Forum d'Entraide Informatique (FEI)

Bonjour,

J'ai fais aujourd'hui un scan avec Rogue Killer. Cependant, il n'arrive pas à supprimer certains éléments de la section antirootkit : des IRP (seuls sont listés ici ceux en orange, des tas de vert n y sont pas)

Note (peut être en rapport) : Ma souris est comme débranchée quelques secondes de temps en temps, puis se remet en marche à nouveau.

Je vous remercie d'avance pour l'aide précieuse que vous pourrez m'apporter.

Voici le rapport txt de Rogue Killer :

RogueKiller V9.2.4.0 (x64) [Jul 11 2014] par Adlice Software
Mail : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site Web : http://www.surlatoile.org/RogueKiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Démarrage : Mode normal
Utilisateur : Jean-François [Droits d'admin]
Mode : Suppression -- Date : 07/28/2014 02:11:13

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrées de registre : 10 ¤¤¤
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\pwlyapog - SUPPRIMÉ
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\pwlyapog - SUPPRIMÉ
[PUM.DesktopIcons] (X64) HKEY_USERS\S-1-5-21-2090609404-602400013-3121449014-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 - REMPLACÉ (0)
[PUM.DesktopIcons] (X64) HKEY_USERS\S-1-5-21-2090609404-602400013-3121449014-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {59031A47-3F72-44A7-89C5-5595FE6B30EE} : 1 - REMPLACÉ (0)
[PUM.DesktopIcons] (X86) HKEY_USERS\S-1-5-21-2090609404-602400013-3121449014-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 - REMPLACÉ (0)
[PUM.DesktopIcons] (X86) HKEY_USERS\S-1-5-21-2090609404-602400013-3121449014-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {59031A47-3F72-44A7-89C5-5595FE6B30EE} : 1 - REMPLACÉ (0)
[PUM.DesktopIcons] (X64) HKEY_USERS\S-1-5-21-2090609404-602400013-3121449014-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 - REMPLACÉ (0)
[PUM.DesktopIcons] (X64) HKEY_USERS\S-1-5-21-2090609404-602400013-3121449014-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031A47-3F72-44A7-89C5-5595FE6B30EE} : 1 - REMPLACÉ (0)
[PUM.DesktopIcons] (X86) HKEY_USERS\S-1-5-21-2090609404-602400013-3121449014-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 - REMPLACÉ (0)
[PUM.DesktopIcons] (X86) HKEY_USERS\S-1-5-21-2090609404-602400013-3121449014-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031A47-3F72-44A7-89C5-5595FE6B30EE} : 1 - REMPLACÉ (0)

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier HOSTS : 0 [Too big!] ¤¤¤

¤¤¤ Antirootkit : 7 (Driver: CHARGE) ¤¤¤
[IRP:Addr(Hook.IRP)] \SystemRoot\System32\drivers\mountmgr.sys - IRP_MJ_CREATE[0] : Unknown @ 0x66c82c0
[IRP:Addr(Hook.IRP)] \SystemRoot\System32\drivers\mountmgr.sys - IRP_MJ_CLOSE[2] : Unknown @ 0x66c82c0
[IRP:Addr(Hook.IRP)] \SystemRoot\System32\drivers\mountmgr.sys - IRP_MJ_DEVICE_CONTROL[14] : Unknown @ 0x66c82c0
[IRP:Addr(Hook.IRP)] \SystemRoot\System32\drivers\mountmgr.sys - IRP_MJ_INTERNAL_DEVICE_CONTROL[15] : Unknown @ 0x66c82c0
[IRP:Addr(Hook.IRP)] \SystemRoot\System32\drivers\mountmgr.sys - IRP_MJ_POWER[22] : Unknown @ 0x66c82c0
[IRP:Addr(Hook.IRP)] \SystemRoot\System32\drivers\mountmgr.sys - IRP_MJ_SYSTEM_CONTROL[23] : Unknown @ 0x66c82c0
[IRP:Addr(Hook.IRP)] \SystemRoot\System32\drivers\mountmgr.sys - IRP_MJ_PNP[27] : Unknown @ 0x66c82c0

¤¤¤ Navigateurs web : 1 ¤¤¤
[CHROMEAddon] Default : Signals by HubSpot [oiiaigjnkhngdbnoookogelabohpglmd] - SUPPRIMÉ

¤¤¤ MBR Verif : ¤¤¤
+++++ PhysicalDrive0: ST31000524AS ATA Device +++++
--- User ---
[MBR] 24d483feb77a71900efff13f0f24b5d1
[BSP] 4040ee2fc92ab88455a1128be3814a9f : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 953767 MB
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive1: WD 3200JB External USB Device +++++
--- User ---
[MBR] e53e30269e2f6c5c20d27edd7ab00336
[BSP] 49facedad3640935e7bf61a4a2bdd488 : Windows XP MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0xc) [VISIBLE] Offset (sectors): 63 | Size: 305242 MB
User = LL1 ... OK
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )

============================================
RKreport_DEL_06152014_173112.log - RKreport_DEL_06292014_000406.log - RKreport_DEL_07012014_203231.log - RKreport_DEL_07142014_010249.log
RKreport_DEL_07192014_191224.log - RKreport_SCN_06152014_173010.log - RKreport_SCN_06162014_024247.log - RKreport_SCN_06292014_000239.log
RKreport_SCN_06292014_002106.log - RKreport_SCN_07012014_203207.log - RKreport_SCN_07142014_005839.log - RKreport_SCN_07192014_191213.log
RKreport_SCN_07272014_211147.log - RKreport_DEL_07272014_211352.log - RKreport_SCN_07282014_020925.log

Salut,

Ce sont des drivers, pas des rootkits qui sont détectés.

Tu peux faire un nouveau Scan et poster le rapport STP ?

Gabriel.

Merci de bien vouloir me répondre. En fait c'est dans la "section" anti-rootkit que je les ai trouvés.

Voila le rapport et joint les captures d'écran :

RogueKiller V9.2.4.0 (x64) [Jul 11 2014] par Adlice Software
Mail : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site Web : http://www.surlatoile.org/RogueKiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Démarrage : Mode normal
Utilisateur : Jean-François [Droits d'admin]
Mode : Recherche -- Date : 07/30/2014 20:33:50

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrées de registre : 0 ¤¤¤

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier HOSTS : 0 [Too big!] ¤¤¤

¤¤¤ Antirootkit : 7 (Driver: CHARGE) ¤¤¤
[IRP:Addr(Hook.IRP)] \SystemRoot\system32\drivers\pci.sys - IRP_MJ_CREATE[0] : Unknown @ 0x66ca2c0
[IRP:Addr(Hook.IRP)] \SystemRoot\system32\drivers\pci.sys - IRP_MJ_CLOSE[2] : Unknown @ 0x66ca2c0
[IRP:Addr(Hook.IRP)] \SystemRoot\system32\drivers\pci.sys - IRP_MJ_DEVICE_CONTROL[14] : Unknown @ 0x66ca2c0
[IRP:Addr(Hook.IRP)] \SystemRoot\system32\drivers\pci.sys - IRP_MJ_INTERNAL_DEVICE_CONTROL[15] : Unknown @ 0x66ca2c0
[IRP:Addr(Hook.IRP)] \SystemRoot\system32\drivers\pci.sys - IRP_MJ_POWER[22] : Unknown @ 0x66ca2c0
[IRP:Addr(Hook.IRP)] \SystemRoot\system32\drivers\pci.sys - IRP_MJ_SYSTEM_CONTROL[23] : Unknown @ 0x66ca2c0
[IRP:Addr(Hook.IRP)] \SystemRoot\system32\drivers\pci.sys - IRP_MJ_PNP[27] : Unknown @ 0x66ca2c0

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ MBR Verif : ¤¤¤
+++++ PhysicalDrive0: ST31000524AS ATA Device +++++
--- User ---
[MBR] 24d483feb77a71900efff13f0f24b5d1
[BSP] 4040ee2fc92ab88455a1128be3814a9f : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 953767 MB
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive1: WD 3200JB External USB Device +++++
--- User ---
[MBR] e53e30269e2f6c5c20d27edd7ab00336
[BSP] 49facedad3640935e7bf61a4a2bdd488 : Windows XP MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0xc) [VISIBLE] Offset (sectors): 63 | Size: 305242 MB
User = LL1 ... OK
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )

============================================
RKreport_DEL_06152014_173112.log - RKreport_DEL_06292014_000406.log - RKreport_DEL_07012014_203231.log - RKreport_DEL_07142014_010249.log
RKreport_DEL_07192014_191224.log - RKreport_DEL_07272014_211352.log - RKreport_DEL_07282014_021113.log - RKreport_SCN_06152014_173010.log
RKreport_SCN_06162014_024247.log - RKreport_SCN_06292014_000239.log - RKreport_SCN_06292014_002106.log - RKreport_SCN_07012014_203207.log
RKreport_SCN_07142014_005839.log - RKreport_SCN_07192014_191213.log - RKreport_SCN_07272014_211147.log - RKreport_SCN_07282014_020925.log

Salut,

C'est juste qu'il n'arrive pas à définir le chemin qu'il les définit comme "suspects".

Tu veux en profiter pour faire une vérification de ton PC ?

Gabriel.

Ah ok, du coup je t'ai embêté pour rien, mais j'ai appris quelque chose.

Après, je serais plutôt pour une bonne vérif. Si je dois suivre certaines démarches, je veux bien tenter si ca ne fait pas perdre de temps à ce qui me viennent en aide. Si c'est un peu trop contraignant, je n'insiste pas, j'ai déjà ma réponse et j'en suis ravi. Merci encore.

Re,

Non pas de problème t'inquiète pas.

Fais un diagnostic de ton PC avec ZHPDiag et poste le rapport hébergé : http://www.forum-entraide-informatique. ... g-tutoriel

Gabriel.

Alors j'ai déjà un problème avant l'installation. La v.10.5.3.4405 de Ad-Aware me dit "File was quarantined" et il me demande d'ignorer de continuer ou d'abandonner l'installation.

J'ai recommencé 6x et voici le détail de la quarantaine (cf 2 fichiers joints).

Re,

Tu peux essayer en mode sans échec avec prise en charge réseau ? http://www.forum-entraide-informatique. ... rge-reseau

Gabriel.

Ok Merci. Ca a marché. J'ai dû garder le mode sans échec pour le scan complet.

Voici le rapport :

http://cjoint.com/?0HbajV8rgVa

Bonjour,

Y'a pas des masses de chose, mais quand même quelques petits éléments.
Tu peux déjà commencer par désinstaller Spybot, il est obsolète.

1/ Passe AdsFix et poste le rapport hébergé : http://www.forum-entraide-informatique. ... x-tutoriel

2/ Passe AdwCleaner et poste le rapport : http://www.forum-entraide-informatique. ... r-tutoriel

Gabriel.

Petit question tout d'abord :

Dois-je désinstaller cette version (de Spybot) pour pouvoir en installer une plus récente ou seulement désinstaller Spybot car le logiciel n'est plus d'actualité ?

Voici le rapport AdsFix et AdwCleaner ci-joint.

http://cjoint.com/?0HeauoQhQUr

http://cjoint.com/?0HeauXkEIEE

Bonjour,

Désinstalle entièrement Spybot, il n'est pas utile. D'ailleurs c'est pareil pour SuperAntiSpyware, même s'il tient un peu plus la route quand même.

Sinon, tu as Avast + Ad-Aware Antivirus. Il faut en désinstaller un (jamais 2 antivirus pour éviter de créer des conflits). Je te conseille de garder Avast.

Gabriel.

Forum d'Entraide Informatique (FEI)

IRP Désinfection

IRP Désinfection

IRP Désinfection

IRP Désinfection

IRP Désinfection

IRP Désinfection

IRP Désinfection

IRP Désinfection

IRP Désinfection

IRP Désinfection

IRP Désinfection

IRP Désinfection

IRP Désinfection