Procédure

Transcription

Procédure

Procédure de nettoyage de malveillants sur l'ordinateur
RogueKiller est un logiciel chasseur de crapwares et d'autres malveillances, dans
l'environnement Windows. Il peut être plus ou moins mis entre toutes les mains, sans
nécessiter de connaissances particulières des arcanes de Windows.
Vous pouvez le télécharger à cette adresse :
http://www.adlice.com/fr/logiciels/roguekiller/
Si votre machine tourne en 32 Bits ou 64 Bits, choisissez la version adéquate de
RogueKiller en Local :
Version 32 Bits
version 64 Bits
Si vous ne connaissez pas la version de votre machine allez dans :
« Panneau de configuration »,
« Système »,
C. Bézard 02 avril 2015
Version de votre système
Quel est la version de mon Windows ? 32bit ou 64bit ? Réponse > http://download.igorware.com/64bitchecker.exe
RogueKiller est un programme informatique, dans l'environnement Microsoft Windows,
de type " Logiciel de sécurité " (élimination de malveillances).
RogueKiller est utilisé, entre autres, contre les crapwares (logiciels trompeurs appelés "
rogues ", d'où le nom de RogueKiller). Les crapwares sont, essentiellement, les multitudes
de faux logiciels de sécurité, faux antivirus, faux pare-feu, faux nettoyeurs, faux antispywares etc. ... Plus de 2600 d'entre eux sont répertoriés dans " La Crapthèque ".
RogueKiller analyse les processus en cours d'exécution et tue ceux reconnus comme
étant malicieux
RogueKiller est très rapide car il ne balaye pas les fichiers ou les processus pour voir s'ils
constituent une menace mais, au contraire, cherche directement si les traces des menaces
qu'il connait et dont il connait les modes d'implantation, sont présentes (RogueKiller est
un scanner d'emplacements privilégiés uniquement - il n'analyse aucun des fichiers et ne
l'a jamais fait).
Attention - RogueKiller s'exécute en deux temps
Phase 1
Dès le lancement de son exécution, RogueKiller effectue automatiquement une préanalyse (un préscan) et tue, en mémoire, tout ce qui est en cours d'exécution (processus et
services) et est hostile à son exécution et à l'exécution d'autres logiciels de sécurité.
Durant cette phase, RogueKiller vérifie s'il existe une nouvelle version et propose de la
télécharger (fortement recommandé) ou de continuer avec la version actuelle (fortement
déconseillé). Le pilote de RogueKiller est enfin chargé en mémoire.
Le logo Driver, en haut à droite de la fenêtre de RogueKiller, ne vire au vert que lorsque
le driver de RogueKiller est chargé en mémoire et actif.
RogueKiller - Logo Driver
Si des processus et/ou des services ont été tués, la liste apparaîtra, de manière informative,
dans l'onglet Processus de RogueKiller.
A ce stade de l'exécution de RogueKiller, aucune action n'est encore effectuée. A la fin de
cette phase 1, et avant de passer à la phase 2, RogueKiller demande que soit accepté le
contrat de licence EULA (End User Licence Agrement). L'utilisateur peut alors
redémarrer son ordinateur sans que rien ne soit affecté par la phase 1, ou cliquer sur le
bouton Scan et lancer la phase 2.
Phase 2
Après la pré-analyse (le pré-scan), on doit poursuivre avec une analyse (un scan) étendue,
toujours par RogueKiller, en cliquant sur le bouton Scan, ou laisser RogueKiller en
suspend après sa phase 1 et lancer l'exécution d'autres outils de sécurité et
décontamination qui n'auraient pas pu se lancer sans la phase 1 de RogueKiller.
A l'issu de la seconde phase, étendue, d'analyse (de scan) par RogueKiller, ce dernier
signale les malveillances qu'il identifie, classées sous plusieurs onglets, dans son interface
graphique (onglets Registre, Tâches, Hosts, AntiRootkit, Fichiers/Dossiers, MBR et
Navigateurs Web).
RogueKiller, à votre demande, va détruire ces malveillants.
Attention - le bouton Suppression supprime simultanément tout ce
qui est coché dans tous les onglets (" Processus ", " Registre ", "
Tâches ", " Fichiers et Dossiers ", " Navigateurs Web ".
Bien regarder ces onglets avant de cliquer sur Suppression.
En effectuant un clic droit sur la souris et dans la fenêtre vous avez la possibilité de
"sélectionner tout"
Vous devez cocher toutes les cases pour supprimer les malveillants.
ATTENTION NE PAS SUPPRIMER LES FICHIERS
DANS L’ONGLET
HOSTS
Vous n’auriez plus de proxy pour naviguer sur internet et l’intranet
sans compter les problèmes de messagerie.
Hosts peut aussi contenir, selon les outils de sécurisation de la navigation que vous avez
installés, des dizaines de milliers de noms de domaines totalement hostiles et qu'il faut
bloquer. S'il s'avère que votre fichier hosts est pollué, cliquez sur le bouton Réparation
fichier Hosts qui remettra a votre fichier hosts dans son état d'origine (vide sauf la ligne
contenant l’adresse du serveur 10.38.xx.254 ou 127.0.0.1 localhosts qui est obligatoire
sous les versions de Windows antérieures à Vista et implicite dans les versions suivantes
de Windows).
Vous pouvez passez à l’exécution de
ADWCLEANER
AdwCleaner est un logiciel gratuit dont le but est de supprimer les adwares (programmes
publicitaires), les PUP/LPIs (programmes potentiellement indésirables), les toolbars
(barres d'outils greffées au navigateur) et les hijackers (détournement de la page de
démarrage du navigateur).
Parmi les programmes que AdwCleaner est capable de supprimer, on notera notamment
Omiga Plus, Delta Search, Qvo6, MyStart, Astromenda Search, Trovigo, Searchqu,
Iminent, Snap.do qui font partie de ceux qui reviennent le plus souvent. Il dispose d'un
mode recherche et d'un mode suppression. Il se désinstalle tout simplement à l'aide du
bouton "Désinstaller" présent dans son interface.
Nota Bene: ADWCleaner peut parfois être considéré par certain antivirus comme faux
positif et mis en quarantaine.
Télécharger à cette adresse
https://toolslib.net/downloads/viewdownload/1-adwcleaner/
Après avoir téléchargé le logiciel ADWCLEANER, il faut le lancer
Cliquez sur télécharger à droite
Cliquez sur Exécuter
Ensuite une fenêtre s’ouvre :
Il faut accepter
Une fenêtre va s’ouvrir ensuite :
Une fois cette fenêtre affiché sur votre poste de travail il suffit de cliquer sur
« Scanner »
Une fois que le scan est fait vous pouvez passer à l'étape suivante, c'est-àdire la suppression définitive des malveillants,
Un redémarrage est nécessaire pour valider les opérations de nettoyage que vous venez de
faire.
Après le redémarrage de l’ordinateur, il faudrait installer
et paramétrer pour votre sécurité
les logiciels suivants :
———–
Ad-Aware version
Antivirus + AntiSpyware.
C’est un antivirus ultra-rapide combiné à notre anti-spyware légendaire. Une
combinaison puissante qui bloque et supprime les types de malware les plus
endurcis, y compris: les virus, spywares, adwares, trojans et plus.
Ou à l’adresse suivante : http://www.01net.com/operations/Lavasoft/?xts=449128&xtor=AD76&xtdt=23019216
———–
Anti-Malware Gratuit
Détecte et supprime les malware que votre antivirus manquera.




Détecte les nouveaux (zéro-hour) malwares que votre antivirus
manquera
Enlève même les malwares les plus profondément ancrés
Ne vous coûte pas un centime
Compatible avec la plupart des antivirus
Télécharger à l’adresse suivante : http://downloads.malwarebytes.org/file/mbam/
Et pour finir :
Lorsque vous installez des logiciels, il arrive que certains essayent de vous
faire installer des logiciels supplémentaires, ou des barres d’outils
publicitaires. Lors de l’installation de certains logiciels, il peut également
arriver que votre page d’accueil ou votre moteur de recherche de votre
navigateur web soit changé.
Pour y remédier, vous devez décliner l’installation de ces outils
supplémentaires, mais encore faut-il le savoir et le comprendre, surtout
quand c’est dans une langue étrangère.
Disponible gratuitement et en français, à cette adresse : Unchecky
C’est un utilitaire permettant de protéger votre ordinateur de ces logiciels et
barres d’outils supplémentaires indésirables installés à votre insu.
Unchecky décoche automatiquement les outils additionnels à installer et
vous informe lorsque vous acceptez une offre potentiellement indésirable.
----------------------------------
Les pages suivantes sont un complément au logiciel
RogueKiller pour des usagers avertis.
Si vous voulez connaître le fonctionnement en détail de
RogueKiller voyez la suite.
Voici le détail concernant les différents onglets dans la fenêtre de RogueKiller
01 - RogueKiller - Onglet Processus
Cet onglet fait apparaître les dispositifs de crochetage (hook) existants. Ceux sur fond vert
sont légitimes. Ceux sur fond orange sont suspicieux. Vous ne pouvez rien supprimer de
ce qui apparaît
Cet onglet est purement informatif et indique les processus et les services que RogueKiller
a stoppé (tué) durant la phase dite de PréScan.
02 - RogueKiller - Onglet Registre
En principe, tout cocher et cliquer sur le bouton Suppression.
03 - RogueKiller - Onglet Tâches
04 - RogueKiller - Onglet Hosts
Votre fichier Hosts, qui est un DNS local (un serveur de noms de domaine - lire Hosts et
DNS - Un peu d'histoire), peut contenir des altérations vous empêchant d'atteindre cer
tains sites, en bloquant
05 - RogueKiller - Onglet AntiRootkit
ici. Reportez-vous vers un forum d'entraide et de décontamination
06 - RogueKiller - Onglet Fichiers et Dossiers
07 - RogueKiller - Onglet MBR
Lecture du MBR (Master Boot Record) du disque système (et des autres disques s'il y en
a, y compris les cartes SD/MMC). Cette information peut vous être demandée par un
analyste qui vous assiste, sur un forum d'entraide.
Le démarrage d'un ordinateur se passe toujours en trois temps.
1. Lors de la mise sous tension, le premier programme à s'exécuter et un micro
programme, le BIOS, codé dans une mémoire non effaçable (une ROM) sur la carte mère.
2. Après quelques tests et vérifications, le BIOS lance un second programme, le
BootStrap, quise trouve toujours piste 0, secteur 0 et 1, du disque système, dans une zone
du disque de démarrage (disque désigné dans le BIOS), appelée MBR (Master Boot
Record). Le MBR contient également la table des partitions avec les informations de taille
et de localisation des différentes partitions logiques du volume physique.
3. Le BootStrap va, à son tout, lancer le système d'exploitation lui-même. Il peut y avoir
une étape intermédiaire additionnelle si le système est multiboot (par exemple, Windows
et Linux sont installés) et vous demande sur quel système démarrer.
Le programme écrit dans la MBR, le BootStrap, peut être corrompu par des malveillances
qui s'assurent, ainsi, de toujours exécuter certains travaux avant que le système ne monte
en mémoire, donc avant qu'une quelconque application de sécurité ne soit active. Même
en cas de démarrage en mode sans échec, la malveillance s'exécutera.
Ces malveillances s'appellent des BootKits. C'est le cas des malveillances TDSS, MaxSST
ou Stoned, qui modifient soit le code du BootStrap pour lancer leurs propres composants,
soit la table des partitions pour booter sur une partition fantôme.
RogueKiller permet de détecter et supprimer les BootKits, même lorsqu'ils masquent leur
présence.Plusieurs indicateurs montrent la légitimité d'un MBR : Le bootstrap est connu,
et légitime. Ensuite,la lecture à différents niveaux d’abstraction retourne les même
résultats (ce qui signifie que le MBRn'est pas masqué).
08 - RogueKiller - Navigateurs Web
Cet onglet fait apparaître les dispositifs de crochetage (hook) existants.
Ceux sur fond vert sont légitimes. Ceux sur fond orange sont suspicieux.
RogueKiller : Notes
RogueKiller est capable d'analyser et supprimer les clés de registre pointant vers des
ressources malicieuses, mais aussi les processus malicieux qui s'inscrivent en taches
planifiées afin d'être lancés régulièrement, les dossiers de démarrage automatique et les
emplacements de fichiers suspects ou connus.
RogueKiller dispose d'une interface graphique qui permet de choisir facilement les modes
à utiliser, et décocher d'éventuels faux positifs avant suppression.
RogueKiller détecte certains rootkits et leurs méthodes de contournement comme les
hooks SSDT, Shadow SSDT, IRP, les processus cachés, les clés de registre cachées et les
détournements du Master boot Record (MBR).
RogueKiller permet aussi de rétablir un accès internet fonctionnel dans certains cas
comme le détournement de configuration DNS, la mise en place d'un Proxy malicieux, ou
un détournement de l'utilisation du fichier Hosts.
RogueKiller permet de récupérer l'intégralité des fichiers / dossiers / raccourcis masqués
par cer tains crapwares (appelés " rogues ", d'où le nom de RogueKiller ) de type "Fake
HDD" (System Check, System Restore, System Fix, .etc. ..).
RogueKiller - Précautions d'utilisation
Dans tous les cas, après avoir téléchargé RogueKiller, l'exécuter après un démarrage
normal de Windows.
Ne pas redémarrez en mode " Sans échec " avant de lancer RogueKiller.
Compte tenu de son fonctionnement en analyseur (scanner) d'emplacement privilégiés et
de processus actifs (et non pas en scanner de fichiers), RogueKiller, contrairement aux
autres analyseurs, doit être exécuté après un démarrage normal de Windows, sinon,
certains emplacements privilégiés analysés seraient vides et la malveillance ne serait pas
débusquée.
Si RogueKiller analyse la " Liste de démarrage " standard de Windows, il ne peut pas
analyser la totalité des innombrables emplacements, dont certains secrets et non
documentés, où un processus peut se cacher pour être lancé automatiquement au
démarrage de Windows. On peut se rendre compte de l’iatus entre une " Liste de
démarrage standard " et un travail de recherche approfondi, en regardant la manière dont
les outils standard de construction de cette liste voient cette liste et la manière dont
Autoruns (SysInternals) voit cette même liste :
Sur la même machine, ces logiciels vont construire une liste de démarrage assez
différente. Voici le nombre d'objets se lançant automatiquement au démarrage de
Windows, détectés par divers outils, au même moment:
Détectés par Revo Uninstaller : 5 objets
Détectés par CCleaner : 6 objets - CCleaner est très prisé mais n'est pas très performant.
Détectés par Starter (CodeStuff) : 8 objets
Détectés par Spybot Search and Destroy : 15 objets
Détectés par MSConfig : 21 objets (6 objets actifs et les objets désactivés) - MSConfig est un
composant natif de Windows, très simple d'emploi et ne nécessitant aucun téléchargement
ni aucune installation. Il a une lecture assez complète du démarrage de Windows. C'est
sans doute l'outil à privilégier pour tous les utilisateurs.
Détectés par System Ninja : 36 objets (5 objets actifs et les objets désactivés) - une bonne
alternative à MSConfig.
Détectés par Autoruns (SysInternals) : 475 objets (outil professionnel pour utilisateur très
avancé)
Donc RogueKiller a plus de chance de mettre la main sur un processus hostile lorsque le
processus hostile est actif (monté en mémoire) que lorsqu'il reste caché et dormant.
Facile à utiliser mais bien suivre :
1. Le tutoriel officiel de RogueKiller.
2. Le tutoriel d'interprétation des résultats de RogueKiller.
En cas de doute ou d'hésitation, demandez une assistance.
Ne tentez rien dont vous ne comprenez pas les tenants et les
aboutissants.
Attention : Faux positifs possibles et arbitrages
Attention! De par son design, RogueKiller peut mettre en évidence des processus
totalement légitimes, mais qui s'exécutent avec des modes opératoires habituellement
utilisés par des malveillances. Ces résultats erronés sont connus sous le terme de " faux
positifs ".
Tigzy a été amené à faire un choix entre :
" faible détection avec 0 faux positif " <> " détection quasi systématique et quelques faux
positifs "
Tigzy a fait le choix du niveau de détection le plus élevé. En contrepartie, il faut bien
regarder les clés de registre détectées (dans l'onglet " registre ") et décocher celles que
vous reconnaissez
comme des programmes légitimes. En cas de doute ou d'hésitation, demandez une
assistance. Ne tentez rien dont vous ne comprenez pas les tenants et les aboutissants. Une
décision prise sans réflexion, au petit bonheur la chance, a toutes les chances de " planter "
une application légitime, voire de planter l'ordinateur.
D'autre part, vous aideriez Tigzy et, par conséquent, la communauté, en faisant remonter
vers Tigzy les faux positifs produits par RogueKiller. Après analyse, une modification du
code de RogueKiller, et/ou de sa liste blanche, permettra, dans les versions suivantes, de
ne plus produire ce faux positif.
Après utilisation, supprimez RogueKiller qui, demain, sera différent de celui
d'aujourd'hui, Tigzy mettant son produit à jour en continu.
Derrière le rideau
Le 15.06.2013, Tigzy (Julien ASCOET) enregistre le nom de domaine adlice.com et met
en place une enseigne commerciale : Adlice Software. Peu après, RogueKiller change de
logo pour adopter une apparence plus.sérieuse, plus.professionnelle.
TÊTE DU RAPPORT
Système d’exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version [Système
d’exploitation]
Démarrage : Mode normal [Mode de démarrage (Normal, Sans échec, Sans échec avec
prise en charge réseau)]
Utilisateur : tigzy [Droits d’admin] [Nom de session, Droits]
Mode : Recherche — Date : 08/07/2014 10:27:46 [Mode de RogueKiller (Scan,
Suppression, …), Date d’éxécution]
RÉPERTOIRE D’INSTALLATION
RogueKiller est installé dans %programdata%/RogueKiller.
Pour informations, les sous-répertoires sont les suivants. Vous n’êtes pas censé modifier quoi
que ce soit à l’intérieur.



Logs: Contient les rapports
Quarantine: Contient la quarantaine
Debug: Contient les dumps MBR, et les crash dumps (s’il y en a)
NOTE SPECIFIQUE
Déterminer si un fichier est signé/vérifié ou manquant



[7] Le fichier est signé et vérifié (la signature digitale existe et est valide)
[-] Le fichier n’est pas signé, ou sa signature digitale est invalide
[x] Le fichier n’existe pas
NOMS DE DÉTECTIONS
PUMs (Potentially Unwanted Modification):

PUM.Dns [Possible détournement DNS: Merci de vérifier les IPs sur Google avant de
supprimer. Si les IPs ne sont pas enregisrtées dans votre pays, supprimez les.]
Example: [PUM.Dns] (X64)
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{E2BC
E143-2E7F-4A16-B8B4-029B4F193911} | DhcpNameServer : 10.207.255.130 10.207.255.130 ->
FOUND

PUM.DesktopIcons [Possible détournement des icônes du bureau. Ces lignes doivent être
ignorées quand seulement des PUMs sont détectés, car elles résultent probablement d’une
configuration utilisateur.]
Example: [PUM.DesktopIcons] (X64)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktop
Icons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> FOUND

PUM.Proxy [Possible configuration proxy non désirée. Si vous n’avez pas installé de proxy,
ces lignes doivent être supprimées]
Example: [PUM.Proxy]
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings |
ProxyEnable : 1 -> FOUND
PROCESSUS/SERVICES
Processus:
[Suspicious.Path] malware_proc.com — C:\temp\malware_proc.com[7] -> TUÉ [TermProc]
[Suspicious.Path] malware.exe — c:\temp\malware.exe[-] -> TUÉ [TermProc]
[Nom de détection] Nom du processus — Chemin du processus [Signature du fichier] ->
Statut d’arrêt [methode]
DLLs:
[Suspicious.Path] rundll32.exe — C:\temp\inject.dll[-] -> DECHARGÉE
[Nom de détection] Nom du processus — Chemin du module[Signature du fichier] ->
Statut de déchargement
Services:
[Tr.Attraps] (SVC) sshnas — C:\sshnas.exe[-] -> STOPPÉ
[Nom de détection] (SVC) Nom du service — Chemin du service [Signature du fichier] > Statut d’arrêt
REGISTRE
Valeurs de registre:
[Suspicious.Path] (X64)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | test :
C:\temp\malware.exe -> TROUVÉ
[Shell.HJ] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon | Shell : c:\temp\malware.exe -> TROUVÉ
[Nom de détection] (X64) [Vue 64 bits] (Vide) [Vue 32 bits] Clé de Registre | Valeur de
Registre : Donnée de Registre -> Statut
Clés de registre:
[Rogue.BlueFlare] HKEY_CLASSES_ROOT\CLSID\{19090308-636D-4E9B-A1CEA647B6F794BF} -> TROUVÉ [Suspicious.Path]
KEY_LOCAL_MACHINE\System\CurrentControlSet\Services\catchme -> TROUVÉ
[ZeroAccess] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\userinit ->
TROUVÉ
[Nom de détection] Clé de registre -> Statut
TACHES
[Suspicious.Path] task_test.job — C:\WINDOWS\system32\rundll32.exe
(« C:\temp\malware.dll, blabla ») -> TROUVÉ
[Nom de détection] Dossier \ Nom de la tâche — Cible de la tâche (Paramètres) -> Statut
FICHIERS/DOSSIERS
Fichiers:
[Suspicious.Startup][Fichier] netc.exe — C:\Documents and Settings\tigzy\Menu
Démarrer\Programmes\Démarrage\netc.exe -> TROUVÉ
[Nom de détection][Type] Nom du fichier — Chemin du fichier -> Statut
Raccourcis:
[Suspicious.Path][Fichier] malware.exe.lnk — C:\Documents and Settings\tigzy\Menu
Démarrer\Programmes\Démarrage\malware.exe.lnk [LNK@] C:\temp\malware.exe ->
TROUVÉ
[Nom de détection][Type] Nom du raccourci — Chemin du raccourci [@LNK] Chemin
de la cible -> Statut
Dossiers:
[Tr.Karagany][Repertoire] shed — C:\Documents and Settings\tigzy\Application
Data\Adobe\shed -> TROUVÉ
[Nom de détection][Type] Nom du dossier — Chemin du dossier -> Statut
Jonctions/Reparse point:
[ZeroAccess][Jonction] $NtUninstallKB1111abc$ —
:\WINDOWS\$NtUninstallKB1111abc$ [JUNCTION@ a0000003] >> \??\C:\Windows\temp
-> TROUVÉ
[Nom de détection][Type] Nom du fichier — Chemin du fichier [JUNCTION@ Tag de
la jonction] >> Cible de la jonction -> Statut
FICHIER HOSTS
[C:\WINDOWS\system32\drivers\etc\hosts] 127.0.0.1 localhost
[C:\WINDOWS\system32\drivers\etc\hosts] ::1 localhost
[C:\WINDOWS\system32\drivers\etc\hosts] 123.456.789.000 www.facebook.com [Hj.Hosts]
-> TROUVÉ
[C:\WINDOWS\system32\drivers\etc\hosts] 123.456.789.000 www.google.com [Hj.Hosts] ->
TROUVÉ
[Chemin du fichier hosts] Ligne de hosts [Nom de détection (si malicieux)] -> Statut (Si
malicieux)
ANTIROOTKIT
Hooks EAT/IAT:
[IAT:Addr] (explorer.exe) ntdll.dll – NtOpenProcess : C:\windows\SYSTEM32\injected.dll
@ 0xabc12345
[EAT:Addr] (iexplore.exe) ntdll.dll – NtCreateProcess : C:\windows\SYSTEM32\injected.dll
@ 0x6cd6640e
[Type de table:Type de hook] (Nom du processus) Nom du module original – Nom de
fonction : Chemin du module détour @ Adresse fonction de détour
Hooks SSDT/Shadow SSDT:
[SSDT:Addr(Hook.SSDT)] NtEnumerateKey[71] : C:\RegHider.sys @ 0xf8ddd480
[SSDT:Addr(Hook.SSDT)] NtEnumerateValueKey[73] : C:\RegHider.sys @ 0xf8ddd406
[SSDT:Addr(Hook.SSDT)] NtLoadKey[98] : Unknown @ 0xf8d76f02
[Type de table:Type de hook] Nom de fonction : Chemin du module détour @ Adresse
fonction de détour
Filtres Kernel:
[Filter(Root.Filter)] \Driver\atapi @ \Device\Harddisk0\DR0 : \Driver\atapi @ Unknown
(atapi.sys)
[Filter(Kernel.Filter)] \Driver\disk @ Unknown : \Driver\malware_driver @
Device\malware_device (\SystemRoot\system32\DRIVERS\malware.sys)
[Filter(Root.Keylogger)] \Driver\kbdclass @ Unknown : \Driver\keylog @ \Device\keylogdev
(\SystemRoot\system32\DRIVERS\keylogger.sys)
[Filter(Nom de détection)] Nom du driver @ Nom de la device : Nom du driver détour
@ Nom de la device détour (Chemin du module détour)
Hooks IRP:
[IRP:Addr(Hook.IRP)] atapi.sys – DriverStartIo[28] :
\SystemRoot\system32\DRIVERS\atapi_hook.sys@ 0x817fe31b
[IRP:Type de hook(Nom de détection)] Nom du driver – Nom de l’IRP[Index d’IRP] :
Chemin du module détour @ Adresse de la fonction détour
NAVIGATEURS WEB
Config:
[PUM.Proxy][FIREFX:Config] 7n6s6tn6.default : user_pref(« network.proxy.http »,
« 127.0.0.1 »); -> TROUVÉ [PUM.Proxy][FIREFX:Config] 7n6s6tn6.default :
user_pref(« network.proxy.http_port », 1045); -> TROUVÉ [PUM.Proxy][FIREFX:Config]
7n6s6tn6.default : user_pref(« network.proxy.type », 1); -> TROUVÉ [Nom de
détection][Navigateur:Type] Utilisateur : Ligne de configuration -> Statut
Extensions:
[PUP][IE:Addon] System : MixiDJ V30 Toolbar [{1122b43d-30ee-403f-9bfa-cc99b0caddd}]
-> FOUND
[Nom de détection][Navigateur:Type] Utilisateur : Nom d’extension [ID d’extension] ->
Statut
VERIFICATION MBR
PhysicalDrive0: VBOX HARDDISK +++++ [Numéro de disque physique, Nom du disque]
— User — [Méthode de lecture (Utilisateur, LL1, LL2)]
[MBR] c708b764ca9daa4f8f33e4e8b3b517da [MBR hash (MD5)]
[BSP] f4eb87199eee8a432bb482bb55118447 : Windows XP MBR Code [Bootstrap hash
(MD5), Nom de détection du bootstrap] Partition table: [Table des partition] 0 – ACTIVE]
NTFS (0x7) [VISIBLE] Offset (sectors): 63 | Size: 4086 MB [[Partition statut (ACTIVE ou
non)] Format (Nombre du format de fichiers) [Visible ou Hidden[Caché]) Emplacement
sur le DD en secteurs | Taille en Mo] User = LL1 … OK [User = LL1 chaque méthode à
retourné la même chose, ce qui est attendu]User = LL2 … OK [User = LL2 chaque
méthode à retourné la même chose, ce qui est attendu]
PIED DU RAPPORT
The pied de rapport affiche les précédents rapports disponibles.
RKreport_SCN_08072014_142629.log – RKreport_SCN_08072014_142631.log –
Kreport_SCN_08072014_142636.log RKReport_[TYPE DE SCAN (SCN = Scan, DEL =
Suppression]]_[DATE (Mois Jour Année)]_[HEURE (Heure Minute Seconde)].log

Procédure

Transcription

Documents pareils

Dial-a-fix pour corriger les mises à jour de Windows.

Outils et techniques d`analyse de code malveillant

QUESTIONS nettoyage des PC Note : Certains composants de

CD-ROM User`s Manual, 6 Languages

Microsoft Genuine - WindowsLinux.net

decouvrez windows 7

recrute - Neuilly

Outil de suppression de logiciels malveillants Ce logiciel est un outil

Accélérer le démarrage de Windows 7

CPAM du Val de Marne Bordereaux