[Résolu] Virus Rootkit détectés par RogueKiller ??

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Canopé
Messages : 2
Inscription : 15 nov. 2016 09:56

[Résolu] Virus Rootkit détectés par RogueKiller ??

Message par Canopé »

Bonjour,

Références:
http://www.commentcamarche.net/forum/af ... oguekiller
http://forum.malekal.com/roguekiller-de ... 55897.html

Victimes d'un ransomware, nous avons pris les mesures nécessaires afin d'éradiquer ce virus. Cependant, après scan via RogueKiller, le rapport nous indique la détection de plusieurs rootkits.
Voici l'extrait du rapport de RogueKiller:

Code : Tout sélectionner

RogueKiller V12.8.1.0 [Nov 14 2016] (Gratuit) par Adlice Software
email : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site web : http://www.adlice.com/fr/download/roguekiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Démarré en  : Mode normal
Utilisateur : formation [Administrateur]
Démarré depuis : C:\Program Files\RogueKiller\RogueKiller.exe
Mode : Scan -- Date : 11/14/2016 17:13:25 (Durée : 00:17:34)

¤¤¤ Processus : 0 ¤¤¤

¤¤¤ Registre : 1 ¤¤¤
[PUM.StartMenu] HKEY_USERS\S-1-5-21-1101430686-1165768245-3880794750-1137\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced | Start_ShowMyGames : 0  -> Trouvé(e)

¤¤¤ Tâches : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ WMI : 0 ¤¤¤

¤¤¤ Fichier Hosts : 0 ¤¤¤

¤¤¤ Antirootkit : 24 (Driver: Chargé) ¤¤¤
[SSDT:Addr(Hook.SSDT)] ZwCreateKey[70] : Unknown @ 0xffffffff86d46340
[SSDT:Addr(Hook.SSDT)] ZwCreateMutant[74] : Unknown @ 0xffffffff86d47ec0
[SSDT:Addr(Hook.SSDT)] ZwCreateProcess[79] : Unknown @ 0xffffffff86d452c0
[SSDT:Addr(Hook.SSDT)] ZwCreateProcessEx[80] : Unknown @ 0xffffffff86d45580
[SSDT:Addr(Hook.SSDT)] ZwCreateSymbolicLinkObject[86] : Unknown @ 0xffffffff86d49200
[SSDT:Addr(Hook.SSDT)] ZwCreateThread[87] : Unknown @ 0xffffffff86d479e0
[SSDT:Addr(Hook.SSDT)] ZwCreateThreadEx[88] : Unknown @ 0xffffffff86d47b80
[SSDT:Addr(Hook.SSDT)] ZwCreateUserProcess[93] : Unknown @ 0xffffffff86d45840
[SSDT:Inl(Hook.SSDT)] ZwDeleteAtom[99] : C:\Windows\System32\win32k.sys @ 0xffffffff94bb7e56 (call dword [0x82d6dd14])
[SSDT:Addr(Hook.SSDT)] ZwDeleteKey[103] : Unknown @ 0xffffffff86d468c0
[SSDT:Addr(Hook.SSDT)] ZwDeleteValueKey[106] : Unknown @ 0xffffffff86d47100
[SSDT:Addr(Hook.SSDT)] ZwDuplicateObject[111] : Unknown @ 0xffffffff86d493a0
[SSDT:Addr(Hook.SSDT)] ZwLoadDriver[155] : Unknown @ 0xffffffff86d47d20
[SSDT:Addr(Hook.SSDT)] ZwOpenProcess[190] : Unknown @ 0xffffffff86d45b00
[SSDT:Addr(Hook.SSDT)] ZwOpenSection[194] : Unknown @ 0xffffffff86d476a0
[SSDT:Addr(Hook.SSDT)] ZwRenameKey[290] : Unknown @ 0xffffffff86d46b80
[SSDT:Addr(Hook.SSDT)] ZwRestoreKey[302] : Unknown @ 0xffffffff86d46e40
[SSDT:Addr(Hook.SSDT)] ZwSetSystemInformation[350] : Unknown @ 0xffffffff86d47fc0
[SSDT:Addr(Hook.SSDT)] ZwSetValueKey[358] : Unknown @ 0xffffffff86d46600
[SSDT:Addr(Hook.SSDT)] ZwTerminateProcess[370] : Unknown @ 0xffffffff86d45dc0
[SSDT:Addr(Hook.SSDT)] ZwTerminateThread[371] : Unknown @ 0xffffffff86d46080
[SSDT:Addr(Hook.SSDT)] ZwWriteVirtualMemory[399] : Unknown @ 0xffffffff86d47840
[ShwSSDT:Addr(Hook.Shadow)] NtUserSetWindowsHookAW[584] : Unknown @ 0xffffffff86d499c0
[ShwSSDT:Addr(Hook.Shadow)] NtUserSetWindowsHookEx[585] : Unknown @ 0xffffffff86d497e0

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Vérification MBR : ¤¤¤
+++++ PhysicalDrive0: WDC WD2500AAJS-40VWA0 ATA Device +++++
--- User ---
[MBR] 7d04e4fff97d801ee73b389a128814f3
[BSP] 09ac381751764269258b8b3ae4186b1e : Windows Vista/7/8 MBR Code
Partition table:
0 - EFI System Partition | Offset (sectors): 40 | Size: 200 MB
1 - Customer | Offset (sectors): 409640 | Size: 119209 MB
2 - BOOTCAMP | Offset (sectors): 244813824 | Size: 118937 MB
User = LL1 ... OK
User = LL2 ... OK
En recherchant sur le net, nous sommes tombés sur les deux topics cités en référence.

Nous avons procédé à la démarche à suivre via FRST (Tutoriel suivi => https://www.malekal.com/tutoriel-farbar- ... tool-frst/) et voici les liens des 3 rapports:

http://pjjoint.malekal.com/files.php?id ... 7m12m15f11 (FRST.txt)
http://pjjoint.malekal.com/files.php?id ... 15q6k6k9h6 (Shortcut.txt)
http://pjjoint.malekal.com/files.php?id ... 11y12w7z15 (Addition.txt)

Notre question est donc la suivante: Avons-nous à nous préoccuper de ces détections ? À savoir que la quasi-totalité de notre parc est affectée par ces dernières.

Bien à vous,

Edit: Précision, les machines tournent sous windows 7 (et une sous w10)
Dernière modification par Canopé le 17 nov. 2016 09:27, modifié 1 fois.

Malekal_morte
Site Admin
Site Admin
Messages : 104522
Inscription : 10 sept. 2005 13:57
Contact :

Re: [Virus/Rootkit]Rootkits détectés RogueKiller(en cours)

Message par Malekal_morte »

Hello,

Pas infecté PDT_008
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Canopé
Messages : 2
Inscription : 15 nov. 2016 09:56

Re: [Virus/Rootkit]Rootkits détectés RogueKiller(en cours)

Message par Canopé »

Bonjour,

Merci pour votre expertise rapide, nous voilà rassurés !

Bien à vous,

Malekal_morte
Site Admin
Site Admin
Messages : 104522
Inscription : 10 sept. 2005 13:57
Contact :

Re: [Virus/Rootkit]Rootkits détectés RogueKiller(résolu)

Message par Malekal_morte »

de rien PDT_008
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Répondre

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »