Rootkit sur RogueKiller Résolu/Fermé

Question

bonjour,
j'ai utilisé roguekiller qui a trouvé des rootkits. voici le rapport
RogueKiller V11.0.7.0 [Jan 11 2016] (Gratuit) par Adlice Software
email : https://www.adlice.com/contact/
Remontées : https://forum.adlice.com/
Site web : https://www.adlice.com/fr/roguekiller/
Blog : https://www.adlice.com/

Système d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Démarré en  : Mode normal
Utilisateur :  [Administrateur]
Démarré depuis : C:\Program Files\RogueKiller\RogueKiller.exe
Mode : Scan -- Date : 01/18/2016 19:38:15

¤¤¤ Processus : 0 ¤¤¤

¤¤¤ Registre : 0 ¤¤¤

¤¤¤ Tâches : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier Hosts : 0 ¤¤¤

¤¤¤ Antirootkit : 34 (Driver: Chargé) ¤¤¤
[SSDT:Addr(Hook.SSDT)] ZwAssignProcessToJobObject[42] : Unknown @ 0xffffffff90c88da4
[SSDT:Addr(Hook.SSDT)] ZwCreateKey[64] : Unknown @ 0xffffffff8ff71674
[SSDT:Addr(Hook.SSDT)] ZwCreateMutant[67] : Unknown @ 0xffffffff90c88fd4
[SSDT:Addr(Hook.SSDT)] ZwCreateProcess[72] : Unknown @ 0xffffffff90c162b4
[SSDT:Addr(Hook.SSDT)] ZwCreateProcessEx[73] : Unknown @ 0xffffffff8ff7785c
[SSDT:Addr(Hook.SSDT)] ZwCreateSymbolicLinkObject[77] : Unknown @ 0xffffffff90c88f9c
[SSDT:Addr(Hook.SSDT)] ZwCreateThread[78] : Unknown @ 0xffffffff8ff713f4
[SSDT:Addr(Hook.SSDT)] ZwDebugActiveProcess[116] : Unknown @ 0xffffffff90c88e4c
[SSDT:Addr(Hook.SSDT)] ZwDeleteKey[123] : Unknown @ 0xffffffff8ff71604
[SSDT:Addr(Hook.SSDT)] ZwDeleteValueKey[126] : Unknown @ 0xffffffff8ff7155c
[SSDT:Addr(Hook.SSDT)] ZwDuplicateObject[129] : Unknown @ 0xffffffff90c88f64
[SSDT:Addr(Hook.SSDT)] ZwGetContextThread[151] : Unknown @ 0xffffffff90c88ef4
[SSDT:Addr(Hook.SSDT)] ZwLoadDriver[165] : Unknown @ 0xffffffff8ff71384
[SSDT:Addr(Hook.SSDT)] ZwMapViewOfSection[177] : Unknown @ 0xffffffff8ff71464
[SSDT:Addr(Hook.SSDT)] ZwOpenProcess[194] : Unknown @ 0xffffffff8ff71cf4
[SSDT:Addr(Hook.SSDT)] ZwOpenSection[197] : Unknown @ 0xffffffff8ff7149c
[SSDT:Addr(Hook.SSDT)] ZwOpenThread[201] : Unknown @ 0xffffffff8ff71cbc
[SSDT:Addr(Hook.SSDT)] ZwProtectVirtualMemory[210] : Unknown @ 0xffffffff90c88ddc
[SSDT:Addr(Hook.SSDT)] ZwRenameKey[267] : Unknown @ 0xffffffff8ff715cc
[SSDT:Addr(Hook.SSDT)] ZwRestoreKey[280] : Unknown @ 0xffffffff8ff71594
[SSDT:Addr(Hook.SSDT)] ZwResumeThread[282] : Unknown @ 0xffffffff90c88e84
[SSDT:Addr(Hook.SSDT)] ZwSetContextThread[289] : Unknown @ 0xffffffff90c88ebc
[SSDT:Addr(Hook.SSDT)] ZwSetSystemInformation[317] : Unknown @ 0xffffffff90c88f2c
[SSDT:Addr(Hook.SSDT)] ZwSetValueKey[324] : Unknown @ 0xffffffff8ff7163c
[SSDT:Addr(Hook.SSDT)] ZwSystemDebugControl[332] : Unknown @ 0xffffffff90c88e14
[SSDT:Addr(Hook.SSDT)] ZwTerminateProcess[334] : Unknown @ 0xffffffff8ff71c84
[SSDT:Addr(Hook.SSDT)] ZwTerminateThread[335] : Unknown @ 0xffffffff8ff716ac
[SSDT:Addr(Hook.SSDT)] ZwWriteVirtualMemory[358] : Unknown @ 0xffffffff8ff7142c
[SSDT:Addr(Hook.SSDT)] ZwCreateThreadEx[382] : Unknown @ 0xffffffff8ff713bc
[SSDT:Addr(Hook.SSDT)] ZwCreateUserProcess[383] : Unknown @ 0xffffffff8ff71d2c
[ShwSSDT:Addr(Hook.Shadow)] NtUserCreateWindowEx[356] : Unknown @ 0xffffffff85090b24
[ShwSSDT:Addr(Hook.Shadow)] NtUserSetWindowsHookAW[572] : Unknown @ 0xffffffff85090b5c
[ShwSSDT:Addr(Hook.Shadow)] NtUserSetWindowsHookEx[573] : Unknown @ 0xffffffff8509cda4
[IRP:Addr(Hook.IRP)] \Driver\kbdclass - IRP_MJ_READ[3] : Unknown @ 0xffffffff8ff70338

¤¤¤ Navigateurs web : 1 ¤¤¤
[PUM.HomePage][FIREFX:Config] 61r4au7n.default : user_pref("browser.startup.homepage", "https://duckduckgo.com/"); -> Trouvé(e)

¤¤¤ Vérification MBR : ¤¤¤
+++++ PhysicalDrive0: Hitachi HTS543225L9A300 +++++
--- User ---
[MBR] 9540e3c0cdb012506de1cec7ad21ae0b
[BSP] bdac868dfe2d1b7da38d215b76a8969e : HP|VT.Unknown MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 13312 MB
1 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 27263039 | Size: 225162 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
User = LL1 ... OK
User = LL2 ... OK

comment puis-je  les supprimer? 
merci d'avance pour toute aide que vous pourriez m'apporter.

Malekal_morte- · Answer

Salut,

Ce rapport ne prouve pas qu'il y a des rootkits ...


Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :

 FRST.txt
 Shortcut.txt
 Additionnal.txt

Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à  ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

gemma67 · Answer

Bonsoir,

j'ai suivi les directives et voici les fichiers demandés.
en attendant d'avoir votre avis, je vous souhaite une bonne soirée et merci pour votre attention et votre aide


https://pjjoint.malekal.com/files.php?id=FRST_20160121_r15j10p1512p6
https://pjjoint.malekal.com/files.php?id=20160121_x10v11q9o9u5
https://pjjoint.malekal.com/files.php?id=20160121_i1314x610p5

Malekal_morte- · Answer

Rien d'anormal, les hooks doivent être générés par Trend-Micro.

gemma67 · Answer

bonjour,
Ok donc pas d'inquiétude à avoir.
merci encore d'avoir pris le temps de répondre à ma question.
cordialement

Rootkit sur RogueKiller

4 réponses

Discussions similaires