Actualité informatique
Test comparatif matériel informatique
Jeux vidéo
Astuces informatique
Vidéo
Télécharger
Services en ligne
Forum informatique
01Business

|-  SECURITE


|||-  

Rapport RogueKiller [Résolu]

 

Ajouter une réponse
 

 
Page photos
 
     
Vider la liste des messages à citer
 
 Page :
1
Auteur
 Sujet :

Rapport RogueKiller [Résolu]

RÉSOLU
Prévenir les modérateurs en cas d'abus 
Hacq91
hacq91
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 04/07/2013 à 11:12:53  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour,
 Je viens de passer Roguekiller sur mon PC.
 Le rapport indique un problème sur "Entrées de registre" et sur "Driver".

 Avant de supprimer je voudrais un avis pour tenir compte du conseil trouvé sur http://www.sur-la-toile.com/RogueKiller/

 "il faut bien regarder les clés de registre détectées et décocher celles que vous reconnaissez comme des programmes légitimes"

 Merci d'avance


Profil : Equipe sécurité
danakil
Assidu (de 10 000 à 19 999 messages postés) Helpeur confirmé
  1. Posté le 05/07/2013 à 15:01:06  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut!

 Poste le rapport obtenu.  :jap:


---------------
Une Idéfix? ... Etre et durer.
(Publicité)
hacq91
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 05/07/2013 à 20:58:50  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Merci
 voici le rapport :

 RogueKiller V8.6.2 [Jul  3 2013] par Tigzy
 mail : tigzyRK<at>gmail<dot>com
 Remontees : hxxp://www.adlice.com/forum/
 Site Web : http://www.sur-la-toile.com/RogueKiller/
 Blog : http://tigzyrk.blogspot.com/

 Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
 Demarrage : Mode normal
 Utilisateur : Thierry [Droits d'admin]
 Mode : Recherche -- Date : 07/04/2013 11:47:14
 | ARK || FAK || MBR |

 ¤¤¤ Processus malicieux : 0 ¤¤¤

 ¤¤¤ Entrees de registre : 1 ¤¤¤
 [HJ POL] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ

 ¤¤¤ Tâches planifiées : 0 ¤¤¤

 ¤¤¤ Entrées Startup : 0 ¤¤¤

 ¤¤¤ Navigateurs web : 0 ¤¤¤

 ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 ¤¤¤ Driver : [CHARGE] ¤¤¤
 [Address] SSDT[31] : NtConnectPort @ 0x805A4604 -> HOOKED (Unknown @ 0x86EADFC0)

 ¤¤¤ Ruches Externes: ¤¤¤

 ¤¤¤ Infection :  ¤¤¤

 ¤¤¤ Fichier HOSTS: ¤¤¤
 --> %SystemRoot%\System32\drivers\​etc\hosts


 127.0.0.1       localhost


 ¤¤¤ MBR Verif: ¤¤¤

 +++++ PhysicalDrive0: Hitachi HTS722012K9A300 +++++
 --- User ---
 [MBR] fc50051cddb14097d869165ac277f6​cc
 [BSP] 795a14b832cd706607cccac50ac606​6c : Windows XP MBR Code
 Partition table:
 0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 63 | Size: 164 Mo
 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 337365 | Size: 32765 Mo
 2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 67440870 | Size: 81540 Mo
 User = LL1 ... OK!
 User = LL2 ... OK!

 +++++ PhysicalDrive1: Hitachi HTS722012K9A300 +++++
 --- User ---
 [MBR] cd0ed0f7ba530f023899f415204885​00
 [BSP] f4987353ae1e0c546ec3ddca0972a9​14 : Windows XP MBR Code
 Partition table:
 0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 1430796 Mo
 User = LL1 ... OK!
 Error reading LL2 MBR!

 +++++ PhysicalDrive2: Hitachi HTS722012K9A300 +++++
 --- User ---
 [MBR] 1e947eeb074dbd394c7d53b28b5f76​20
 [BSP] e2b214c8a0de2530f3edac6a4ac5bb​54 : Windows XP MBR Code
 Partition table:
 0 - [ACTIVE] FAT32 (0x0b) [VISIBLE] Offset (sectors): 63 | Size: 7624 Mo
 User = LL1 ... OK!
 Error reading LL2 MBR!

 Termine : << RKreport[0]_S_07042013_114714.txt >>




Profil : Equipe sécurité
danakil
Assidu (de 10 000 à 19 999 messages postés) Helpeur confirmé
  1. Posté le 06/07/2013 à 18:41:50  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut!

 Pour le scan de recherche par RogueKiller:
 - Une entrée du Registre à corriger.
 - Une signature de pilote inconnue.
 - Une erreur de lecture sur la MBR LL2 de deux lecteurs (peut-être normal puisque le 'Drive0' prend toutes les priorités). A savoir également la méthode LL2 (APTI) ne marche pas pour tous les disques d'où la remontée d'erreur.

 ***

 Voici ce que tu vas effectuer:

 1/ Relance RogueKiller > Option Suppression.
 > Poste moi le rapport que tu obtiendras.

 2/ Télécharge mbr.exe de Gmer sur le Bureau et pas ailleurs.

 /!\ Désactive tous les logiciels de sécurité antivirus, antimalwares, etc /!\

 - Double clique sur mbr.exe.
 Un rapport sera généré )> mbr.log

 - En cas d'infection, le message MBR rootkit code detected va apparaître.


 Si cela est le cas effectue ceci:
 Démarrer > Exécuter tape ou copie/colle la citation ci-dessous:
 



 
 "%userprofile%\Bureau\mbr" -f
 



 > Valide par 'Entrée'.

 - Dans le nouveau 'mbr.log' cette ligne apparaitra original MBR restored successfully !
 - Poste ce rapport et supprimes-le ensuite.
 - Relance mbr.exe et le nouveau mbr.log devrait être celui-ci :
 



 
 Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
 * device: opened successfully
 * user: MBR read successfully
 * kernel: MBR read successfully
 * user & kernel MBR OK
 




 Nota: Il est possible que tu ne voies pas les extensions de fichiers comme '.exe' ou '.log', pas de soucis, cela est normal!  ;)


---------------
Une Idéfix? ... Etre et durer.
hacq91
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 06/07/2013 à 20:16:05  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Ok la suppression s'est bien passée.


 RogueKiller V8.6.2 [Jul  3 2013] par Tigzy
 mail : tigzyRK<at>gmail<dot>com
 Remontees : hxxp://www.adlice.com/forum/
 Site Web : http://www.sur-la-toile.com/RogueKiller/
 Blog : http://tigzyrk.blogspot.com/

 Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
 Demarrage : Mode normal
 Utilisateur : Thierry [Droits d'admin]
 Mode : Suppression -- Date : 07/06/2013 20:55:17
 | ARK || FAK || MBR |

 ¤¤¤ Processus malicieux : 0 ¤¤¤

 ¤¤¤ Entrees de registre : 1 ¤¤¤
 [HJ POL] HKLM\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ

 ¤¤¤ Tâches planifiées : 0 ¤¤¤

 ¤¤¤ Entrées Startup : 0 ¤¤¤

 ¤¤¤ Navigateurs web : 0 ¤¤¤

 ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 ¤¤¤ Driver : [CHARGE] ¤¤¤
 [Address] SSDT[31] : NtConnectPort @ 0x805A4604 -> HOOKED (Unknown @ 0x8741D2E8)

 ¤¤¤ Ruches Externes: ¤¤¤

 ¤¤¤ Infection :  ¤¤¤

 ¤¤¤ Fichier HOSTS: ¤¤¤
 --> %SystemRoot%\System32\drivers\​etc\hosts


 127.0.0.1       localhost


 ¤¤¤ MBR Verif: ¤¤¤

 +++++ PhysicalDrive0: Hitachi HTS722012K9A300 +++++
 --- User ---
 [MBR] fc50051cddb14097d869165ac277f6​cc
 [BSP] 795a14b832cd706607cccac50ac606​6c : Windows XP MBR Code
 Partition table:
 0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 63 | Size: 164 Mo
 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 337365 | Size: 32765 Mo
 2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 67440870 | Size: 81540 Mo
 User = LL1 ... OK!
 User = LL2 ... OK!

 +++++ PhysicalDrive1: Hitachi HTS722012K9A300 +++++
 --- User ---
 [MBR] cd0ed0f7ba530f023899f415204885​00
 [BSP] f4987353ae1e0c546ec3ddca0972a9​14 : Windows XP MBR Code
 Partition table:
 0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 1430796 Mo
 User = LL1 ... OK!
 Error reading LL2 MBR!

 Termine : << RKreport[0]_D_07062013_205517.txt >>
 RKreport[0]_S_07042013_114714.txt;RKrep​or​t[0]_S_07062013_094157.txt;​RKrepor​t[0]_S_07062013_102043​.txt
 RKreport[0]_S_07062013_205445.txt



 J’ai chargé et exécuté mbr.exe
 Il n’y a pas de Probléme voici le rapport :



 Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
 Windows 5.1.2600 Disk: Hitachi_HTS722012K9A300 rev.DCCOC54P -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-e

 device: opened successfully
 user: MBR read successfully
 kernel: MBR read successfully
 user & kernel MBR OK

 Pour le driver j’ai un DD externe de chez WD qui est connecté sur un port USB ceci explique peut-être le :
 [Address] SSDT[31] : NtConnectPort @ 0x805A4604 -> HOOKED (Unknown @ 0x8741D2E8) ??

 Merci pour ton aide  :super:

(Publicité)
Profil : Equipe sécurité
danakil
Assidu (de 10 000 à 19 999 messages postés) Helpeur confirmé
  1. Posté le 08/07/2013 à 10:06:13  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut!

 Télécharge DelFix de Xplode sur ton Bureau.
 > Lance-le.
 > La case 'Supprimer les outils de désinfection' cochée > Valide par le bouton 'Exécuter'.
 Cela désinstallera les logiciels de nettoyage, les rapports ainsi que les inscriptions dans le Registre.

 D'autres soucis?

 Si 'Non' > Reviens sur ton premier message > Edite le et rajoute au titre de celui-ci le terme [Résolu] > Poste ensuite normalement.

 Bonne continuation!

 > danakil


---------------
Une Idéfix? ... Etre et durer.
 Page :
1

Aller à :
 

Sujets relatifs
rapport adwCleaner à analyser contre pub intempestive rapport Roguekiller
comprendre mon rapport hijackthis [Resolu]Snap.do -- Rapport OTL
UKASH - rapport malware Qu'est-ce que mc???.tmp ? [résolu]
Plus de sujets relatifs à : Rapport RogueKiller [Résolu]

Les 5 sujets de discussion précédents Nombre de réponses Dernier message
Désinstaller Baidu 116
parmis les bon antivirus gratuit 0
parmis les bon antivirus gratuit 0
aide au nettoyage 19
Portaldosite 1