IRP Désinfection

Répondre

IRP Désinfection#139554

par JeffDarkPoet - lun. 28 juil. 2014 02:16

- lun. 28 juil. 2014 02:16 #139554

Bonjour,

J'ai fais aujourd'hui un scan avec Rogue Killer. Cependant, il n'arrive pas à supprimer certains éléments de la section antirootkit : des IRP (seuls sont listés ici ceux en orange, des tas de vert n y sont pas)

Note (peut être en rapport) : Ma souris est comme débranchée quelques secondes de temps en temps, puis se remet en marche à nouveau.

Je vous remercie d'avance pour l'aide précieuse que vous pourrez m'apporter.

Voici le rapport txt de Rogue Killer :

RogueKiller V9.2.4.0 (x64) [Jul 11 2014] par Adlice Software
Mail : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site Web : http://www.surlatoile.org/RogueKiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Démarrage : Mode normal
Utilisateur : Jean-François [Droits d'admin]
Mode : Suppression -- Date : 07/28/2014 02:11:13

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrées de registre : 10 ¤¤¤
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\pwlyapog - SUPPRIMÉ
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\pwlyapog - SUPPRIMÉ
[PUM.DesktopIcons] (X64) HKEY_USERS\S-1-5-21-2090609404-602400013-3121449014-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 - REMPLACÉ (0)
[PUM.DesktopIcons] (X64) HKEY_USERS\S-1-5-21-2090609404-602400013-3121449014-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {59031A47-3F72-44A7-89C5-5595FE6B30EE} : 1 - REMPLACÉ (0)
[PUM.DesktopIcons] (X86) HKEY_USERS\S-1-5-21-2090609404-602400013-3121449014-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 - REMPLACÉ (0)
[PUM.DesktopIcons] (X86) HKEY_USERS\S-1-5-21-2090609404-602400013-3121449014-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {59031A47-3F72-44A7-89C5-5595FE6B30EE} : 1 - REMPLACÉ (0)
[PUM.DesktopIcons] (X64) HKEY_USERS\S-1-5-21-2090609404-602400013-3121449014-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 - REMPLACÉ (0)
[PUM.DesktopIcons] (X64) HKEY_USERS\S-1-5-21-2090609404-602400013-3121449014-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031A47-3F72-44A7-89C5-5595FE6B30EE} : 1 - REMPLACÉ (0)
[PUM.DesktopIcons] (X86) HKEY_USERS\S-1-5-21-2090609404-602400013-3121449014-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 - REMPLACÉ (0)
[PUM.DesktopIcons] (X86) HKEY_USERS\S-1-5-21-2090609404-602400013-3121449014-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031A47-3F72-44A7-89C5-5595FE6B30EE} : 1 - REMPLACÉ (0)

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier HOSTS : 0 [Too big!] ¤¤¤

¤¤¤ Antirootkit : 7 (Driver: CHARGE) ¤¤¤
[IRP:Addr(Hook.IRP)] \SystemRoot\System32\drivers\mountmgr.sys - IRP_MJ_CREATE[0] : Unknown @ 0x66c82c0
[IRP:Addr(Hook.IRP)] \SystemRoot\System32\drivers\mountmgr.sys - IRP_MJ_CLOSE[2] : Unknown @ 0x66c82c0
[IRP:Addr(Hook.IRP)] \SystemRoot\System32\drivers\mountmgr.sys - IRP_MJ_DEVICE_CONTROL[14] : Unknown @ 0x66c82c0
[IRP:Addr(Hook.IRP)] \SystemRoot\System32\drivers\mountmgr.sys - IRP_MJ_INTERNAL_DEVICE_CONTROL[15] : Unknown @ 0x66c82c0
[IRP:Addr(Hook.IRP)] \SystemRoot\System32\drivers\mountmgr.sys - IRP_MJ_POWER[22] : Unknown @ 0x66c82c0
[IRP:Addr(Hook.IRP)] \SystemRoot\System32\drivers\mountmgr.sys - IRP_MJ_SYSTEM_CONTROL[23] : Unknown @ 0x66c82c0
[IRP:Addr(Hook.IRP)] \SystemRoot\System32\drivers\mountmgr.sys - IRP_MJ_PNP[27] : Unknown @ 0x66c82c0

¤¤¤ Navigateurs web : 1 ¤¤¤
[CHROMEAddon] Default : Signals by HubSpot [oiiaigjnkhngdbnoookogelabohpglmd] - SUPPRIMÉ

¤¤¤ MBR Verif : ¤¤¤
+++++ PhysicalDrive0: ST31000524AS ATA Device +++++
--- User ---
[MBR] 24d483feb77a71900efff13f0f24b5d1
[BSP] 4040ee2fc92ab88455a1128be3814a9f : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 953767 MB
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive1: WD 3200JB External USB Device +++++
--- User ---
[MBR] e53e30269e2f6c5c20d27edd7ab00336
[BSP] 49facedad3640935e7bf61a4a2bdd488 : Windows XP MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0xc) [VISIBLE] Offset (sectors): 63 | Size: 305242 MB
User = LL1 ... OK
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )

============================================
RKreport_DEL_06152014_173112.log - RKreport_DEL_06292014_000406.log - RKreport_DEL_07012014_203231.log - RKreport_DEL_07142014_010249.log
RKreport_DEL_07192014_191224.log - RKreport_SCN_06152014_173010.log - RKreport_SCN_06162014_024247.log - RKreport_SCN_06292014_000239.log
RKreport_SCN_06292014_002106.log - RKreport_SCN_07012014_203207.log - RKreport_SCN_07142014_005839.log - RKreport_SCN_07192014_191213.log
RKreport_SCN_07272014_211147.log - RKreport_DEL_07272014_211352.log - RKreport_SCN_07282014_020925.log

IRP Désinfection#139906

par 2011N2 - mer. 30 juil. 2014 19:53

- mer. 30 juil. 2014 19:53 #139906

Salut,

Ce sont des drivers, pas des rootkits qui sont détectés.

Tu peux faire un nouveau Scan et poster le rapport STP ?

Gabriel.

IRP Désinfection#139930

par JeffDarkPoet - mer. 30 juil. 2014 23:03

- mer. 30 juil. 2014 23:03 #139930

Merci de bien vouloir me répondre. En fait c'est dans la "section" anti-rootkit que je les ai trouvés.

Voila le rapport et joint les captures d'écran :

RogueKiller V9.2.4.0 (x64) [Jul 11 2014] par Adlice Software
Mail : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site Web : http://www.surlatoile.org/RogueKiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Démarrage : Mode normal
Utilisateur : Jean-François [Droits d'admin]
Mode : Recherche -- Date : 07/30/2014 20:33:50

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrées de registre : 0 ¤¤¤

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier HOSTS : 0 [Too big!] ¤¤¤

¤¤¤ Antirootkit : 7 (Driver: CHARGE) ¤¤¤
[IRP:Addr(Hook.IRP)] \SystemRoot\system32\drivers\pci.sys - IRP_MJ_CREATE[0] : Unknown @ 0x66ca2c0
[IRP:Addr(Hook.IRP)] \SystemRoot\system32\drivers\pci.sys - IRP_MJ_CLOSE[2] : Unknown @ 0x66ca2c0
[IRP:Addr(Hook.IRP)] \SystemRoot\system32\drivers\pci.sys - IRP_MJ_DEVICE_CONTROL[14] : Unknown @ 0x66ca2c0
[IRP:Addr(Hook.IRP)] \SystemRoot\system32\drivers\pci.sys - IRP_MJ_INTERNAL_DEVICE_CONTROL[15] : Unknown @ 0x66ca2c0
[IRP:Addr(Hook.IRP)] \SystemRoot\system32\drivers\pci.sys - IRP_MJ_POWER[22] : Unknown @ 0x66ca2c0
[IRP:Addr(Hook.IRP)] \SystemRoot\system32\drivers\pci.sys - IRP_MJ_SYSTEM_CONTROL[23] : Unknown @ 0x66ca2c0
[IRP:Addr(Hook.IRP)] \SystemRoot\system32\drivers\pci.sys - IRP_MJ_PNP[27] : Unknown @ 0x66ca2c0

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ MBR Verif : ¤¤¤
+++++ PhysicalDrive0: ST31000524AS ATA Device +++++
--- User ---
[MBR] 24d483feb77a71900efff13f0f24b5d1
[BSP] 4040ee2fc92ab88455a1128be3814a9f : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 953767 MB
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive1: WD 3200JB External USB Device +++++
--- User ---
[MBR] e53e30269e2f6c5c20d27edd7ab00336
[BSP] 49facedad3640935e7bf61a4a2bdd488 : Windows XP MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0xc) [VISIBLE] Offset (sectors): 63 | Size: 305242 MB
User = LL1 ... OK
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )

============================================
RKreport_DEL_06152014_173112.log - RKreport_DEL_06292014_000406.log - RKreport_DEL_07012014_203231.log - RKreport_DEL_07142014_010249.log
RKreport_DEL_07192014_191224.log - RKreport_DEL_07272014_211352.log - RKreport_DEL_07282014_021113.log - RKreport_SCN_06152014_173010.log
RKreport_SCN_06162014_024247.log - RKreport_SCN_06292014_000239.log - RKreport_SCN_06292014_002106.log - RKreport_SCN_07012014_203207.log
RKreport_SCN_07142014_005839.log - RKreport_SCN_07192014_191213.log - RKreport_SCN_07272014_211147.log - RKreport_SCN_07282014_020925.log

IRP Désinfection#139994

par 2011N2 - jeu. 31 juil. 2014 17:20

- jeu. 31 juil. 2014 17:20 #139994

Salut,

C'est juste qu'il n'arrive pas à définir le chemin qu'il les définit comme "suspects".

Tu veux en profiter pour faire une vérification de ton PC ?

Gabriel.

IRP Désinfection#140020

par JeffDarkPoet - jeu. 31 juil. 2014 22:16

- jeu. 31 juil. 2014 22:16 #140020

Ah ok, du coup je t'ai embêté pour rien, mais j'ai appris quelque chose.

Après, je serais plutôt pour une bonne vérif. Si je dois suivre certaines démarches, je veux bien tenter si ca ne fait pas perdre de temps à ce qui me viennent en aide. Si c'est un peu trop contraignant, je n'insiste pas, j'ai déjà ma réponse et j'en suis ravi. Merci encore.

IRP Désinfection#140021

par 2011N2 - jeu. 31 juil. 2014 22:16

- jeu. 31 juil. 2014 22:16 #140021

Re,

Non pas de problème t'inquiète pas.

Fais un diagnostic de ton PC avec ZHPDiag et poste le rapport hébergé : http://www.forum-entraide-informatique. ... g-tutoriel

Gabriel.

IRP Désinfection#140025

par JeffDarkPoet - jeu. 31 juil. 2014 22:34

- jeu. 31 juil. 2014 22:34 #140025

Alors j'ai déjà un problème avant l'installation. La v.10.5.3.4405 de Ad-Aware me dit "File was quarantined" et il me demande d'ignorer de continuer ou d'abandonner l'installation.

J'ai recommencé 6x et voici le détail de la quarantaine (cf 2 fichiers joints).

IRP Désinfection#140026

par 2011N2 - jeu. 31 juil. 2014 22:35

- jeu. 31 juil. 2014 22:35 #140026

Re,

Tu peux essayer en mode sans échec avec prise en charge réseau ? http://www.forum-entraide-informatique. ... rge-reseau

Gabriel.

IRP Désinfection#140031

par JeffDarkPoet - ven. 1 août 2014 00:10

- ven. 1 août 2014 00:10 #140031

Ok Merci. Ca a marché. J'ai dû garder le mode sans échec pour le scan complet.

Voici le rapport :

http://cjoint.com/?0HbajV8rgVa

IRP Désinfection#140040

par 2011N2 - ven. 1 août 2014 06:51

- ven. 1 août 2014 06:51 #140040

Bonjour,

Y'a pas des masses de chose, mais quand même quelques petits éléments.
Tu peux déjà commencer par désinstaller Spybot, il est obsolète.

1/ Passe AdsFix et poste le rapport hébergé : http://www.forum-entraide-informatique. ... x-tutoriel

2/ Passe AdwCleaner et poste le rapport : http://www.forum-entraide-informatique. ... r-tutoriel

Gabriel.

IRP Désinfection#140449

par JeffDarkPoet - lun. 4 août 2014 00:22

- lun. 4 août 2014 00:22 #140449

Petit question tout d'abord :

Dois-je désinstaller cette version (de Spybot) pour pouvoir en installer une plus récente ou seulement désinstaller Spybot car le logiciel n'est plus d'actualité ?

Voici le rapport AdsFix et AdwCleaner ci-joint.

http://cjoint.com/?0HeauoQhQUr

http://cjoint.com/?0HeauXkEIEE

IRP Désinfection#140451

par 2011N2 - lun. 4 août 2014 06:31

- lun. 4 août 2014 06:31 #140451

Bonjour,

Désinstalle entièrement Spybot, il n'est pas utile. D'ailleurs c'est pareil pour SuperAntiSpyware, même s'il tient un peu plus la route quand même.

Sinon, tu as Avast + Ad-Aware Antivirus. Il faut en désinstaller un (jamais 2 antivirus pour éviter de créer des conflits). Je te conseille de garder Avast.

Gabriel.

Répondre

Options
12 messages

Page 1 sur 1
12 messages

FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique