homepage", "https://duckduckgo.com/"); -> Trouvé(e)
¤¤¤ Vérification MBR : ¤¤¤
+++++ PhysicalDrive0: Hitachi HTS543225L9A300 +++++
--- User ---
[MBR] 9540e3c0cdb012506de1cec7ad21ae0b
[BSP] bdac868dfe2d1b7da38d215b76a8969e : HP|VT.Unknown MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 13312 MB
1 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 27263039 | Size: 225162 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
User = LL1 ... OK
User = LL2 ... OK
comment puis-je les supprimer?
merci d'avance pour toute aide que vous pourriez m'apporter.
A voir également:
- Rootkit sur RogueKiller
- Roguekiller - Télécharger - Antivirus & Antimalwares
- Rootkit - Télécharger - Antivirus & Antimalwares
- Rootkit hunter - Télécharger - Antivirus & Antimalwares
- Roguekiller avis ✓ - Forum Virus
- Sophos anti rootkit - Télécharger - Antivirus & Antimalwares
4 réponses
Salut,
Ce rapport ne prouve pas qu'il y a des rootkits ...
Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Ce rapport ne prouve pas qu'il y a des rootkits ...
Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Bonsoir,
j'ai suivi les directives et voici les fichiers demandés.
en attendant d'avoir votre avis, je vous souhaite une bonne soirée et merci pour votre attention et votre aide
https://pjjoint.malekal.com/files.php?id=FRST_20160121_r15j10p1512p6
https://pjjoint.malekal.com/files.php?id=20160121_x10v11q9o9u5
https://pjjoint.malekal.com/files.php?id=20160121_i1314x610p5
j'ai suivi les directives et voici les fichiers demandés.
en attendant d'avoir votre avis, je vous souhaite une bonne soirée et merci pour votre attention et votre aide
https://pjjoint.malekal.com/files.php?id=FRST_20160121_r15j10p1512p6
https://pjjoint.malekal.com/files.php?id=20160121_x10v11q9o9u5
https://pjjoint.malekal.com/files.php?id=20160121_i1314x610p5
