Forum dédié aux jeux vidéos et à l'entraide informatique. Soluce, bugs ou soucis divers avec Windows? nous ferons notre possible pour vous venir en aide.
 
AccueilFAQRechercherMembresGroupesS'enregistrerConnexion

Partagez | 
 

 Rootkit

Aller en bas 
Aller à la page : Précédent  1, 2, 3, 4, 5
AuteurMessage
Morbak
Administrateur (Fondateur)
avatar

Messages : 3197
Réputation : 197

Feuille de personnage
Nom: Morbak
Race: Humain

MessageSujet: Re: Rootkit   Mar 28 Juin - 19:33

sur la VM elles y sont pas j'ai regardé, mais bon la il telecharge avast ^^ y'en a pour une dizaine de minutes avec ma connexion de merde :'(

===============signature ===============
Superviseur du forum.
Adresse du serveur : http://morbak-home.ddns.net
Formulaire de contact : http://morbak-home.forumgratuit.org/contact
Le forum vous recommande l'utilisation d'Avast antivirus gratuit : http://www.avast.com/get/I8pJzbZF
Revenir en haut Aller en bas
Voir le profil de l'utilisateur http://morbak-home.ddns.net
g3n-h@ckm@n
Megaman/Megawoman
Megaman/Megawoman
avatar

Messages : 266
Réputation : 1
Age : 47

MessageSujet: Re: Rootkit   Mar 28 Juin - 19:39

bon là j'ai un rapport de quickdiag ou il y a aucune trace d'avast dans le pc ( pourtant dieu sait s'il en reste apres désistall même avec leur tool et ben j'ai ca :

[HKLM\SYSTEM\CurrentControlSet\Control\Class\{03F52937-1FD6-44FB-82C6-FE988F1B1D61}] : (aswSP)
[HKLM\SYSTEM\CurrentControlSet\Control\Class\{522119B9-1B9A-498A-AC52-148B533EFD50}] : (khiuxlaj) []
[HKLM\SYSTEM\CurrentControlSet\Control\Class\{87C077B2-3D3B-4156-938A-EA51B451D6C6}] : (khiuxlaj) []
[HKLM\SYSTEM\CurrentControlSet\Control\Class\{FB58BE68-EA9E-4803-847F-2CE814E7B159}] : (khiuxlaj) []

celle-ci est absente : [HKLM\SYSTEM\CurrentControlSet\Control\Class\{6880337A-1EB4-4EF2-9659-0FD2EC60CB1B}]

===============signature ===============
¤¤¤¤¤¤¤¤¤¤ | Pre_Scan - AdsFix - UsbFix | SOSVirus Team Development | ¤¤¤¤¤¤¤¤¤¤
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Morbak
Administrateur (Fondateur)
avatar

Messages : 3197
Réputation : 197

Feuille de personnage
Nom: Morbak
Race: Humain

MessageSujet: Re: Rootkit   Mar 28 Juin - 19:47

Bon j'ai installé avast resultat......... c'est bien lui qui les créé (j'ai installé absolument tout les modules sauf chrome ^^) : http://www.cjoint.com/c/FFCrT48axVf_4.zip Ptet pour ca qu'elles reviennent sur mes deux pc protégés par avast (sachant que les premieres clés à valeur aléatoire quand on les avait vu chez moi, j'avais aussi avast)

Je vais voir si en le degageant avec l'outils, ca reste et si ca reste je regarde en les supprimant si elles reviennent

===============signature ===============
Superviseur du forum.
Adresse du serveur : http://morbak-home.ddns.net
Formulaire de contact : http://morbak-home.forumgratuit.org/contact
Le forum vous recommande l'utilisation d'Avast antivirus gratuit : http://www.avast.com/get/I8pJzbZF
Revenir en haut Aller en bas
Voir le profil de l'utilisateur http://morbak-home.ddns.net
Morbak
Administrateur (Fondateur)
avatar

Messages : 3197
Réputation : 197

Feuille de personnage
Nom: Morbak
Race: Humain

MessageSujet: Re: Rootkit   Mar 28 Juin - 20:02

Après passage de avastclear elles sont restées, j'ai passé OTM et rebooté, elles ne sont pas revenues, donc il semblerait qu'elles sont liées à avast. il y en a d'autres d'ailleurs qui lui sont liées mais je n'ai pas le temps de te les donner tout de suite je dois filer ^^

Ah chose importante je pense, sur la VM juste après l'install d'avast elles avaient aussi un nom aléatoire qu'elles ont donc conservé après désinstallation via avastclear. Aucune n'indiquait aswSP

===============signature ===============
Superviseur du forum.
Adresse du serveur : http://morbak-home.ddns.net
Formulaire de contact : http://morbak-home.forumgratuit.org/contact
Le forum vous recommande l'utilisation d'Avast antivirus gratuit : http://www.avast.com/get/I8pJzbZF
Revenir en haut Aller en bas
Voir le profil de l'utilisateur http://morbak-home.ddns.net
g3n-h@ckm@n
Megaman/Megawoman
Megaman/Megawoman
avatar

Messages : 266
Réputation : 1
Age : 47

MessageSujet: Re: Rootkit   Mar 28 Juin - 20:08

oui mais les autres qui sont liées n'ont pas aswSP comme nom , c'est plutot

[HKLM\SYSTEM\CurrentControlSet\Control\Class\{C4A06E97-ED42-47B9-83E1-F12299B286A5}] : (aswRdr)
[HKLM\SYSTEM\CurrentControlSet\Control\Class\{8AE85550-832C-4A9B-81BB-2A49DBEE72B4}] : (aswRvrt)
[HKLM\SYSTEM\CurrentControlSet\Control\Class\{24A0C840-2C3D-4410-8236-8B40816C7B90}] : (aswVmm)
[HKLM\SYSTEM\CurrentControlSet\Control\Class\{0475BB51-5A02-4EE0-B36C-29040FAD2650}] : (amdkmdap)
[HKLM\SYSTEM\CurrentControlSet\Control\Class\{04A83FC2-2AE2-4C88-B45F-E9707B377636}] : (aswHwid)
[HKLM\SYSTEM\CurrentControlSet\Control\Class\{04A83FC2-2AE2-4C99-B45F-E9707B377636}] : (aswEmHWID2)

===============signature ===============
¤¤¤¤¤¤¤¤¤¤ | Pre_Scan - AdsFix - UsbFix | SOSVirus Team Development | ¤¤¤¤¤¤¤¤¤¤
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Morbak
Administrateur (Fondateur)
avatar

Messages : 3197
Réputation : 197

Feuille de personnage
Nom: Morbak
Race: Humain

MessageSujet: Re: Rootkit   Mar 28 Juin - 20:27

oui et elles n'ont pas un nom aléatoire c'est ca qui est etrange, pourquoi celles-là sont aléatoire avant d'avoir aswsp comme nom puisque c'est avast qui les créé?

Mais si elles viennent d'avast c'est pas un rootkit qui est responsable alors Very Happy (comme j'aime chercher la ptite bête aussi, je réinstalle exprès un windows 7 neuf et je mettrai que avast dessus pour voir)

===============signature ===============
Superviseur du forum.
Adresse du serveur : http://morbak-home.ddns.net
Formulaire de contact : http://morbak-home.forumgratuit.org/contact
Le forum vous recommande l'utilisation d'Avast antivirus gratuit : http://www.avast.com/get/I8pJzbZF
Revenir en haut Aller en bas
Voir le profil de l'utilisateur http://morbak-home.ddns.net
g3n-h@ckm@n
Megaman/Megawoman
Megaman/Megawoman
avatar

Messages : 266
Réputation : 1
Age : 47

MessageSujet: Re: Rootkit   Mar 28 Juin - 21:04

oki ^^ lol !!! dans l'attente de la suite Very Happy

edit::

va savoir si avast installe pas en scred un rootkit comme le faisait sony à un moment ^^

===============signature ===============
¤¤¤¤¤¤¤¤¤¤ | Pre_Scan - AdsFix - UsbFix | SOSVirus Team Development | ¤¤¤¤¤¤¤¤¤¤
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Morbak
Administrateur (Fondateur)
avatar

Messages : 3197
Réputation : 197

Feuille de personnage
Nom: Morbak
Race: Humain

MessageSujet: Re: Rootkit   Mar 28 Juin - 21:09

ah ouais mais après on est pas à l'abri non plus c'est sûr ^^ mais perso je préfère penser que c'est pour les scan au démarrage par exemple Very Happy

===============signature ===============
Superviseur du forum.
Adresse du serveur : http://morbak-home.ddns.net
Formulaire de contact : http://morbak-home.forumgratuit.org/contact
Le forum vous recommande l'utilisation d'Avast antivirus gratuit : http://www.avast.com/get/I8pJzbZF
Revenir en haut Aller en bas
Voir le profil de l'utilisateur http://morbak-home.ddns.net
g3n-h@ckm@n
Megaman/Megawoman
Megaman/Megawoman
avatar

Messages : 266
Réputation : 1
Age : 47

MessageSujet: Re: Rootkit   Mar 28 Juin - 21:13

à ce que je peux voir ces clés ont toutes une sous-clé "Properties" qu on peut pas ouvrir alors que ces 4 là n'ont pas cette sous-clé

et si je cherche la première clé j'ai ce résultat :


Désolé, il n'y a pas de résultats Web pour cette recherche ! Votre filtre familial est activé et peut bloquer les résultats. Paramètres

étonnant pour une clé de registre d'un antivirus utilisé par des millions d'internautes.....

===============signature ===============
¤¤¤¤¤¤¤¤¤¤ | Pre_Scan - AdsFix - UsbFix | SOSVirus Team Development | ¤¤¤¤¤¤¤¤¤¤
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Morbak
Administrateur (Fondateur)
avatar

Messages : 3197
Réputation : 197

Feuille de personnage
Nom: Morbak
Race: Humain

MessageSujet: Re: Rootkit   Mar 28 Juin - 22:12

bingo : http://www.cjoint.com/c/FFCujE1fmFf
par contre pas de [HKLM\SYSTEM\CurrentControlSet\Control\Class\{6880337A-1EB4-4EF2-9659-0FD2EC60CB1B}] mais je me dit que c'est ptet une clé d'une ancienne version qui à changé ou n'est plus utilisé du coup.

===============signature ===============
Superviseur du forum.
Adresse du serveur : http://morbak-home.ddns.net
Formulaire de contact : http://morbak-home.forumgratuit.org/contact
Le forum vous recommande l'utilisation d'Avast antivirus gratuit : http://www.avast.com/get/I8pJzbZF
Revenir en haut Aller en bas
Voir le profil de l'utilisateur http://morbak-home.ddns.net
g3n-h@ckm@n
Megaman/Megawoman
Megaman/Megawoman
avatar

Messages : 266
Réputation : 1
Age : 47

MessageSujet: Re: Rootkit   Mar 28 Juin - 22:35

scripte les avec quickdiag et reboote la machine

et c'est bizarre qu'un switch soit utilisé avec REG_SZ puisque c'est les dword les switchs... les REG_SZ c'est une donnée à lire ou à exécuter et non une valeur qui fasse office d'interrupteur

et si tu les mets à zéro

NoUseClass et NoDisplayClass ?

===============signature ===============
¤¤¤¤¤¤¤¤¤¤ | Pre_Scan - AdsFix - UsbFix | SOSVirus Team Development | ¤¤¤¤¤¤¤¤¤¤
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Morbak
Administrateur (Fondateur)
avatar

Messages : 3197
Réputation : 197

Feuille de personnage
Nom: Morbak
Race: Humain

MessageSujet: Re: Rootkit   Mar 28 Juin - 23:22

j'ai testé en shootant les processus et les clé, il me dit deleted successfully mais elles sont encore là, je reboot aussitot, elles sont toujours là.

Je reessaye en mettant a 0 les valeurs avant de scripter, je passe le script, ca me dit deleted successfully, toujours là, je reboot et ben c'est encore là. le seul moyen de les virer definitivement je crois que c'est quand avast n'est plus la (il etait desactivé hein)

désolé pour la réponse tardive, mais mon pc galère sur VM surtout avec ce merdeux de Internet explorer qui marche qu'a moitié et qui est plus lent qu'un escargot sur de la colle.

===============signature ===============
Superviseur du forum.
Adresse du serveur : http://morbak-home.ddns.net
Formulaire de contact : http://morbak-home.forumgratuit.org/contact
Le forum vous recommande l'utilisation d'Avast antivirus gratuit : http://www.avast.com/get/I8pJzbZF
Revenir en haut Aller en bas
Voir le profil de l'utilisateur http://morbak-home.ddns.net
g3n-h@ckm@n
Megaman/Megawoman
Megaman/Megawoman
avatar

Messages : 266
Réputation : 1
Age : 47

MessageSujet: Re: Rootkit   Mar 28 Juin - 23:28

elles sont renommées en aswSP ou toujours zorglub ? ^^

===============signature ===============
¤¤¤¤¤¤¤¤¤¤ | Pre_Scan - AdsFix - UsbFix | SOSVirus Team Development | ¤¤¤¤¤¤¤¤¤¤
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Morbak
Administrateur (Fondateur)
avatar

Messages : 3197
Réputation : 197

Feuille de personnage
Nom: Morbak
Race: Humain

MessageSujet: Re: Rootkit   Mar 28 Juin - 23:39

non la c'est toujours xcpjsxoi ^^

===============signature ===============
Superviseur du forum.
Adresse du serveur : http://morbak-home.ddns.net
Formulaire de contact : http://morbak-home.forumgratuit.org/contact
Le forum vous recommande l'utilisation d'Avast antivirus gratuit : http://www.avast.com/get/I8pJzbZF
Revenir en haut Aller en bas
Voir le profil de l'utilisateur http://morbak-home.ddns.net
g3n-h@ckm@n
Megaman/Megawoman
Megaman/Megawoman
avatar

Messages : 266
Réputation : 1
Age : 47

MessageSujet: Re: Rootkit   Mar 28 Juin - 23:40

regarde ici , elle sont toutes nommées aswSP ^^ https://forum.windowsinstructed.com/topic/502-pc-slow/

et c'est un service qui demarre avec le système

R1 - aswSP (aswSP) -> \SystemRoot\system32\drivers\aswSP.sys

===============signature ===============
¤¤¤¤¤¤¤¤¤¤ | Pre_Scan - AdsFix - UsbFix | SOSVirus Team Development | ¤¤¤¤¤¤¤¤¤¤
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Morbak
Administrateur (Fondateur)
avatar

Messages : 3197
Réputation : 197

Feuille de personnage
Nom: Morbak
Race: Humain

MessageSujet: Re: Rootkit   Mar 28 Juin - 23:43

ben comme sur mon 2e pc ^^
Et le fait qu'on ne voit pas le fichier cible ca ne serait pas justement pour protéger son pilote d'auto-protection? même si on voit très bien dans le rapport où se situe aswSP.sys ^^

===============signature ===============
Superviseur du forum.
Adresse du serveur : http://morbak-home.ddns.net
Formulaire de contact : http://morbak-home.forumgratuit.org/contact
Le forum vous recommande l'utilisation d'Avast antivirus gratuit : http://www.avast.com/get/I8pJzbZF
Revenir en haut Aller en bas
Voir le profil de l'utilisateur http://morbak-home.ddns.net
g3n-h@ckm@n
Megaman/Megawoman
Megaman/Megawoman
avatar

Messages : 266
Réputation : 1
Age : 47

MessageSujet: Re: Rootkit   Mer 29 Juin - 0:00

ben en fait dans les controlclass on en voit aucun de fichier d avast ^^

===============signature ===============
¤¤¤¤¤¤¤¤¤¤ | Pre_Scan - AdsFix - UsbFix | SOSVirus Team Development | ¤¤¤¤¤¤¤¤¤¤
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Morbak
Administrateur (Fondateur)
avatar

Messages : 3197
Réputation : 197

Feuille de personnage
Nom: Morbak
Race: Humain

MessageSujet: Re: Rootkit   Mer 29 Juin - 0:14

moi ca me dépasse en tout cas cette histoire ^^ mais du coup tu pense toujours qu'il y a une possibilité de rootkit de ce coté là?

===============signature ===============
Superviseur du forum.
Adresse du serveur : http://morbak-home.ddns.net
Formulaire de contact : http://morbak-home.forumgratuit.org/contact
Le forum vous recommande l'utilisation d'Avast antivirus gratuit : http://www.avast.com/get/I8pJzbZF
Revenir en haut Aller en bas
Voir le profil de l'utilisateur http://morbak-home.ddns.net
g3n-h@ckm@n
Megaman/Megawoman
Megaman/Megawoman
avatar

Messages : 266
Réputation : 1
Age : 47

MessageSujet: Re: Rootkit   Mer 29 Juin - 0:18

ben non vu que ca appartient à Avast..... je vais quand même les laisser pour l instant , si elles peuvent être supprimées et renommées convenablement c'est pas plus mal lol !!

===============signature ===============
¤¤¤¤¤¤¤¤¤¤ | Pre_Scan - AdsFix - UsbFix | SOSVirus Team Development | ¤¤¤¤¤¤¤¤¤¤
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Morbak
Administrateur (Fondateur)
avatar

Messages : 3197
Réputation : 197

Feuille de personnage
Nom: Morbak
Race: Humain

MessageSujet: Re: Rootkit   Mer 29 Juin - 0:36

moi j'avais pensé que peut-être une infection utiliserait les memes clés qu'avast justemen pour brouiller mais vu que sur une installation fraiche elles ont des données aléatoire et pas un nom lié direct à avast ca tiens plus debout ^^

===============signature ===============
Superviseur du forum.
Adresse du serveur : http://morbak-home.ddns.net
Formulaire de contact : http://morbak-home.forumgratuit.org/contact
Le forum vous recommande l'utilisation d'Avast antivirus gratuit : http://www.avast.com/get/I8pJzbZF
Revenir en haut Aller en bas
Voir le profil de l'utilisateur http://morbak-home.ddns.net
g3n-h@ckm@n
Megaman/Megawoman
Megaman/Megawoman
avatar

Messages : 266
Réputation : 1
Age : 47

MessageSujet: Re: Rootkit   Mer 29 Juin - 1:20

ouaip je vais y réfléchir , bonne nuit je suis KC

===============signature ===============
¤¤¤¤¤¤¤¤¤¤ | Pre_Scan - AdsFix - UsbFix | SOSVirus Team Development | ¤¤¤¤¤¤¤¤¤¤
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Hornet
Administrateur/Contributeur désinfection
avatar

Messages : 3535
Réputation : 153

Feuille de personnage
Nom:
Race:

MessageSujet: Re: Rootkit   Jeu 30 Juin - 17:06

yop, modo2
il faudrait changer le titre si les clés ne sont pas liées à une infection non?

===============signature ===============
Pour savoir comment entretenir votre pc, cliquez ici
Un problème avec Windows? premier réflexe : Microsoft Fixit
Votre pc est infecté et vous ne savez pas quoi faire pour commencer? lisez ceci
Réfléchissez avant de cliquer, vous éviterez beaucoup de soucis. Projet anti-malware : s'informer pour mieux se protéger
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
casper
Modérateur/Contributeur désinfection
avatar

Messages : 3451
Réputation : 143
Age : 27

Feuille de personnage
Nom: Goliath
Race: Humain

MessageSujet: Re: Rootkit   Jeu 30 Juin - 19:18

bof c'est un sujet de discussion libre banane, c'est pas comme si c'etait une désinfection ou un problème a résoudre ^^ et puis ca permettra de causer d'autres rootkits

===============signature ===============
Les cracks et leurs conséquences : cliquez ici. Pour des exemples sur virustotal : cliquez là
Index des infections les plus répandues : c'est par ici ou ici
L'anonymat sur internet ça n'existe pas : explications là
Quand les journalistes s'intéressent à l'informatique ca fait rire : la preuve ici
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Ross Benan
Pacman/Bomberman
Pacman/Bomberman
avatar

Messages : 2
Réputation : 0

MessageSujet: Re: Rootkit   Sam 8 Sep - 11:58

@g3n-h@ckm@n a écrit:
Salut à tous , j'ai découvert que certains rootkits se planquaient dans les clés "Control\Class" donc je tenais à vous faire parvenir l'information.cependant ils ne laissent pas possible la lecture de la clé sinon son nom (de la clé , pas du rootkit ^^ ) , mais pas ses correspondances.je ne sais pas encore ce que c'est comme classe ( lol ^^ ) de rootkit , mais je peux vous en donner des exemples :

[HKLM\SYSTEM\CurrentControlSet\Control\Class\{522119B9-1B9A-498A-AC52-148B533EFD50}] : (vidrfzyb) []  ->
[HKLM\SYSTEM\CurrentControlSet\Control\Class\{6880337A-1EB4-4EF2-9659-0FD2EC60CB1B}] : (vidrfzyb) []  ->
[HKLM\SYSTEM\CurrentControlSet\Control\Class\{87C077B2-3D3B-4156-938A-EA51B451D6C6}] : (vidrfzyb) []  ->
[HKLM \ SYSTEM \ CurrentControlSet \ Control \ Class \ {FB58BE68-EA9E-4803-847F-2CE814E7B159}]: (vidrfzyb) [] ->

seemingly unable to set or obtain the path of the affected file.

here is how I proceeded to find this: good thinking ^^

Code:

Local $iTimer = 1, $sKey = ''
    While 1
        $sKey = RegEnumKey("HKLM\SYSTEM\CurrentControlSet\Control\Class", $iTimer)
        If @error Then ExitLoop
        Local $sData = '', $sData2 = '', $sData3 = ''
        $sData = "(" & RegRead("HKLM\SYSTEM\CurrentControlSet\Control\Class\" & $sKey, "Class") & ")"
        $sData2 = RegRead("HKLM\SYSTEM\CurrentControlSet\Control\Class\" & $sKey, "ClassDesc")
        $sData3 = " [" & RegRead("HKLM\SYSTEM\CurrentControlSet\Control\Class\" & $sKey, "Defaut Service") & "] "
        FileWriteLine($TXT, "[HKLM\SYSTEM\CurrentControlSet\Control\Class\" & $sKey & "] : " & $sData & $sData3 & " -> " & $sData2)
        GUICtrlSetData($LABEL4, "Class : " & $sKey)
        $iTimer += 1
    WEnd

Thank you for sharing this valuable information.
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Contenu sponsorisé




MessageSujet: Re: Rootkit   

Revenir en haut Aller en bas
 
Rootkit
Revenir en haut 
Page 5 sur 5Aller à la page : Précédent  1, 2, 3, 4, 5

Permission de ce forum:Vous ne pouvez pas répondre aux sujets dans ce forum
Morbak's Home :: Informatique :: Informations utiles :: Discussions diverses-
Sauter vers: