Rapport rootkit
Résolu
thiben
Messages postés
317
Statut
Membre
-
Regis59 Messages postés 21143 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Regis59 Messages postés 21143 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
Je viens de faire "connaissance" avec ces nouvelles saloperies que sont les rootkits. J'ai fait des scans avec AVG anti-rootkit free et Sophos anti-rootkit qui n'ont rien trouvé. En revanche Rootkitrevealer m'a trouvé des "contradictions" dont voici le détail:
HKLM\SECURITY\Policy\Secrets\SAC* 21/11/2007 21:05 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 21/11/2007 21:05 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 26/01/2008 14:03 80 bytes Data mismatch between Windows API and raw hive data.
C:\Documents and Settings\THIERRY\Local Settings\Temp\~DFDDC0.tmp 26/01/2008 14:04 16.00 KB Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\THIERRY\Local Settings\Temp\~DFDE4C.tmp 26/01/2008 14:04 512 bytes Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\THIERRY\Recent\Eula.txt.lnk 26/01/2008 14:05 464 bytes Hidden from Windows API.
C:\System Volume Information\_restore{1D0CB5C5-8C9B-4005-A420-5108CA3260BB}\RP52\A0016824.RDB 26/01/2008 13:58 1.94 MB Hidden from Windows API.
C:\System Volume Information\_restore{1D0CB5C5-8C9B-4005-A420-5108CA3260BB}\RP52\A0016825.RDB 26/01/2008 14:06 1.94 MB Hidden from Windows API.
C:\System Volume Information\_restore{1D0CB5C5-8C9B-4005-A420-5108CA3260BB}\RP52\A0016826.RDB 26/01/2008 14:07 1.94 MB Hidden from Windows API.
C:\System Volume Information\_restore{1D0CB5C5-8C9B-4005-A420-5108CA3260BB}\RP52\A0016827.RDB 26/01/2008 14:08 1.94 MB Hidden from Windows API.
C:\System Volume Information\_restore{1D0CB5C5-8C9B-4005-A420-5108CA3260BB}\RP52\A0016828.RDB 26/01/2008 14:10 1.94 MB Visible in Windows API, directory index, but not in MFT.
C:\System Volume Information\_restore{1D0CB5C5-8C9B-4005-A420-5108CA3260BB}\RP52\A0016829.RDB 26/01/2008 14:12 1.94 MB Visible in directory index, but not Windows API or MFT.
C:\System Volume Information\_restore{1D0CB5C5-8C9B-4005-A420-5108CA3260BB}\RP52\A0016830.RDB 26/01/2008 14:16 1.94 MB Visible in directory index, but not Windows API or MFT.
C:\System Volume Information\_restore{1D0CB5C5-8C9B-4005-A420-5108CA3260BB}\RP52\A0016831.RDB 26/01/2008 14:18 1.94 MB Visible in directory index, but not Windows API or MFT.
Pouvez-vous me dire s'il y a quelque dont je devrais me méfier?
En vous remerciant par avance,
Cordialement...
Je viens de faire "connaissance" avec ces nouvelles saloperies que sont les rootkits. J'ai fait des scans avec AVG anti-rootkit free et Sophos anti-rootkit qui n'ont rien trouvé. En revanche Rootkitrevealer m'a trouvé des "contradictions" dont voici le détail:
HKLM\SECURITY\Policy\Secrets\SAC* 21/11/2007 21:05 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 21/11/2007 21:05 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 26/01/2008 14:03 80 bytes Data mismatch between Windows API and raw hive data.
C:\Documents and Settings\THIERRY\Local Settings\Temp\~DFDDC0.tmp 26/01/2008 14:04 16.00 KB Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\THIERRY\Local Settings\Temp\~DFDE4C.tmp 26/01/2008 14:04 512 bytes Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\THIERRY\Recent\Eula.txt.lnk 26/01/2008 14:05 464 bytes Hidden from Windows API.
C:\System Volume Information\_restore{1D0CB5C5-8C9B-4005-A420-5108CA3260BB}\RP52\A0016824.RDB 26/01/2008 13:58 1.94 MB Hidden from Windows API.
C:\System Volume Information\_restore{1D0CB5C5-8C9B-4005-A420-5108CA3260BB}\RP52\A0016825.RDB 26/01/2008 14:06 1.94 MB Hidden from Windows API.
C:\System Volume Information\_restore{1D0CB5C5-8C9B-4005-A420-5108CA3260BB}\RP52\A0016826.RDB 26/01/2008 14:07 1.94 MB Hidden from Windows API.
C:\System Volume Information\_restore{1D0CB5C5-8C9B-4005-A420-5108CA3260BB}\RP52\A0016827.RDB 26/01/2008 14:08 1.94 MB Hidden from Windows API.
C:\System Volume Information\_restore{1D0CB5C5-8C9B-4005-A420-5108CA3260BB}\RP52\A0016828.RDB 26/01/2008 14:10 1.94 MB Visible in Windows API, directory index, but not in MFT.
C:\System Volume Information\_restore{1D0CB5C5-8C9B-4005-A420-5108CA3260BB}\RP52\A0016829.RDB 26/01/2008 14:12 1.94 MB Visible in directory index, but not Windows API or MFT.
C:\System Volume Information\_restore{1D0CB5C5-8C9B-4005-A420-5108CA3260BB}\RP52\A0016830.RDB 26/01/2008 14:16 1.94 MB Visible in directory index, but not Windows API or MFT.
C:\System Volume Information\_restore{1D0CB5C5-8C9B-4005-A420-5108CA3260BB}\RP52\A0016831.RDB 26/01/2008 14:18 1.94 MB Visible in directory index, but not Windows API or MFT.
Pouvez-vous me dire s'il y a quelque dont je devrais me méfier?
En vous remerciant par avance,
Cordialement...
