ant38
Habitué
Bonjour à tous,
Je procédais au nettoyage du PC de mes parents, infesté de malware et autres joyeusetés, et, après avoir lancé malwarebytes, JRT, ADWcleaner, j'ai lancé RogueKiller et ce dernier me trouve deux choses différentes :
1) Plusieurs "IRP Hook" sur plusieurs fichiers mountmgr.sys. RogueKiller m'a renvoyé
2) Un processus malicieux sur svchost.exe et autres problèmes divers
Voici ce que me décrit le rapport :
Faut-il s'en préoccuper et si oui, comment?
Je procédais au nettoyage du PC de mes parents, infesté de malware et autres joyeusetés, et, après avoir lancé malwarebytes, JRT, ADWcleaner, j'ai lancé RogueKiller et ce dernier me trouve deux choses différentes :
1) Plusieurs "IRP Hook" sur plusieurs fichiers mountmgr.sys. RogueKiller m'a renvoyé
Vous devez être connecté pour voir les liens.
en plein milieu du scan mais je n'y comprends pas grand chose2) Un processus malicieux sur svchost.exe et autres problèmes divers
Voici ce que me décrit le rapport :
RogueKiller V9.2.6.0 [Jul 11 2014] par Adlice Software
Mail : http://www.adlice.com/contact/
Remontées :
Site Web : http://www.surlatoile.org/RogueKiller/
Blog :
Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Démarrage : Mode normal
Utilisateur : pp [Droits d'admin]
Mode : Recherche -- Date : 08/15/2014 12:55:34
¤¤¤ Processus malicieux : 1 ¤¤¤
[Proc.Svchost] svchost.exe -- [x] -> TUÉ [TermThr]
¤¤¤ Entrées de registre : 14 ¤¤¤
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SASDIFSV -> TROUVÉ
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SASKUTIL -> TROUVÉ
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SASDIFSV -> TROUVÉ
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SASKUTIL -> TROUVÉ
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\SASDIFSV -> TROUVÉ
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\SASKUTIL -> TROUVÉ
[PUM.Proxy] HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyEnable : 1 -> TROUVÉ
[PUM.Proxy] HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyEnable : 1 -> TROUVÉ
[PUM.Proxy] HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyServer : http=127.0.0.1:8075 -> TROUVÉ
[PUM.Proxy] HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyServer : http=127.0.0.1:8075 -> TROUVÉ
[PUM.Policies] HKEY_USERS\S-1-5-21-50226674-2663244616-3998810918-1004\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 -> TROUVÉ
[PUM.Policies] HKEY_USERS\S-1-5-21-50226674-2663244616-3998810918-1004\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableTaskMgr : 0 -> TROUVÉ
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> TROUVÉ
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> TROUVÉ
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Fichiers : 0 ¤¤¤
¤¤¤ Fichier HOSTS : 1 ¤¤¤
[C:\Windows\System32\drivers\etc\hosts] 193.54.184.65 vpn.grenet.fr
¤¤¤ Antirootkit : 9 (Driver: CHARGE) ¤¤¤
[IRP:Addr(Hook.IRP)] \SystemRoot\System32\drivers\mountmgr.sys - IRP_MJ_CREATE[0] : Unknown @ 0x85cbd1f8
[IRP:Addr(Hook.IRP)] \SystemRoot\System32\drivers\mountmgr.sys - IRP_MJ_CLOSE[2] : Unknown @ 0x85cbd1f8
[IRP:Addr(Hook.IRP)] \SystemRoot\System32\drivers\mountmgr.sys - IRP_MJ_DEVICE_CONTROL[14] : Unknown @ 0x85cbd1f8
[IRP:Addr(Hook.IRP)] \SystemRoot\System32\drivers\mountmgr.sys - IRP_MJ_INTERNAL_DEVICE_CONTROL[15] : Unknown @ 0x85cbd1f8
[IRP:Addr(Hook.IRP)] \SystemRoot\System32\drivers\mountmgr.sys - IRP_MJ_POWER[22] : Unknown @ 0x85cbd1f8
[IRP:Addr(Hook.IRP)] \SystemRoot\System32\drivers\mountmgr.sys - IRP_MJ_SYSTEM_CONTROL[23] : Unknown @ 0x85cbd1f8
[IRP:Addr(Hook.IRP)] \SystemRoot\System32\drivers\mountmgr.sys - IRP_MJ_PNP[27] : Unknown @ 0x85cbd1f8
[Filter(Kernel.Filter)] \Driver\atapi @ \Device\Ide\IdeDeviceP0T0L0-0 : \Driver\PCTCore @ Unknown (\SystemRoot\System32\Drivers\SCSIPORT.SYS)
[IAT:Addr] (explorer.exe) KERNEL32.dll - GetProcAddress : C:\Windows\system32\apphelp.dll @ 0x7564fff6
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ MBR Verif : ¤¤¤
+++++ PhysicalDrive0: ST9160411ASG ATA Device +++++
--- User ---
[MBR] b489fdd446de7a1fff283ef27fb073a5
[BSP] 7bbe13a9254adb3703e35dbeac8323ea : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 152525 MB
User = LL1 ... OK
User = LL2 ... OK
============================================
RKreport_SCN_08152014_124411.log
Mail : http://www.adlice.com/contact/
Remontées :
Vous devez être connecté pour voir les liens.
Site Web : http://www.surlatoile.org/RogueKiller/
Blog :
Vous devez être connecté pour voir les liens.
Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Démarrage : Mode normal
Utilisateur : pp [Droits d'admin]
Mode : Recherche -- Date : 08/15/2014 12:55:34
¤¤¤ Processus malicieux : 1 ¤¤¤
[Proc.Svchost] svchost.exe -- [x] -> TUÉ [TermThr]
¤¤¤ Entrées de registre : 14 ¤¤¤
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SASDIFSV -> TROUVÉ
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SASKUTIL -> TROUVÉ
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SASDIFSV -> TROUVÉ
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SASKUTIL -> TROUVÉ
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\SASDIFSV -> TROUVÉ
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\SASKUTIL -> TROUVÉ
[PUM.Proxy] HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyEnable : 1 -> TROUVÉ
[PUM.Proxy] HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyEnable : 1 -> TROUVÉ
[PUM.Proxy] HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyServer : http=127.0.0.1:8075 -> TROUVÉ
[PUM.Proxy] HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyServer : http=127.0.0.1:8075 -> TROUVÉ
[PUM.Policies] HKEY_USERS\S-1-5-21-50226674-2663244616-3998810918-1004\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 -> TROUVÉ
[PUM.Policies] HKEY_USERS\S-1-5-21-50226674-2663244616-3998810918-1004\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableTaskMgr : 0 -> TROUVÉ
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> TROUVÉ
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> TROUVÉ
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Fichiers : 0 ¤¤¤
¤¤¤ Fichier HOSTS : 1 ¤¤¤
[C:\Windows\System32\drivers\etc\hosts] 193.54.184.65 vpn.grenet.fr
¤¤¤ Antirootkit : 9 (Driver: CHARGE) ¤¤¤
[IRP:Addr(Hook.IRP)] \SystemRoot\System32\drivers\mountmgr.sys - IRP_MJ_CREATE[0] : Unknown @ 0x85cbd1f8
[IRP:Addr(Hook.IRP)] \SystemRoot\System32\drivers\mountmgr.sys - IRP_MJ_CLOSE[2] : Unknown @ 0x85cbd1f8
[IRP:Addr(Hook.IRP)] \SystemRoot\System32\drivers\mountmgr.sys - IRP_MJ_DEVICE_CONTROL[14] : Unknown @ 0x85cbd1f8
[IRP:Addr(Hook.IRP)] \SystemRoot\System32\drivers\mountmgr.sys - IRP_MJ_INTERNAL_DEVICE_CONTROL[15] : Unknown @ 0x85cbd1f8
[IRP:Addr(Hook.IRP)] \SystemRoot\System32\drivers\mountmgr.sys - IRP_MJ_POWER[22] : Unknown @ 0x85cbd1f8
[IRP:Addr(Hook.IRP)] \SystemRoot\System32\drivers\mountmgr.sys - IRP_MJ_SYSTEM_CONTROL[23] : Unknown @ 0x85cbd1f8
[IRP:Addr(Hook.IRP)] \SystemRoot\System32\drivers\mountmgr.sys - IRP_MJ_PNP[27] : Unknown @ 0x85cbd1f8
[Filter(Kernel.Filter)] \Driver\atapi @ \Device\Ide\IdeDeviceP0T0L0-0 : \Driver\PCTCore @ Unknown (\SystemRoot\System32\Drivers\SCSIPORT.SYS)
[IAT:Addr] (explorer.exe) KERNEL32.dll - GetProcAddress : C:\Windows\system32\apphelp.dll @ 0x7564fff6
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ MBR Verif : ¤¤¤
+++++ PhysicalDrive0: ST9160411ASG ATA Device +++++
--- User ---
[MBR] b489fdd446de7a1fff283ef27fb073a5
[BSP] 7bbe13a9254adb3703e35dbeac8323ea : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 152525 MB
User = LL1 ... OK
User = LL2 ... OK
============================================
RKreport_SCN_08152014_124411.log
Faut-il s'en préoccuper et si oui, comment?