Procédure
Transcription
Procédure
Procédure de nettoyage de malveillants sur l'ordinateur RogueKiller est un logiciel chasseur de crapwares et d'autres malveillances, dans l'environnement Windows. Il peut être plus ou moins mis entre toutes les mains, sans nécessiter de connaissances particulières des arcanes de Windows. Vous pouvez le télécharger à cette adresse : http://www.adlice.com/fr/logiciels/roguekiller/ Si votre machine tourne en 32 Bits ou 64 Bits, choisissez la version adéquate de RogueKiller en Local : Version 32 Bits version 64 Bits Si vous ne connaissez pas la version de votre machine allez dans : « Panneau de configuration », « Système », Procédure de nettoyage de malveillants sur l'ordinateur C. Bézard 02 avril 2015 Version de votre système Quel est la version de mon Windows ? 32bit ou 64bit ? Réponse > http://download.igorware.com/64bitchecker.exe RogueKiller est un programme informatique, dans l'environnement Microsoft Windows, de type " Logiciel de sécurité " (élimination de malveillances). RogueKiller est utilisé, entre autres, contre les crapwares (logiciels trompeurs appelés " rogues ", d'où le nom de RogueKiller). Les crapwares sont, essentiellement, les multitudes de faux logiciels de sécurité, faux antivirus, faux pare-feu, faux nettoyeurs, faux antispywares etc. ... Plus de 2600 d'entre eux sont répertoriés dans " La Crapthèque ". RogueKiller analyse les processus en cours d'exécution et tue ceux reconnus comme étant malicieux RogueKiller est très rapide car il ne balaye pas les fichiers ou les processus pour voir s'ils constituent une menace mais, au contraire, cherche directement si les traces des menaces qu'il connait et dont il connait les modes d'implantation, sont présentes (RogueKiller est un scanner d'emplacements privilégiés uniquement - il n'analyse aucun des fichiers et ne l'a jamais fait). Procédure de nettoyage de malveillants sur l'ordinateur C. Bézard 02 avril 2015 Attention - RogueKiller s'exécute en deux temps Phase 1 Dès le lancement de son exécution, RogueKiller effectue automatiquement une préanalyse (un préscan) et tue, en mémoire, tout ce qui est en cours d'exécution (processus et services) et est hostile à son exécution et à l'exécution d'autres logiciels de sécurité. Durant cette phase, RogueKiller vérifie s'il existe une nouvelle version et propose de la télécharger (fortement recommandé) ou de continuer avec la version actuelle (fortement déconseillé). Le pilote de RogueKiller est enfin chargé en mémoire. Le logo Driver, en haut à droite de la fenêtre de RogueKiller, ne vire au vert que lorsque le driver de RogueKiller est chargé en mémoire et actif. RogueKiller - Logo Driver Si des processus et/ou des services ont été tués, la liste apparaîtra, de manière informative, dans l'onglet Processus de RogueKiller. A ce stade de l'exécution de RogueKiller, aucune action n'est encore effectuée. A la fin de cette phase 1, et avant de passer à la phase 2, RogueKiller demande que soit accepté le contrat de licence EULA (End User Licence Agrement). L'utilisateur peut alors redémarrer son ordinateur sans que rien ne soit affecté par la phase 1, ou cliquer sur le bouton Scan et lancer la phase 2. Phase 2 Après la pré-analyse (le pré-scan), on doit poursuivre avec une analyse (un scan) étendue, toujours par RogueKiller, en cliquant sur le bouton Scan, ou laisser RogueKiller en suspend après sa phase 1 et lancer l'exécution d'autres outils de sécurité et décontamination qui n'auraient pas pu se lancer sans la phase 1 de RogueKiller. A l'issu de la seconde phase, étendue, d'analyse (de scan) par RogueKiller, ce dernier signale les malveillances qu'il identifie, classées sous plusieurs onglets, dans son interface graphique (onglets Registre, Tâches, Hosts, AntiRootkit, Fichiers/Dossiers, MBR et Navigateurs Web). RogueKiller, à votre demande, va détruire ces malveillants. Attention - le bouton Suppression supprime simultanément tout ce qui est coché dans tous les onglets (" Processus ", " Registre ", " Tâches ", " Fichiers et Dossiers ", " Navigateurs Web ". Bien regarder ces onglets avant de cliquer sur Suppression. En effectuant un clic droit sur la souris et dans la fenêtre vous avez la possibilité de "sélectionner tout" Vous devez cocher toutes les cases pour supprimer les malveillants. Procédure de nettoyage de malveillants sur l'ordinateur C. Bézard 02 avril 2015 ATTENTION NE PAS SUPPRIMER LES FICHIERS DANS L’ONGLET HOSTS Vous n’auriez plus de proxy pour naviguer sur internet et l’intranet sans compter les problèmes de messagerie. Hosts peut aussi contenir, selon les outils de sécurisation de la navigation que vous avez installés, des dizaines de milliers de noms de domaines totalement hostiles et qu'il faut bloquer. S'il s'avère que votre fichier hosts est pollué, cliquez sur le bouton Réparation fichier Hosts qui remettra a votre fichier hosts dans son état d'origine (vide sauf la ligne contenant l’adresse du serveur 10.38.xx.254 ou 127.0.0.1 localhosts qui est obligatoire sous les versions de Windows antérieures à Vista et implicite dans les versions suivantes de Windows). Vous pouvez passez à l’exécution de ADWCLEANER AdwCleaner est un logiciel gratuit dont le but est de supprimer les adwares (programmes publicitaires), les PUP/LPIs (programmes potentiellement indésirables), les toolbars (barres d'outils greffées au navigateur) et les hijackers (détournement de la page de démarrage du navigateur). Parmi les programmes que AdwCleaner est capable de supprimer, on notera notamment Omiga Plus, Delta Search, Qvo6, MyStart, Astromenda Search, Trovigo, Searchqu, Iminent, Snap.do qui font partie de ceux qui reviennent le plus souvent. Il dispose d'un mode recherche et d'un mode suppression. Il se désinstalle tout simplement à l'aide du bouton "Désinstaller" présent dans son interface. Nota Bene: ADWCleaner peut parfois être considéré par certain antivirus comme faux positif et mis en quarantaine. Procédure de nettoyage de malveillants sur l'ordinateur C. Bézard 02 avril 2015 Télécharger à cette adresse https://toolslib.net/downloads/viewdownload/1-adwcleaner/ Après avoir téléchargé le logiciel ADWCLEANER, il faut le lancer Cliquez sur télécharger à droite Cliquez sur Exécuter Ensuite une fenêtre s’ouvre : Procédure de nettoyage de malveillants sur l'ordinateur C. Bézard 02 avril 2015 Il faut accepter Une fenêtre va s’ouvrir ensuite : Une fois cette fenêtre affiché sur votre poste de travail il suffit de cliquer sur « Scanner » Une fois que le scan est fait vous pouvez passer à l'étape suivante, c'est-àdire la suppression définitive des malveillants, Un redémarrage est nécessaire pour valider les opérations de nettoyage que vous venez de faire. Procédure de nettoyage de malveillants sur l'ordinateur C. Bézard 02 avril 2015 Après le redémarrage de l’ordinateur, il faudrait installer et paramétrer pour votre sécurité les logiciels suivants : ———– Ad-Aware version Antivirus + AntiSpyware. C’est un antivirus ultra-rapide combiné à notre anti-spyware légendaire. Une combinaison puissante qui bloque et supprime les types de malware les plus endurcis, y compris: les virus, spywares, adwares, trojans et plus. Ou à l’adresse suivante : http://www.01net.com/operations/Lavasoft/?xts=449128&xtor=AD76&xtdt=23019216 ———– Anti-Malware Gratuit Détecte et supprime les malware que votre antivirus manquera. Détecte les nouveaux (zéro-hour) malwares que votre antivirus manquera Enlève même les malwares les plus profondément ancrés Ne vous coûte pas un centime Compatible avec la plupart des antivirus Télécharger à l’adresse suivante : http://downloads.malwarebytes.org/file/mbam/ Procédure de nettoyage de malveillants sur l'ordinateur C. Bézard 02 avril 2015 Et pour finir : Lorsque vous installez des logiciels, il arrive que certains essayent de vous faire installer des logiciels supplémentaires, ou des barres d’outils publicitaires. Lors de l’installation de certains logiciels, il peut également arriver que votre page d’accueil ou votre moteur de recherche de votre navigateur web soit changé. Pour y remédier, vous devez décliner l’installation de ces outils supplémentaires, mais encore faut-il le savoir et le comprendre, surtout quand c’est dans une langue étrangère. Disponible gratuitement et en français, à cette adresse : Unchecky C’est un utilitaire permettant de protéger votre ordinateur de ces logiciels et barres d’outils supplémentaires indésirables installés à votre insu. Unchecky décoche automatiquement les outils additionnels à installer et vous informe lorsque vous acceptez une offre potentiellement indésirable. ---------------------------------- Procédure de nettoyage de malveillants sur l'ordinateur C. Bézard 02 avril 2015 Les pages suivantes sont un complément au logiciel RogueKiller pour des usagers avertis. Si vous voulez connaître le fonctionnement en détail de RogueKiller voyez la suite. Voici le détail concernant les différents onglets dans la fenêtre de RogueKiller 01 - RogueKiller - Onglet Processus Cet onglet fait apparaître les dispositifs de crochetage (hook) existants. Ceux sur fond vert sont légitimes. Ceux sur fond orange sont suspicieux. Vous ne pouvez rien supprimer de ce qui apparaît Cet onglet est purement informatif et indique les processus et les services que RogueKiller a stoppé (tué) durant la phase dite de PréScan. 02 - RogueKiller - Onglet Registre En principe, tout cocher et cliquer sur le bouton Suppression. 03 - RogueKiller - Onglet Tâches En principe, tout cocher et cliquer sur le bouton Suppression. 04 - RogueKiller - Onglet Hosts Votre fichier Hosts, qui est un DNS local (un serveur de noms de domaine - lire Hosts et DNS - Un peu d'histoire), peut contenir des altérations vous empêchant d'atteindre cer tains sites, en bloquant 05 - RogueKiller - Onglet AntiRootkit ici. Reportez-vous vers un forum d'entraide et de décontamination 06 - RogueKiller - Onglet Fichiers et Dossiers En principe, tout cocher et cliquer sur le bouton Suppression. 07 - RogueKiller - Onglet MBR Lecture du MBR (Master Boot Record) du disque système (et des autres disques s'il y en Procédure de nettoyage de malveillants sur l'ordinateur C. Bézard 02 avril 2015 a, y compris les cartes SD/MMC). Cette information peut vous être demandée par un analyste qui vous assiste, sur un forum d'entraide. Le démarrage d'un ordinateur se passe toujours en trois temps. 1. Lors de la mise sous tension, le premier programme à s'exécuter et un micro programme, le BIOS, codé dans une mémoire non effaçable (une ROM) sur la carte mère. 2. Après quelques tests et vérifications, le BIOS lance un second programme, le BootStrap, quise trouve toujours piste 0, secteur 0 et 1, du disque système, dans une zone du disque de démarrage (disque désigné dans le BIOS), appelée MBR (Master Boot Record). Le MBR contient également la table des partitions avec les informations de taille et de localisation des différentes partitions logiques du volume physique. 3. Le BootStrap va, à son tout, lancer le système d'exploitation lui-même. Il peut y avoir une étape intermédiaire additionnelle si le système est multiboot (par exemple, Windows et Linux sont installés) et vous demande sur quel système démarrer. Le programme écrit dans la MBR, le BootStrap, peut être corrompu par des malveillances qui s'assurent, ainsi, de toujours exécuter certains travaux avant que le système ne monte en mémoire, donc avant qu'une quelconque application de sécurité ne soit active. Même en cas de démarrage en mode sans échec, la malveillance s'exécutera. Ces malveillances s'appellent des BootKits. C'est le cas des malveillances TDSS, MaxSST ou Stoned, qui modifient soit le code du BootStrap pour lancer leurs propres composants, soit la table des partitions pour booter sur une partition fantôme. RogueKiller permet de détecter et supprimer les BootKits, même lorsqu'ils masquent leur présence.Plusieurs indicateurs montrent la légitimité d'un MBR : Le bootstrap est connu, et légitime. Ensuite,la lecture à différents niveaux d’abstraction retourne les même résultats (ce qui signifie que le MBRn'est pas masqué). 08 - RogueKiller - Navigateurs Web Cet onglet fait apparaître les dispositifs de crochetage (hook) existants. Ceux sur fond vert sont légitimes. Ceux sur fond orange sont suspicieux. En principe, tout cocher et cliquer sur le bouton Suppression. RogueKiller : Notes RogueKiller est capable d'analyser et supprimer les clés de registre pointant vers des ressources malicieuses, mais aussi les processus malicieux qui s'inscrivent en taches planifiées afin d'être lancés régulièrement, les dossiers de démarrage automatique et les emplacements de fichiers suspects ou connus. RogueKiller dispose d'une interface graphique qui permet de choisir facilement les modes à utiliser, et décocher d'éventuels faux positifs avant suppression. RogueKiller détecte certains rootkits et leurs méthodes de contournement comme les hooks SSDT, Shadow SSDT, IRP, les processus cachés, les clés de registre cachées et les détournements du Master boot Record (MBR). RogueKiller permet aussi de rétablir un accès internet fonctionnel dans certains cas Procédure de nettoyage de malveillants sur l'ordinateur C. Bézard 02 avril 2015 comme le détournement de configuration DNS, la mise en place d'un Proxy malicieux, ou un détournement de l'utilisation du fichier Hosts. RogueKiller permet de récupérer l'intégralité des fichiers / dossiers / raccourcis masqués par cer tains crapwares (appelés " rogues ", d'où le nom de RogueKiller ) de type "Fake HDD" (System Check, System Restore, System Fix, .etc. ..). RogueKiller - Précautions d'utilisation Dans tous les cas, après avoir téléchargé RogueKiller, l'exécuter après un démarrage normal de Windows. Ne pas redémarrez en mode " Sans échec " avant de lancer RogueKiller. Compte tenu de son fonctionnement en analyseur (scanner) d'emplacement privilégiés et de processus actifs (et non pas en scanner de fichiers), RogueKiller, contrairement aux autres analyseurs, doit être exécuté après un démarrage normal de Windows, sinon, certains emplacements privilégiés analysés seraient vides et la malveillance ne serait pas débusquée. Si RogueKiller analyse la " Liste de démarrage " standard de Windows, il ne peut pas analyser la totalité des innombrables emplacements, dont certains secrets et non documentés, où un processus peut se cacher pour être lancé automatiquement au démarrage de Windows. On peut se rendre compte de l’iatus entre une " Liste de démarrage standard " et un travail de recherche approfondi, en regardant la manière dont les outils standard de construction de cette liste voient cette liste et la manière dont Autoruns (SysInternals) voit cette même liste : Sur la même machine, ces logiciels vont construire une liste de démarrage assez différente. Voici le nombre d'objets se lançant automatiquement au démarrage de Windows, détectés par divers outils, au même moment: Détectés par Revo Uninstaller : 5 objets Détectés par CCleaner : 6 objets - CCleaner est très prisé mais n'est pas très performant. Détectés par Starter (CodeStuff) : 8 objets Détectés par Spybot Search and Destroy : 15 objets Détectés par MSConfig : 21 objets (6 objets actifs et les objets désactivés) - MSConfig est un composant natif de Windows, très simple d'emploi et ne nécessitant aucun téléchargement ni aucune installation. Il a une lecture assez complète du démarrage de Windows. C'est sans doute l'outil à privilégier pour tous les utilisateurs. Détectés par System Ninja : 36 objets (5 objets actifs et les objets désactivés) - une bonne alternative à MSConfig. Détectés par Autoruns (SysInternals) : 475 objets (outil professionnel pour utilisateur très avancé) Donc RogueKiller a plus de chance de mettre la main sur un processus hostile lorsque le processus hostile est actif (monté en mémoire) que lorsqu'il reste caché et dormant. Facile à utiliser mais bien suivre : 1. Le tutoriel officiel de RogueKiller. 2. Le tutoriel d'interprétation des résultats de RogueKiller. En cas de doute ou d'hésitation, demandez une assistance. Procédure de nettoyage de malveillants sur l'ordinateur C. Bézard 02 avril 2015 Ne tentez rien dont vous ne comprenez pas les tenants et les aboutissants. Attention : Faux positifs possibles et arbitrages Attention! De par son design, RogueKiller peut mettre en évidence des processus totalement légitimes, mais qui s'exécutent avec des modes opératoires habituellement utilisés par des malveillances. Ces résultats erronés sont connus sous le terme de " faux positifs ". Tigzy a été amené à faire un choix entre : " faible détection avec 0 faux positif " <> " détection quasi systématique et quelques faux positifs " Tigzy a fait le choix du niveau de détection le plus élevé. En contrepartie, il faut bien regarder les clés de registre détectées (dans l'onglet " registre ") et décocher celles que vous reconnaissez comme des programmes légitimes. En cas de doute ou d'hésitation, demandez une assistance. Ne tentez rien dont vous ne comprenez pas les tenants et les aboutissants. Une décision prise sans réflexion, au petit bonheur la chance, a toutes les chances de " planter " une application légitime, voire de planter l'ordinateur. D'autre part, vous aideriez Tigzy et, par conséquent, la communauté, en faisant remonter vers Tigzy les faux positifs produits par RogueKiller. Après analyse, une modification du code de RogueKiller, et/ou de sa liste blanche, permettra, dans les versions suivantes, de ne plus produire ce faux positif. Après utilisation, supprimez RogueKiller qui, demain, sera différent de celui d'aujourd'hui, Tigzy mettant son produit à jour en continu. Derrière le rideau Le 15.06.2013, Tigzy (Julien ASCOET) enregistre le nom de domaine adlice.com et met en place une enseigne commerciale : Adlice Software. Peu après, RogueKiller change de logo pour adopter une apparence plus.sérieuse, plus.professionnelle. TÊTE DU RAPPORT Système d’exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version [Système d’exploitation] Démarrage : Mode normal [Mode de démarrage (Normal, Sans échec, Sans échec avec prise en charge réseau)] Utilisateur : tigzy [Droits d’admin] [Nom de session, Droits] Mode : Recherche — Date : 08/07/2014 10:27:46 [Mode de RogueKiller (Scan, Suppression, …), Date d’éxécution] RÉPERTOIRE D’INSTALLATION Procédure de nettoyage de malveillants sur l'ordinateur C. Bézard 02 avril 2015 RogueKiller est installé dans %programdata%/RogueKiller. Pour informations, les sous-répertoires sont les suivants. Vous n’êtes pas censé modifier quoi que ce soit à l’intérieur. Logs: Contient les rapports Quarantine: Contient la quarantaine Debug: Contient les dumps MBR, et les crash dumps (s’il y en a) NOTE SPECIFIQUE Déterminer si un fichier est signé/vérifié ou manquant [7] Le fichier est signé et vérifié (la signature digitale existe et est valide) [-] Le fichier n’est pas signé, ou sa signature digitale est invalide [x] Le fichier n’existe pas NOMS DE DÉTECTIONS PUMs (Potentially Unwanted Modification): PUM.Dns [Possible détournement DNS: Merci de vérifier les IPs sur Google avant de supprimer. Si les IPs ne sont pas enregisrtées dans votre pays, supprimez les.] Example: [PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{E2BC E143-2E7F-4A16-B8B4-029B4F193911} | DhcpNameServer : 10.207.255.130 10.207.255.130 -> FOUND PUM.DesktopIcons [Possible détournement des icônes du bureau. Ces lignes doivent être ignorées quand seulement des PUMs sont détectés, car elles résultent probablement d’une configuration utilisateur.] Example: [PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktop Icons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> FOUND PUM.Proxy [Possible configuration proxy non désirée. Si vous n’avez pas installé de proxy, ces lignes doivent être supprimées] Example: [PUM.Proxy] HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyEnable : 1 -> FOUND Procédure de nettoyage de malveillants sur l'ordinateur C. Bézard 02 avril 2015 PROCESSUS/SERVICES Processus: [Suspicious.Path] malware_proc.com — C:\temp\malware_proc.com[7] -> TUÉ [TermProc] [Suspicious.Path] malware.exe — c:\temp\malware.exe[-] -> TUÉ [TermProc] [Nom de détection] Nom du processus — Chemin du processus [Signature du fichier] -> Statut d’arrêt [methode] DLLs: [Suspicious.Path] rundll32.exe — C:\temp\inject.dll[-] -> DECHARGÉE [Nom de détection] Nom du processus — Chemin du module[Signature du fichier] -> Statut de déchargement Services: [Tr.Attraps] (SVC) sshnas — C:\sshnas.exe[-] -> STOPPÉ [Nom de détection] (SVC) Nom du service — Chemin du service [Signature du fichier] > Statut d’arrêt REGISTRE Valeurs de registre: [Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | test : C:\temp\malware.exe -> TROUVÉ [Shell.HJ] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon | Shell : c:\temp\malware.exe -> TROUVÉ [Nom de détection] (X64) [Vue 64 bits] (Vide) [Vue 32 bits] Clé de Registre | Valeur de Registre : Donnée de Registre -> Statut Clés de registre: [Rogue.BlueFlare] HKEY_CLASSES_ROOT\CLSID\{19090308-636D-4E9B-A1CEA647B6F794BF} -> TROUVÉ [Suspicious.Path] KEY_LOCAL_MACHINE\System\CurrentControlSet\Services\catchme -> TROUVÉ [ZeroAccess] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\userinit -> TROUVÉ [Nom de détection] Clé de registre -> Statut Procédure de nettoyage de malveillants sur l'ordinateur C. Bézard 02 avril 2015 TACHES [Suspicious.Path] task_test.job — C:\WINDOWS\system32\rundll32.exe (« C:\temp\malware.dll, blabla ») -> TROUVÉ [Nom de détection] Dossier \ Nom de la tâche — Cible de la tâche (Paramètres) -> Statut FICHIERS/DOSSIERS Fichiers: [Suspicious.Startup][Fichier] netc.exe — C:\Documents and Settings\tigzy\Menu Démarrer\Programmes\Démarrage\netc.exe -> TROUVÉ [Nom de détection][Type] Nom du fichier — Chemin du fichier -> Statut Raccourcis: [Suspicious.Path][Fichier] malware.exe.lnk — C:\Documents and Settings\tigzy\Menu Démarrer\Programmes\Démarrage\malware.exe.lnk [LNK@] C:\temp\malware.exe -> TROUVÉ [Nom de détection][Type] Nom du raccourci — Chemin du raccourci [@LNK] Chemin de la cible -> Statut Dossiers: [Tr.Karagany][Repertoire] shed — C:\Documents and Settings\tigzy\Application Data\Adobe\shed -> TROUVÉ [Nom de détection][Type] Nom du dossier — Chemin du dossier -> Statut Jonctions/Reparse point: [ZeroAccess][Jonction] $NtUninstallKB1111abc$ — :\WINDOWS\$NtUninstallKB1111abc$ [JUNCTION@ a0000003] >> \??\C:\Windows\temp -> TROUVÉ [Nom de détection][Type] Nom du fichier — Chemin du fichier [JUNCTION@ Tag de la jonction] >> Cible de la jonction -> Statut FICHIER HOSTS [C:\WINDOWS\system32\drivers\etc\hosts] 127.0.0.1 localhost [C:\WINDOWS\system32\drivers\etc\hosts] ::1 localhost [C:\WINDOWS\system32\drivers\etc\hosts] 123.456.789.000 www.facebook.com [Hj.Hosts] -> TROUVÉ [C:\WINDOWS\system32\drivers\etc\hosts] 123.456.789.000 www.google.com [Hj.Hosts] -> TROUVÉ [Chemin du fichier hosts] Ligne de hosts [Nom de détection (si malicieux)] -> Statut (Si malicieux) Procédure de nettoyage de malveillants sur l'ordinateur C. Bézard 02 avril 2015 ANTIROOTKIT Hooks EAT/IAT: [IAT:Addr] (explorer.exe) ntdll.dll – NtOpenProcess : C:\windows\SYSTEM32\injected.dll @ 0xabc12345 [EAT:Addr] (iexplore.exe) ntdll.dll – NtCreateProcess : C:\windows\SYSTEM32\injected.dll @ 0x6cd6640e [Type de table:Type de hook] (Nom du processus) Nom du module original – Nom de fonction : Chemin du module détour @ Adresse fonction de détour Hooks SSDT/Shadow SSDT: [SSDT:Addr(Hook.SSDT)] NtEnumerateKey[71] : C:\RegHider.sys @ 0xf8ddd480 [SSDT:Addr(Hook.SSDT)] NtEnumerateValueKey[73] : C:\RegHider.sys @ 0xf8ddd406 [SSDT:Addr(Hook.SSDT)] NtLoadKey[98] : Unknown @ 0xf8d76f02 [Type de table:Type de hook] Nom de fonction : Chemin du module détour @ Adresse fonction de détour Filtres Kernel: [Filter(Root.Filter)] \Driver\atapi @ \Device\Harddisk0\DR0 : \Driver\atapi @ Unknown (atapi.sys) [Filter(Kernel.Filter)] \Driver\disk @ Unknown : \Driver\malware_driver @ Device\malware_device (\SystemRoot\system32\DRIVERS\malware.sys) [Filter(Root.Keylogger)] \Driver\kbdclass @ Unknown : \Driver\keylog @ \Device\keylogdev (\SystemRoot\system32\DRIVERS\keylogger.sys) [Filter(Nom de détection)] Nom du driver @ Nom de la device : Nom du driver détour @ Nom de la device détour (Chemin du module détour) Hooks IRP: [IRP:Addr(Hook.IRP)] atapi.sys – DriverStartIo[28] : \SystemRoot\system32\DRIVERS\atapi_hook.sys@ 0x817fe31b [IRP:Type de hook(Nom de détection)] Nom du driver – Nom de l’IRP[Index d’IRP] : Chemin du module détour @ Adresse de la fonction détour NAVIGATEURS WEB Config: [PUM.Proxy][FIREFX:Config] 7n6s6tn6.default : user_pref(« network.proxy.http », « 127.0.0.1 »); -> TROUVÉ [PUM.Proxy][FIREFX:Config] 7n6s6tn6.default : user_pref(« network.proxy.http_port », 1045); -> TROUVÉ [PUM.Proxy][FIREFX:Config] 7n6s6tn6.default : user_pref(« network.proxy.type », 1); -> TROUVÉ [Nom de détection][Navigateur:Type] Utilisateur : Ligne de configuration -> Statut Procédure de nettoyage de malveillants sur l'ordinateur C. Bézard 02 avril 2015 Extensions: [PUP][IE:Addon] System : MixiDJ V30 Toolbar [{1122b43d-30ee-403f-9bfa-cc99b0caddd}] -> FOUND [Nom de détection][Navigateur:Type] Utilisateur : Nom d’extension [ID d’extension] -> Statut VERIFICATION MBR PhysicalDrive0: VBOX HARDDISK +++++ [Numéro de disque physique, Nom du disque] — User — [Méthode de lecture (Utilisateur, LL1, LL2)] [MBR] c708b764ca9daa4f8f33e4e8b3b517da [MBR hash (MD5)] [BSP] f4eb87199eee8a432bb482bb55118447 : Windows XP MBR Code [Bootstrap hash (MD5), Nom de détection du bootstrap] Partition table: [Table des partition] 0 – ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 63 | Size: 4086 MB [[Partition statut (ACTIVE ou non)] Format (Nombre du format de fichiers) [Visible ou Hidden[Caché]) Emplacement sur le DD en secteurs | Taille en Mo] User = LL1 … OK [User = LL1 chaque méthode à retourné la même chose, ce qui est attendu]User = LL2 … OK [User = LL2 chaque méthode à retourné la même chose, ce qui est attendu] PIED DU RAPPORT The pied de rapport affiche les précédents rapports disponibles. RKreport_SCN_08072014_142629.log – RKreport_SCN_08072014_142631.log – Kreport_SCN_08072014_142636.log RKReport_[TYPE DE SCAN (SCN = Scan, DEL = Suppression]]_[DATE (Mois Jour Année)]_[HEURE (Heure Minute Seconde)].log Procédure de nettoyage de malveillants sur l'ordinateur C. Bézard 02 avril 2015