Après avoir ouvert un fichier contenant un virus, j’ai suivis le tutorial «Comment vérifier si ordinateur a été hacké ou piraté ?» et j’ai donc fait une analyse avec process explorer par virustotal et une analyse autorun en analysant également les fichiers via virustotal.
Je suis néophytes dans le domaine de la sécurité informatique. Néanmoins, plusieurs points me paraissent surprenant. Je me permet de solliciter vôtre aide pour m’aider à faire la lumière sur ce sujet que j’aborde à l’aide de ces logiciels que j’utilise pour la première fois.
Voici des captures d’écran de mon scan autorun :
Les points qui ont attirés mon attention lors de l’exécution de l’analyse Autorun :
-SynTPEnh n’est pas trouvé par le programme mais il marque tout de même son chemin. je ne sais pas ce que ça veut dire.
-Le fichier Onedrive Standalone updateur semble être infecté. Ça me parait bizarre d’avoir un fichier de mise à jour onedrive "standalone"... En outre, il porte bien la signature de microsoft. donc fausse alerte ?
-Pour faceit, je me doute que c’est un faux positif car c’est un logiciel anti triche.
-Sur la troisième capture d’écran, on distingue clairement des éléments qui sont introuvables : wow64cpu.dll , wowarmhw.dll ,xtajt.dll ,wow64.dll. Je me doute que se sont des fichiers importants et donc inaccessible, mais comme on en parle pas dans le tuto, je préférais le préciser.
Passons maintenant au scan Process Explorer, voici les images :
-Pour commencer tous les processus introuvable dans le haut de la première capture.
- Ensuite, le processus hxoutlook.exe détecté comme virus... et qui n’avait pas de signatures dans le sujet.
-Sur la deuxième capture d’écran, on peut voir WmiPrvSE.exe, WUDFHost.exe qui ont des fichier spécifiés introuvables. même chose pour nvdisplay.container...
- Même chose pour rundll32.exe et nvsphelper64.exe dans nvcontainer.exe et ctfmon.exe dans svhost.exe dans la troisième capture et encore quelques fichiers spécifiés introuvable : Lsalso.exe, fontdrvhost.exe, csrss.exe, winlogon.exe, fontdvrhost.exe, dwm.exe
et vmmem.exe pour la dernière capture.
Je me suis renseigner à propos de quelques un de ces processus et la plupart ont l’air légitime mais ça ne me dit pas pourquoi les fichiers spécifiés sont introuvables et pour d’autres, les signatures ne sont pas valides ou encore, sont détecté comme des virus. Je ne sais pas si ça vous aura vraiment servi que je vous les énumères ici… je suppose que non, puisqu’il sont déjà visible dans les images mais je voulais porter à vôtre intention la nature de mes suspicions/interpellations.
Je tiens par ailleurs à signaler que j’ai Windows Defender ainsi que Malwarebytes en essais gratuit activés avec lesquels j’ai fais des analyses et qui n’ont rien détectés et que j’ai sécuriser l’ordinateur à l’aide du logiciel Syshardener comme précisé dans le tuto et appliqué les règles «bon réglages» du pare-feu Windows données sur le site.
Merci d’avance de bien vouloir éclairer ma lanterne
Cordialement,
Petit Écureuil
