Clé de registre inconnue

[Berclav]

Bonjour

Roguekiller me signale ça :




Ces deux clés RK sont temporaires, je n'ai pas réussi à savoir à quoi les relier.

[Malekal_morte]

Salut,

Ca semble être un montage des ruches du registre par RogueKiller.

[Berclav]

Salut,

Ca semble être un montage des ruches du registre par RogueKiller.

Ah oui, je n'avais pas pensé à ça, RK RogueKiller (mais aussi Register Key ...)
Peut-être mais je suis tombé 2 ou 3 fois déjà sur ces clés RK ... dans HKLM et c'était en dehors de tout scan par Roguekiller, par contre je ne peux jurer que Roguekiller n'avait pas été utilisé en session.

J'utilise aussi MBAM, Comodo PF 5.10 (avec une sandbox) , Sandboxie 4.12, ZHP, GMer

[Berclav]

et ça contient tout ça http://i.imgur.com/lVB0r2t.jpg

[Malekal_morte]

clic sur le sofware_RK
Dans le menu Fichier, tu n'as pas décharger la ruche ?

[Berclav]

Je n 'ai pas ces clés sous la main pour le moment, et comme je ne sais pas reproduire le phénomène ...
J'ai fait ces 2 captures d'écran une des fois où elles étaient là, le 10-07.
Donc si ça se reproduit ok je penserai à en faire une sauvegarde exportation
En général 15' après elles sont encore là, mais 2 h après, non, en étant très schématique.

[Malekal_morte]

A mon avis, ça doit être le tool qui ajoute ces ruches au lancement ou pendant un scan et les décharge ensuite.

[Berclav]

Oui, je dois avouer que j'ai été rapide de conclure que c'était ces clés qui étaient signalées par RK, je viens de réaliser que RK me signalait son habituelle série de chose potentiellement nuisibles, mais là quand même en double ...

Ca donne :

HKEY_LOCAL_MACHINE\RK_Software_ON_E_6E77\Microsoft\Windows NT\CurrentVersion\SystemRestore | DisableSR : 1
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\SystemRestore | DisableSR : 1

d'où la facilité à en conclure qu'il y a là une nouvelle menace alors que si on regarde mieux ça n'est que celle déjà relevée

(je précise que c'est moi qui suis la cause du DisableSR : 1 bien sûr)

En tt cas ça m'a permis de voir mon erreur.

[Malekal_morte]

Pas malicieux.
Juste la config de la restauration système, mais bon, c'est sur ses ruches.
Je ne pense pas qu'il faille en tenir compte.

[Berclav]

Ce qui est étrange c'est que j'ai du faire un quizaine de scan avec Roguekiller en 1 mois et à chaque fois il m'a retrouvé cette "anomalie" de sytemrestore disabled, mais seulement une fois avec cette clé atypique.

[Malekal_morte]

Faut pas en tenir compte.
enfin c'est pas grave.

[Berclav]

Bon alors d'accord, on va dire que le sujet est clos, merci bcp en tout cas. Affaire classée, bon j'aime pas ne pas tout comprendre mais bon ... si c'était des clés des RG, vous ne le diriez pas bien sûr, on a du vous briefer

[Malekal_morte]

[Berclav]

So it is confirmed http://forum.adlice.com/index.php?topic=505.0

I am sure it is not a spying activity

[Malekal_morte]

bha ui