Forum Clubic

Assurer la protection de votre pc (page 7)

C’etait pt être un rootkit beta lui aussi…
ouais mais trouve moi + de 1 ou 2 personnes dont toi ( :smiley: ) sur ce topic capable d’interpreter 1 log de rootkirevealeer…

S’inscrire ici… :slight_smile:
Comme ça on pourra pt être avoir le tuto que cherche juju…

surikat14 => Je viens de regarder le logfile de rootkit reaveler que tu m’as envoyé:

Apparement rien de grave, tes fichiers détectés sont tous dans les fichiers temporaires d’internet explorer (il ya des images, pages web etc…) C’est un peu étrange, mais supprime tes fichiers internet temporaires (dans les options d’internet explorer) et le reste ce sont des fichiers liés a la restauration systeme. Encore une fois c’est un peu étrage que ce soit détecté comme rootkit, mais je ne pense pas qu’il y ait un risque.

J’essaie de me tenir au courant la dessus.

En plus ma connection internet déconne :grrr: c’est pas fait pour aider. :o

serfo => Je jettrai un oeil a l’anti rootkit de Fsecure, la semaine prochaine :wink: (si ma connec le veut bien :grrr: )

J’essaierai pendant les vacances de voir pour faire un ptit tuto pour rootkit reaveler si je n’en trouve pas… :wink:

Moa !!! :smiley: j’interprète pas, je constate l’existence puis je fais une tite recherche pour la branche/clé trouvée pour savoir à qui appartient le cadeau de “naouwel” :ane:

mais bon chacun "voit midi à sa porte"

edit : déconne pas JuJu laisse moi le temps de corriger :ane:

Je fais a peu près comme toi :smiley: Et je sais aussi (plus ou moins selon le nom) si tel ou tel fichier doit se trouver sur le pc ou non :ane:

Aller, les enfants, je vous laisse pour ce soir. :wink:

c bien ce que je disais , c un outil "grand public" (rootkitrev…) :wink:

Bonjour tout le monde !!

Bon, j’ai vidé mes fichiers temporaires internet comme conseillé, j’ai relancé un ti scan et j’en suis à “15 discrepancies found” on progresse !! C’est bon MasterCode, je vais bientôt pouvoir t’envoyer un MP sans risque pour toi :whistle:

Vu que le rapport n’est pas trop long, je me permet de le mettre directement ici. si ça gêne je l’enlèverai :

Je ne sais pas trop ce qu’il faut en penser maintenant, Juju251 ?? :neutre:

Bonne journée tout le monde, les cours m’attendent… :sleep:

bon , c’est encore MOa!!!! :ane:

d’abord tu vas lire puis tu télécharges l’utilitaire : Regdelnull
http://www.sysinternals.com/Utilities/RegDelNull.html

http://www.sysinternals.com/Information/Ti…html#HiddenKeys

pour nettoyer , d"abord tu desactives la restauration de systeme ,tu passes l’outils CCleaner, tu fais un reboot et rescan RootkitRevealer , toute tes entrées sont à virer sauf celle ci :

HKLM\SYSTEM\ControlSet001\Services\d347prt\Cfg\0Jf40 09/02/2006 07:42 0 bytes

c’est de Daemon Tool ,je pense qu’il ne faut pas y toucher.

Serfo:
en fait l’usage de RKR n’a rien de bien sorcier . vu qu’en principe t’as pas à avoir d’entrée ya même pas à interpreter , suffit de constater et fixer le probleme en faisant une recherche dans ta BdR et google is "your friend " pour t’aider à cerner.

http://www.sysinternals.com/Forum/forum_po…p?TID=3254&PN=1
http://www.sysinternals.com/Forum/forum_po…sp?TID=962&PN=1

“C’est bon MasterCode, je vais bientôt pouvoir t’envoyer un MP sans risque pour toi”
>chui soulagé de le savoir, jcommençais à stresser , grave :lol: :smiley:

merci
je dis pas que c sorcier , je connaissais pas jusqu’à ya pas longtemps.Comme j’ai un antirootkit sur f-secure je ne me posais pastrop la question.
J’avais decouvert l’existence des rootkits en mm temps que leur outil beta sur leur site avant l’été.

J’ai un pc un peu compliqué et chargé en prog mais propre , à jour , “nettoyé” regulierement, pas de formatage et aucune merde serieuse depuis 3 ans.(xp pro sp2) et protégé correctement .

Je decouvre ça fait 3-mois hijackthis , je scan , je fais une 1ere approche auto puis avec le tuto de zebulon , 2 -3 bricoles à fixer , rien de serieux.
Je decouvre recemment rootkit revealer , je fais un scan à titre de curiosté , il me sort un tas de lignes avec lesquelles je ne sais pas ce qu’il faut faire.
Je fais 1 scan f-secureinternet security complet (antivirus, antispy, antirootkit) = rien
1 spybot tant qu’on yest = rien
encore 1 ptit hijack = rien
un p’tit a2 toujours a titre de curiosité = rien

alors il trouve quoi cet outil? :??: ??:des failles reelles , potentielles?..

au passage il me sort un tas ligne de f-secure…
Ceci dit mon pc marche parfaitement , c 'etait à titre de curiosité , si un jour j’en ai vraimement besoin.

bon , j’ai vidé ts les caches , temp et fait 1 cccleaner reste ça:
je le poste parceque il est devenu(beaucoup) + court
qqun peut m’expliquer? merci

HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE1126B64A90E8365B85CFCF6\ProductName 19/12/2005 10:14 26 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}\DisplayName 19/12/2005 10:18 26 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet002\Control\MediaProperties\PrivateProperties\Midi\Ports\GFIII 7.1 Ext. MIDI [ 09/06/2005 07:04 0 bytes Key name contains embedded nulls ()
HKLM\SYSTEM\ControlSet002\Control\MediaProperties\PrivateProperties\Midi\Ports\Mappeur MIDI Microsoft [ 09/06/2005 07:04 0 bytes Key name contains embedded nulls (
)
HKLM\SYSTEM\ControlSet002\Control\MediaProperties\PrivateProperties\Midi\Ports\MPU-401 [ 09/06/2005 07:04 0 bytes Key name contains embedded nulls ()
HKLM\SYSTEM\ControlSet002\Control\MediaProperties\PrivateProperties\Midi\Ports\SynthÚ. SW table de sons GS Mic [ 09/06/2005 07:04 0 bytes Key name contains embedded nulls (
)
HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\s0 19/12/2005 10:28 4 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\s1 19/12/2005 10:28 4 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\s2 19/12/2005 10:28 4 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\g0 19/12/2005 10:28 32 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\h0 19/12/2005 10:28 4 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 19/12/2005 10:35 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Control\MediaProperties\PrivateProperties\Midi\Ports\GFIII 7.1 Ext. MIDI [ 09/06/2005 07:04 0 bytes Key name contains embedded nulls ()
HKLM\SYSTEM\ControlSet003\Control\MediaProperties\PrivateProperties\Midi\Ports\Mappeur MIDI Microsoft [ 09/06/2005 07:04 0 bytes Key name contains embedded nulls (
)
HKLM\SYSTEM\ControlSet003\Control\MediaProperties\PrivateProperties\Midi\Ports\MPU-401 [ 09/06/2005 07:04 0 bytes Key name contains embedded nulls ()
HKLM\SYSTEM\ControlSet003\Control\MediaProperties\PrivateProperties\Midi\Ports\SynthÚ. SW table de sons GS Mic [ 09/06/2005 07:04 0 bytes Key name contains embedded nulls (
)
C:\Documents and Settings\bureautique\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG:KAVICHS 09/02/2006 11:21 36 bytes Hidden from Windows API.

serfo :

je viens de rentrer du taf :slight_smile:

j’analyse tes clés , juste te dire pas touche :

HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\s0 19/12/2005 10:28 4 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\s1 19/12/2005 10:28 4 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\s2 19/12/2005 10:28 4 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\g0 19/12/2005 10:28 32 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\h0 19/12/2005 10:28 4 bytes Hidden from Windows API.

etrange; celle là jamais vue
HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 19/12/2005 10:35 0 bytes Hidden from Windows API.

c’est de Daemon tool

viens de tomber sur se topic :clap: trés bonne idée, je le met en favorie pour l’avoir sous la main :slight_smile:

"alors il trouve quoi cet outil? des failles réelles , potentielles?.."

à partir du moment ou tu contournes les API Windows, tu caches/camoufles la route du processus donc tout processus de détection qui utilisent la bibliothèque de liaison du système d’exploitation (antispy, antivirus et toute la panoplie) ne le détectera pas ou mal.

c’est ça un rootkit >> compris ?

Ce qui revient à dire que c’est beaucoup plus vaste et dangereux qu’on ne le pense (car tout devient possible) et que certains ont tendance à prendre à la légère la chose, donc en toute logique tout rootkit devient une faille potentiel car rien empêche un développement malveillant de l’exploiter.

le vrai problème c’est de pouvoir identifier avec certitude les clés des rootkits malveillants ou pas en suivant une logique d’analyse des services/action avec regmon par exemple.
pour ma part, tout ce qui n’est pas connu /vérifiable , je détruit/vire /de ma bdR et je saurai assez vite à qui sera causé le dommage.

pour ce qui est des outils antirootkit (détecteur) , pour du Windows je pense qu’il n’y a pas mieux que RKR d’ailleurs presque tout les outils “sysinternals” sont d’une aide et surtout de qualité pour tout utilisateur , l’unique problème c’est qu’il faut traduire .

voici un lien sympa qui va permettre de mieux comprendre :

http://www.secretswindows.com/index.php?ru…resentation.htm

yes! voila une reponse merci! :jap:
Pas le temps de tout regarder ce soir mais j’avance …dans la compréhension tout du moins…et qui va faire surement avancer qq autres aussi…
Mais par ex un antirootkit comme f-secure fait donc"automatiquement" ce type d’interprétations en detectant une “possibilité” de rootkit ou fonctionne sur une base de “comportements” ou “signatures” connues et mises à jour?

Parceque qd mm pour l’utilisteur lambda et mm un peu +avance , c quand mm + simple de scanner par un antirootkit , comme tu scannes par un antivirus etc… ou est ce que ce type d’outils n"en est qu’à ses balbutiements.?..

Pas la moindre idée , je l’ai testé le jour de ton post et comme il n’a pas vu ce que RKR me trouve, sincerement j’ai pas cherché à comprendre >>>> poubelle

sinon on n’en fini pas de tools et tools , truc à devenir “barge” avant l’heure :smiley:

edit: deplus si mes souvenirs sont bons , c’est en beta , pas très au point donc .

edit croisé , dsolé merci!
…parceque f-secure , qui est, à ma ma connaissance un fournisseur d’antivirus “costaud” , a integré un antirootkit dans fsis 2006, que tu utilises comme 1 scan…

:hello:

Ben ca promet de joyeux moment les rootkits! :ane:

En tout cas, toujours de bons conseils de matsrecode :wink:

Maj en début de semaine prochaine :smiley:

tu vois bien qu’il peut rester en haut ton topic :wink: if you want…

Oui, fallait juste un peu de temps. :wink:

Bon, sinon, y en a je ne sais pas comment il font, j’ai un pc a désinfecter, j’ai déja trouvé (avec kav 4.5) 65 fichiers infectés :ane:

Et l’analyse n’est qu’a 65% :pt1cable: :whistle:

Si je facture au virus enlevé ca va couter cher :lol:

j serai à l’€m …enfin presque
boitier usb dd , disque à desinfecter ddans cad fichier syst fermés , antivirus TRES correct , ya pas grand chose qui resiste.
Aprés tu remets en syst sur le pc , outils normaux…
Enfin apparté…