J’ai fait un scan avec AVG anti-rootkit et il m’a trouvé un rootkit dans le répertoire C:\Windows\System32\Drivers\ac5afjub.SYS et il me dit qu’il s’agit d’un “Hidden driver file”. Est-ce que quelqu’un saurait s’il s’agit vraiment d’un rootkit ou non? J’ai peur de rendre mon système instable en supprimant ce fichier. Qui plus est je n’ai trouvé aucune aide sur Google et je ne vois pas de quel type de driver il pourrait s’agir.
Un driver caché (hidden), en effet, c’est rare, peut-être que c’est un driver un peu exotique.
Mieux vaut ne pas y toucher et vérifier s’il est trouvable avec une recherche de fichier (afficher les fichiers cachés et systèmes)
Qui plus est je ne trouve pas ce soi-disant rootkit dans l’emplacement cité, même en affichant les dossier et fichiers cachés. Il peut bel et bien s’agir d’un rootkit dans ce cas-ci, mais je suis en train de lancer une deuxième analyse avec Rootkit Revealer voir s’il trouve lui aussi ce soié-disant rootkit. Pour l’instant il n’a pas encore trouvé ce “driver caché”.
J’ai affiché les fichiers protégés par le système d’exploitation, mais toujours rien, le fichier ac5afjub.SYS est toujours introuvable. Rootkit Revealer n’a rien trouvé de comparable non plus, mais AVG anti rootkit continue de me trouver ce fichier.
J’ai créer un point de restauration avant de supprimer le rootkit, j’ai dû redémarrer mon pc et avg m’indique avoir supprimer le rootkit; problème bien qu’il ne le trouve plus, il m’indique avoir dorénavant trouvé un autre rootkit dans le même dossier, nommé a3yydt9q.SYS :@ encore une fois il s’agit d’un driver caché qui porte un nom du moins assez étrange.
Bon après avoir supprimé ce 2e fichier, voila qu’il trouve un troisième… :arf: je me pose des questions par rapport aux fichiers qu’il trouve. Ou il s’agit d’un rootkit bien téméraire. J’ai fait un scan avec BlackLight de F-Secure mais il ne trouve rien tout comme Rootkit Revealer (qui ne trouve rien de ce genre).J’ai fait un scan avec HijackThis, voici le log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:36:13, on 09.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal
non, je ne suis pas un pro des logs Hijackthis, mais je ne vois rien de suspect.
Sans doute le rootkit en est un.
Nod32 ne trouve jamais rien?
Il faudrait lancer un scan avec l’heuristique avancée et détection des menaces à faible risque.
Edité le 09/07/2007 à 15:50
J’ai fait un scan il y a de ça quelques jours, mais je vais en refaire un pour voir… tout comme je vais lancer la totale avec anti spywares et scan online Kaspersky et Bitdefender. Je l’aurai…
NOD32, Ad-Aware 2007, Spybot, AVG anti spyware et F-Secure Blacklight (anti-rootkit) n’ont donné rien de concluant. AVG anti-rootkit me trouve toujours ce satané rootkit, et je crois qu’en le supprimant il en trouvera toujours un autre semblable… Maintenant il faudrait savoir s’il s’agit bel et bien d’un rootkit ou d’un quelconque bug avec avg… :arf:
Un fichier qui revient sous un nom différent plusieurs fois de suite, c’est sans doute un rootkit.
Et après une analyse très approfondie du log, je n’ai trouvé qu’une chose, qui n’est même pas en rapport avec le rootkit:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) :inutile
C’est tout.
Edité le 10/07/2007 à 10:48
j ai exactement le meme probleme, je ne trouve rien. ,Avat et avg anti virus et Windows-KB890830-V1.29.exe ne detecte rien…J ai desactiver la restauration , j ai lance tout les outils que j ai , rien ni fait. Une piste peut etre en mode sans echec ce logiciel (PAVARK.exe) plante quand il tombe sur ce rootkit
merci si vous avez la solution se serais bien de la communiquer
cordialement
Salut tout le monde!
Je sais pas si vous avez trouvé la réponse à votre question mais en tout cas voilà:
Pour toi Joël je pense que tu n’as pas trop à t’inquiéter pour ce driver. Je suis pas un pro des log Hijackthis mais j’ai vu que t’avais le soft Alcohol 52%. Il y a de grande chance pour que ce driver ********.sys (8 caractères aléatoires) qui change à chaque fois que tu te loggues soit créé par Alcohol. Si tu veux t’en convaincre désinstalles-le, nettoie bien toute trace de ce qu’il pourrait rester et relance AVG anti-rootkit, il devrait plus rien y avoir. Une fois que t’es bien sûr réinstalles Alcohol 52%.
La même chose se produit avec Daemon Tools sauf que là c’est : A*******.sys (A + 7 caractères aléatoires) qui est généré.
Pour toi Hubert je sais pas trop. Si tu as aussi un des deux softs c’est peut-être ça.
Bonjour à tous,
J’ai remarqué le même phénomène sur mon pc, sous vista, en lançant avg antirootkit.
Par contre, quand je lance la recherche en mode administrateur, il ne trouve plus ce fichier.
Est-ce-que quelqu’un pourrai m’aider pour la suite, est-ce-que je dois tout supprimer ? et y-a-t’il un risque ? AVG me dit : attention ! ça risque de foutre tout en l’air.