Rootkit

Salut à tous , j'ai découvert que certains rootkits se planquaient dans les clés "Control\Class" donc je tenais à vous faire parvenir l'information.cependant ils ne laissent pas possible la lecture de la clé sinon son nom (de la clé , pas du rootkit ^^ ) , mais pas ses correspondances.je ne sais pas encore ce que c'est comme classe ( lol ^^ ) de rootkit , mais je peux vous en donner des exemples :

[HKLM\SYSTEM\CurrentControlSet\Control\Class\{522119B9-1B9A-498A-AC52-148B533EFD50}] : (vidrfzyb) []  ->
[HKLM\SYSTEM\CurrentControlSet\Control\Class\{6880337A-1EB4-4EF2-9659-0FD2EC60CB1B}] : (vidrfzyb) []  ->
[HKLM\SYSTEM\CurrentControlSet\Control\Class\{87C077B2-3D3B-4156-938A-EA51B451D6C6}] : (vidrfzyb) []  ->
[HKLM\SYSTEM\CurrentControlSet\Control\Class\{FB58BE68-EA9E-4803-847F-2CE814E7B159}] : (vidrfzyb) []  ->

apparemment impossible de définir ni d'obtenir le chemin d'accès du fichier concerné.

voici comment j'ai procédé pour trouver ca :

Code:

Local $iTimer = 1, $sKey = ''
    While 1
        $sKey = RegEnumKey("HKLM\SYSTEM\CurrentControlSet\Control\Class", $iTimer)
        If @error Then ExitLoop
        Local $sData = '', $sData2 = '', $sData3 = ''
        $sData = "(" & RegRead("HKLM\SYSTEM\CurrentControlSet\Control\Class\" & $sKey, "Class") & ")"
        $sData2 = RegRead("HKLM\SYSTEM\CurrentControlSet\Control\Class\" & $sKey, "ClassDesc")
        $sData3 = " [" & RegRead("HKLM\SYSTEM\CurrentControlSet\Control\Class\" & $sKey, "Defaut Service") & "] "
        FileWriteLine($TXT, "[HKLM\SYSTEM\CurrentControlSet\Control\Class\" & $sKey & "] : " & $sData & $sData3 & " -> " & $sData2)
        GUICtrlSetData($LABEL4, "Class : " & $sKey)
        $iTimer += 1
    WEnd

bonne réflexion ^^

merci pour l'info
j'ai déplacé le sujet dans les infos utiles.

g3n-h@ckm@n a écrit:

apparemment impossible de définir ni d'obtenir le chemin d'accès du fichier concerné.

 
Ca promet pour les désinfections ca, faut espérer qu'avec des outils comme malwarebytes, on les trouve en scannant tout le pc.

J'imagine les gens qui viennent demander de l'aide : j'ai une bonne et une mauvaise nouvelle. La bonne c'est que j'ai trouvé quelle infection tu as sur le pc. La mauvaise c'est que j'ai aucune idée de l'endroit où elle se trouve, donc on peut pas la virer.

et le retour des fameux super conseils des gens qui croient s'y connaitre : formate!!!

oui , c'est comme la clé google update dans hkcu => RUN de zeroaccess et dont le service est etadpug ( oui gupdate à l'envers ) , ils est aussi impossible de l'ouvrir

si pre_scan n'avait pas d'outils tiers (Merci SteelWerX) pour bosser il n'effleurerait meme pas l infection mais là tant que j'ai pas trouvé un moyen de lire cette fichue clé control\class , je peux rien faire, je ne peux pas me baser sur un nom aléatoire dans cette partie du registre , beaucoup trop dangereux !

pourtant d'autres j'arrive à les lire ^^

Code:

[HKLM\SYSTEM\CurrentControlSet\Control\Class\{14b62f50-3f15-11dd-ae16-0800200c9a66}] : (DigitalMediaDevices) []  -> @digitalmediadevice.inf,%ClassName%;Digital Media Devices

en voici un autre exemple :

Code:

[HKLM\SYSTEM\CurrentControlSet\Control\Class\{522119B9-1B9A-498A-AC52-148B533EFD50}] : (nwwqwiue) []  ->

j'ai demandé un export mais on en apprend pas plus sauf que tout est caché selon les valeurs^^

Code:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{522119B9-1B9A-498A-AC52-148B533EFD50}]
"Class"="nwwqwiue"
"NoDisplayClass"="1"
"NoUseClass"="1"

je vais demander de faire une recherche avec Seaf pour voir où ca nous mène , avec le terme nwwqwiue

ca t'intéresse ca? : http://www.cjoint.com/15mi/EEuxeq2ZvOa_seaflog.txt

ca me dit rien perso mais si c'est légitime et que tu peux m'éclairer ^^ d'ailleurs impossible de les virer avec OTM qui étrangement me renvoie une erreur quand je le lance (avant le script, direct au lancement).

rnqiopis, si c'est pas un nom aléatoire alacon, je veux bien me faire pape  

fais un export de celle la ?
[HKLM\System\CurrentControlSet\Enum\Root\LEGACY_RNQIOPIS]

y'a qu'a demander : http://www.cjoint.com/15mi/EEuxVcyxKnq_export.txt

fais une recherche de ca avec seaf

{8ECC055D-047F-11D1-A537-0000F8753ED1}

y'a du monde : http://www.cjoint.com/15mi/EEux6LOYxTM_seaflog.txt

hou !!! a-squared la honte !!

et y'en a d'autres aléatoires aussi.... genre :
ZSQVQALV

sur google ca donne rien

https://www.google.fr/search?q=RNQIOPIS&ie=utf-8&oe=utf-8&gws_rd=cr&ei=PQhdVd-HC8PWUY6FgMAP
https://www.google.fr/search?q=ZSQVQALV&ie=utf-8&oe=utf-8&gws_rd=cr&ei=eghdVci7GoSPU9T6gOAB

je sais, c'est bien pour ca que je t'ai demandé ^^
tu veux un rapport de scan d'un outils quelconque? ou y'a rien qui t’intéresse la dedans?

ouaip , l'option "Extended" de Quickdiag

bonne lecture
http://www.cjoint.com/15mi/EEvbxB4f2cr_quickdiag_21_05_2015_01_19_32.txt

oulala !! c'est horrible et illisible , cjoint part en vrille ^^

heberge-le sur http://upload.sosvirus.net stp

voila m'sieur : http://upload.sosvirus.net/download/uo286waujzqhbgkochoi7gfe5xyzkn8ur2pqf35j

t'as vu tous les blocages d'applications que tu as ?

oui oui c'est normal c'est cryptoprevent qui les a mis en place

je parle sous "Locked Applications" en haut du rapport , j'en ai jamais vu autant mdr !

sinon ca sert à quoi rainmeter ?

oui c'est les clés de cryptoprevent pour empêcher l'execution des programmes depuis les dossiers temps et compagnie. Par exemple : http://www.cjoint.com/15mi/EEvcnzNTW2F_safer.txt

Je l'ai réglé sévère c'est ptet pour ca qu'il y en as beaucoup.
j'ai testé sur VM avec des samples piqué chez malekal. Sans Prevent, tout se crypte donc l'infection fonctionne, mais avec les restrictions, l'exe n'est pas autorisé à s’exécuter et du coup pas de cryptage. Ca marche ptet pas avec toutes les versions mais bon ca fait une sécurité en plus au cas ou je cliquerai sur une saleté hors Virtualbox ^^

excellent !!!

sinon t'as un petit reste de Baidu Antivirus ^^

sinon je pensais trouver ton rnpioqis chépakoi dans les services désactivés et stoppés mais non ^^

hormis ca , c'est super propre

g3n-h@ckm@n a écrit:

excellent !!!

sinon t'as un petit reste de Baidu Antivirus ^^

sinon je pensais trouver ton rnpioqis chépakoi dans les services désactivés et stoppés mais non ^^

du coup je sais pas d'ou elles viennent ces clés alacon mais elles ont rien a faire sur un windows propre, je vais me démerder pour les virer, j'y arriverais Pour le reste ou c'est comme emsisoft, ou unity player, reste quelques traces des tests que je fais sur mon pc,mais rien d'actif donc je fait le ménage quand je fouille les dossiers. En general j'ai pas envie d'allumer une machine virtuelle pour tester un programme donc je fout ca sur le vrai systeme.

g3n-h@ckm@n a écrit:

hormis ca , c'est super propre

Ben j'espère ^^ ca serait malheureux que j'aide sans être capable de prendre soin de ma propre bécane

j'ai édité mon message précédent avant ta réponse pour les clé safer, mais là je suis KO alors je vais me coucher et tu devrais en faire autant, c'est pas bon d'avoir le nez dans les virus trop longtemps, tu va finir par être malade

bonne nuit.

ptdr !! ^^

par contre tu me permets de faire une màj sur la lecture de ces clés avec ton export donc merci beaucoup

pour les clés pourries tu dois pouvoir les virer avec gmer en ligne de commande 
oui chuis claqué moi aussi bonne nuit
et merci encore

y'a pas de quoi.

J'avais pas vu ta question sur rainmeter, c'est normalement un programme pour la meteo mais en le personnalisant, il me permet d'avoir un pseudo theme fallout 3 pour windows (comme le thème du forum) avec des raccourci sous forme de texte comme ca :
http://www.cjoint.com/15mi/EEvlSbBXoiR_fallout.png

Je ne fait pas confiance aux thèmes qui changent tout windows, c'est le meilleur moyen de choper une merde

et de planter la machine suivant les cas