Résolu "IRP hooks" dans mountmgr.sys détecté par RogueKiller et svchost.exe

[ant38]

Bonjour à tous,

Je procédais au nettoyage du PC de mes parents, infesté de malware et autres joyeusetés, et, après avoir lancé malwarebytes, JRT, ADWcleaner, j'ai lancé RogueKiller et ce dernier me trouve deux choses différentes :

1) Plusieurs "IRP Hook" sur plusieurs fichiers mountmgr.sys. RogueKiller m'a renvoyé

Vous devez être connecté pour voir les liens.

en plein milieu du scan mais je n'y comprends pas grand chose

2) Un processus malicieux sur svchost.exe et autres problèmes divers

Voici ce que me décrit le rapport :

Spoiler

RogueKiller V9.2.6.0 [Jul 11 2014] par Adlice Software
Mail : http://www.adlice.com/contact/
Remontées :

Vous devez être connecté pour voir les liens.

Site Web : http://www.surlatoile.org/RogueKiller/
Blog :

Vous devez être connecté pour voir les liens.

Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Démarrage : Mode normal
Utilisateur : pp [Droits d'admin]
Mode : Recherche -- Date : 08/15/2014 12:55:34

¤¤¤ Processus malicieux : 1 ¤¤¤
[Proc.Svchost] svchost.exe -- [x] -> TUÉ [TermThr]

¤¤¤ Entrées de registre : 14 ¤¤¤
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SASDIFSV -> TROUVÉ
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SASKUTIL -> TROUVÉ
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SASDIFSV -> TROUVÉ
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SASKUTIL -> TROUVÉ
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\SASDIFSV -> TROUVÉ
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\SASKUTIL -> TROUVÉ
[PUM.Proxy] HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyEnable : 1 -> TROUVÉ
[PUM.Proxy] HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyEnable : 1 -> TROUVÉ
[PUM.Proxy] HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyServer : http=127.0.0.1:8075 -> TROUVÉ
[PUM.Proxy] HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyServer : http=127.0.0.1:8075 -> TROUVÉ
[PUM.Policies] HKEY_USERS\S-1-5-21-50226674-2663244616-3998810918-1004\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 -> TROUVÉ
[PUM.Policies] HKEY_USERS\S-1-5-21-50226674-2663244616-3998810918-1004\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableTaskMgr : 0 -> TROUVÉ
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> TROUVÉ
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> TROUVÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier HOSTS : 1 ¤¤¤
[C:\Windows\System32\drivers\etc\hosts] 193.54.184.65 vpn.grenet.fr


¤¤¤ Antirootkit : 9 (Driver: CHARGE) ¤¤¤
[IRP:Addr(Hook.IRP)] \SystemRoot\System32\drivers\mountmgr.sys - IRP_MJ_CREATE[0] : Unknown @ 0x85cbd1f8
[IRP:Addr(Hook.IRP)] \SystemRoot\System32\drivers\mountmgr.sys - IRP_MJ_CLOSE[2] : Unknown @ 0x85cbd1f8
[IRP:Addr(Hook.IRP)] \SystemRoot\System32\drivers\mountmgr.sys - IRP_MJ_DEVICE_CONTROL[14] : Unknown @ 0x85cbd1f8
[IRP:Addr(Hook.IRP)] \SystemRoot\System32\drivers\mountmgr.sys - IRP_MJ_INTERNAL_DEVICE_CONTROL[15] : Unknown @ 0x85cbd1f8
[IRP:Addr(Hook.IRP)] \SystemRoot\System32\drivers\mountmgr.sys - IRP_MJ_POWER[22] : Unknown @ 0x85cbd1f8
[IRP:Addr(Hook.IRP)] \SystemRoot\System32\drivers\mountmgr.sys - IRP_MJ_SYSTEM_CONTROL[23] : Unknown @ 0x85cbd1f8
[IRP:Addr(Hook.IRP)] \SystemRoot\System32\drivers\mountmgr.sys - IRP_MJ_PNP[27] : Unknown @ 0x85cbd1f8
[Filter(Kernel.Filter)] \Driver\atapi @ \Device\Ide\IdeDeviceP0T0L0-0 : \Driver\PCTCore @ Unknown (\SystemRoot\System32\Drivers\SCSIPORT.SYS)
[IAT:Addr] (explorer.exe) KERNEL32.dll - GetProcAddress : C:\Windows\system32\apphelp.dll @ 0x7564fff6

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ MBR Verif : ¤¤¤
+++++ PhysicalDrive0: ST9160411ASG ATA Device +++++
--- User ---
[MBR] b489fdd446de7a1fff283ef27fb073a5
[BSP] 7bbe13a9254adb3703e35dbeac8323ea : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 152525 MB
User = LL1 ... OK
User = LL2 ... OK


============================================
RKreport_SCN_08152014_124411.log

Faut-il s'en préoccuper et si oui, comment?

 

[thor37230]

Tu peux procéder à la suppression de tous les élémnents trouvés.

Vérifie que windows ainsi que Flash player, Java, navigateur internet (et leur plugins) soient bien à jour.
Installer les extensions AdBlock Plus, WOT, Ghostery si pas déjà fait sur chacun des navigateurs internet utilisés.

Quel antivirus et pare-feu installé?

Si problèmes ultérieure, vérifier l'intégrité des fichiers systèmes

Vous devez être connecté pour voir les liens.