Rootkit

sur la VM elles y sont pas j'ai regardé, mais bon la il telecharge avast ^^ y'en a pour une dizaine de minutes avec ma connexion de merde :'(

Megaman/Megawoman Messages : 267 Réputation : 1 Age : 53

bon là j'ai un rapport de quickdiag ou il y a aucune trace d'avast dans le pc ( pourtant dieu sait s'il en reste apres désistall même avec leur tool et ben j'ai ca :

[HKLM\SYSTEM\CurrentControlSet\Control\Class\{03F52937-1FD6-44FB-82C6-FE988F1B1D61}] : (aswSP)
[HKLM\SYSTEM\CurrentControlSet\Control\Class\{522119B9-1B9A-498A-AC52-148B533EFD50}] : (khiuxlaj) []
[HKLM\SYSTEM\CurrentControlSet\Control\Class\{87C077B2-3D3B-4156-938A-EA51B451D6C6}] : (khiuxlaj) []
[HKLM\SYSTEM\CurrentControlSet\Control\Class\{FB58BE68-EA9E-4803-847F-2CE814E7B159}] : (khiuxlaj) []

celle-ci est absente : [HKLM\SYSTEM\CurrentControlSet\Control\Class\{6880337A-1EB4-4EF2-9659-0FD2EC60CB1B}]

Bon j'ai installé avast resultat......... c'est bien lui qui les créé (j'ai installé absolument tout les modules sauf chrome ^^) : http://www.cjoint.com/c/FFCrT48axVf_4.zip Ptet pour ca qu'elles reviennent sur mes deux pc protégés par avast (sachant que les premieres clés à valeur aléatoire quand on les avait vu chez moi, j'avais aussi avast)

Je vais voir si en le degageant avec l'outils, ca reste et si ca reste je regarde en les supprimant si elles reviennent

Après passage de avastclear elles sont restées, j'ai passé OTM et rebooté, elles ne sont pas revenues, donc il semblerait qu'elles sont liées à avast. il y en a d'autres d'ailleurs qui lui sont liées mais je n'ai pas le temps de te les donner tout de suite je dois filer ^^

Ah chose importante je pense, sur la VM juste après l'install d'avast elles avaient aussi un nom aléatoire qu'elles ont donc conservé après désinstallation via avastclear. Aucune n'indiquait aswSP

Megaman/Megawoman Messages : 267 Réputation : 1 Age : 53

oui mais les autres qui sont liées n'ont pas aswSP comme nom , c'est plutot

[HKLM\SYSTEM\CurrentControlSet\Control\Class\{C4A06E97-ED42-47B9-83E1-F12299B286A5}] : (aswRdr)
[HKLM\SYSTEM\CurrentControlSet\Control\Class\{8AE85550-832C-4A9B-81BB-2A49DBEE72B4}] : (aswRvrt)
[HKLM\SYSTEM\CurrentControlSet\Control\Class\{24A0C840-2C3D-4410-8236-8B40816C7B90}] : (aswVmm)
[HKLM\SYSTEM\CurrentControlSet\Control\Class\{0475BB51-5A02-4EE0-B36C-29040FAD2650}] : (amdkmdap)
[HKLM\SYSTEM\CurrentControlSet\Control\Class\{04A83FC2-2AE2-4C88-B45F-E9707B377636}] : (aswHwid)
[HKLM\SYSTEM\CurrentControlSet\Control\Class\{04A83FC2-2AE2-4C99-B45F-E9707B377636}] : (aswEmHWID2)

oui et elles n'ont pas un nom aléatoire c'est ca qui est etrange, pourquoi celles-là sont aléatoire avant d'avoir aswsp comme nom puisque c'est avast qui les créé?

Mais si elles viennent d'avast c'est pas un rootkit qui est responsable alors Very Happy

(comme j'aime chercher la ptite bête aussi, je réinstalle exprès un windows 7 neuf et je mettrai que avast dessus pour voir)

Megaman/Megawoman Messages : 267 Réputation : 1 Age : 53

oki ^^ lol !!! dans l'attente de la suite Very Happy

edit::

va savoir si avast installe pas en scred un rootkit comme le faisait sony à un moment ^^

ah ouais mais après on est pas à l'abri non plus c'est sûr ^^ mais perso je préfère penser que c'est pour les scan au démarrage par exemple Very Happy

Megaman/Megawoman Messages : 267 Réputation : 1 Age : 53

à ce que je peux voir ces clés ont toutes une sous-clé "Properties" qu on peut pas ouvrir alors que ces 4 là n'ont pas cette sous-clé

et si je cherche la première clé j'ai ce résultat :

Désolé, il n'y a pas de résultats Web pour cette recherche ! Votre filtre familial est activé et peut bloquer les résultats. Paramètres

étonnant pour une clé de registre d'un antivirus utilisé par des millions d'internautes.....

bingo : http://www.cjoint.com/c/FFCujE1fmFf
par contre pas de [HKLM\SYSTEM\CurrentControlSet\Control\Class\{6880337A-1EB4-4EF2-9659-0FD2EC60CB1B}] mais je me dit que c'est ptet une clé d'une ancienne version qui à changé ou n'est plus utilisé du coup.

Megaman/Megawoman Messages : 267 Réputation : 1 Age : 53

scripte les avec quickdiag et reboote la machine

et c'est bizarre qu'un switch soit utilisé avec REG_SZ puisque c'est les dword les switchs... les REG_SZ c'est une donnée à lire ou à exécuter et non une valeur qui fasse office d'interrupteur

et si tu les mets à zéro

NoUseClass et NoDisplayClass ?

j'ai testé en shootant les processus et les clé, il me dit deleted successfully mais elles sont encore là, je reboot aussitot, elles sont toujours là.

Je reessaye en mettant a 0 les valeurs avant de scripter, je passe le script, ca me dit deleted successfully, toujours là, je reboot et ben c'est encore là. le seul moyen de les virer definitivement je crois que c'est quand avast n'est plus la (il etait desactivé hein)

désolé pour la réponse tardive, mais mon pc galère sur VM surtout avec ce merdeux de Internet explorer qui marche qu'a moitié et qui est plus lent qu'un escargot sur de la colle.

Megaman/Megawoman Messages : 267 Réputation : 1 Age : 53

elles sont renommées en aswSP ou toujours zorglub ? ^^

non la c'est toujours xcpjsxoi ^^

Megaman/Megawoman Messages : 267 Réputation : 1 Age : 53

regarde ici , elle sont toutes nommées aswSP ^^ https://forum.windowsinstructed.com/topic/502-pc-slow/

et c'est un service qui demarre avec le système

R1 - aswSP (aswSP) -> \SystemRoot\system32\drivers\aswSP.sys

ben comme sur mon 2e pc ^^
Et le fait qu'on ne voit pas le fichier cible ca ne serait pas justement pour protéger son pilote d'auto-protection? même si on voit très bien dans le rapport où se situe aswSP.sys ^^

Megaman/Megawoman Messages : 267 Réputation : 1 Age : 53

ben en fait dans les controlclass on en voit aucun de fichier d avast ^^

moi ca me dépasse en tout cas cette histoire ^^ mais du coup tu pense toujours qu'il y a une possibilité de rootkit de ce coté là?

Megaman/Megawoman Messages : 267 Réputation : 1 Age : 53

ben non vu que ca appartient à Avast..... je vais quand même les laisser pour l instant , si elles peuvent être supprimées et renommées convenablement c'est pas plus mal lol !!

moi j'avais pensé que peut-être une infection utiliserait les memes clés qu'avast justemen pour brouiller mais vu que sur une installation fraiche elles ont des données aléatoire et pas un nom lié direct à avast ca tiens plus debout ^^

Megaman/Megawoman Messages : 267 Réputation : 1 Age : 53

ouaip je vais y réfléchir , bonne nuit je suis KC

yop,

il faudrait changer le titre si les clés ne sont pas liées à une infection non?

bof c'est un sujet de discussion libre banane, c'est pas comme si c'etait une désinfection ou un problème a résoudre ^^ et puis ca permettra de causer d'autres rootkits

Pacman/Bomberman Messages : 2 Réputation : 0

g3n-h@ckm@n a écrit:

Salut à tous , j'ai découvert que certains rootkits se planquaient dans les clés "Control\Class" donc je tenais à vous faire parvenir l'information.cependant ils ne laissent pas possible la lecture de la clé sinon son nom (de la clé , pas du rootkit ^^ ) , mais pas ses correspondances.je ne sais pas encore ce que c'est comme classe ( lol ^^ ) de rootkit , mais je peux vous en donner des exemples :

[HKLM\SYSTEM\CurrentControlSet\Control\Class\{522119B9-1B9A-498A-AC52-148B533EFD50}] : (vidrfzyb) [] ->
[HKLM\SYSTEM\CurrentControlSet\Control\Class\{6880337A-1EB4-4EF2-9659-0FD2EC60CB1B}] : (vidrfzyb) [] ->
[HKLM\SYSTEM\CurrentControlSet\Control\Class\{87C077B2-3D3B-4156-938A-EA51B451D6C6}] : (vidrfzyb) [] ->
[HKLM \ SYSTEM \ CurrentControlSet \ Control \ Class \ {FB58BE68-EA9E-4803-847F-2CE814E7B159}]: (vidrfzyb) [] ->

seemingly unable to set or obtain the path of the affected file.

here is how I proceeded to find this: good thinking ^^

Code:: Local $iTimer = 1, $sKey = ''
    While 1
        $sKey = RegEnumKey("HKLM\SYSTEM\CurrentControlSet\Control\Class", $iTimer)
        If @error Then ExitLoop
        Local $sData = '', $sData2 = '', $sData3 = ''
        $sData = "(" & RegRead("HKLM\SYSTEM\CurrentControlSet\Control\Class\" & $sKey, "Class") & ")"
        $sData2 = RegRead("HKLM\SYSTEM\CurrentControlSet\Control\Class\" & $sKey, "ClassDesc")
        $sData3 = " [" & RegRead("HKLM\SYSTEM\CurrentControlSet\Control\Class\" & $sKey, "Defaut Service") & "] "
        FileWriteLine($TXT, "[HKLM\SYSTEM\CurrentControlSet\Control\Class\" & $sKey & "] : " & $sData & $sData3 & " -> " & $sData2)
        GUICtrlSetData($LABEL4, "Class : " & $sKey)
        $iTimer += 1
    WEnd

Thank you for sharing this valuable information.

» [résolu]Rootkit et Pc qui s'éteint tout seul!!
» Comment se débarasser des Rootkit zero access et du trojan ? [résolu]
» Windows update et windows defender inactif, site inaccessible, et rootkit