Windows 8, suspicion de Rootkit ; besoin conseils MBR

[pere_l1p1p1]

Bonjour tout le monde ;

Tout récemment inscrit parmi vous et déjà en demande d'un coup de main pour un problème qui me pourris la vie depuis quelques jours maintenant ; je m'explique :

J'ai formaté récemment ; faute à des bugs à répétitions notamment au niveau des périphériques et des mises à jour qui ne voulaient plus s'installer et j'ai donc retrouvé mon système sur son OS de base ; à savoir Windows 8 en 64 bits. Je savais d'ors et déjà qu'apriori mon système n'était pas infecté de façon "basique" ; j'ai suffisamment parcouru les couloirs de malekal.com entre autre pour connaitre les bases en matière de sécurité informatique (checks malwarebytes hebdomadaires, complétés par un antivirus solide (la suite Eset Smart Security ; en ce qui me concerne ) tenu à jour ainsi et par définition, le update systeme surveillé de près et évidemment tenu à jour).

Voulant réinstaller un système propre et pour éliminer toute suspicion et c'est ce qui m'amène à poster aujourd'hui, j'ai voulu éliminer aussi toute hypothèse en matière de rootkit... J'ai donc installé Gmer (site officiel) ; histoire de me rassurer sur la santé de mon MBR ; et dès le démarrage j'ai des messages d'erreurs qui sont apparus du style (dommage qu'on ne puisse pas poster les captures écrans) :

"C:\windows\system32\config\system: le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus"
ou encore

"C:\Users\"monusername"\ntuser.dat: le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus"

En cliquant OK sur ces messages Gmer continue son bonhomme de chemin et arrive à son terme... en ne me signalant rien de particulier (aucunes lignes rouges) ; mais par définition des processus ignorés...A noter que j'ai tenté la manipulation en mode sans échec et que le résultat est identique...

J'ai alors sorti la panoplie en ce qui concerne la détection de rootkits : aswMBR, RogueKiller, TDSSKiller, ainsi que malwarebytes antirookit (que j'ai d'ailleurs découvert par cette occasion ; je suis preneur d'avis concernant la version beta d'ailleurs ;) ; à bon entendeur)...

Bref, toute cette panoplie ne m'ayant rien détecté sauf des faux positifs (j'ai été me rencarder sur le net pour voir les extensions dépeintes en jaune notamment chez aswMBR) et apriori ou il se détecte entre eux comme intrusif ou illégitime où il s'agit de processus inhérent à mon antivirus (pourtant désactivé par précaution au moment des vérifications).

Ce qui m'amène à m'inquiéter, c'est qu'après le 1er formatage, et je sens que je vais me prendre une soufflante (surement bien méritée ; mais j'en appel à votre bienveillance et à votre indulgence ; mesdames et messieurs du jury... ) ; je suis aller me balader sur le deep (sur des sites de hack ; je m'intéresse depuis quelques mois maintenant à Kali Linux et j'ai des topics que je suis de près concernant les possibilités de cette distri)...

Et pour le coup, mon système venant d'être formaté et par définition n'étant pas à jour et ce malgré un VPN illusoire par définition étant donné l'état des mises à jour système ; j'ai aperçu au gré des onglets ouverts ; une tentative de pénétration par faille XML apriori (le terme étant clairement usité dans la ligne de commande) ; l'onglet ayant ouvert sur une page vierge mais ayant clairement pénétré mon système où apparaissait une ligne de commande avec une arborescence menant au nom de mon disque... De là à devenir parano ; il n'y a qu'un pas...

J'ai vraiment essayé de tortiller le truc dans tous les sens avant de poster ; mais Gmer et ses "processus occupés" m'inquiète au plus haut point... Je remercie vraiment par avance la personne qui aura l'amabilité de vérifier mon MBR ou en tous cas, de me rencarder sur le pourquoi du comment cette impossibilité à établir un scan en bonne et due forme avec GMER ; ou de me donner une marche à suivre pour éliminer toute suspicion de vérole...Et accessoirement que je puisse retrouver un peu de sommeil ; ce truc me pourri vraiment l'existence depuis un moment maintenant...

Je me tiens évidemment à disposition pour toute demande de précision...

Code : Tout sélectionner

aswMbr :

aswMBR version 1.0.1.2252 Copyright(c) 2014 AVAST Software
Run date: 2015-09-01 02:37:41
-----------------------------
02:37:41.169 OS Version: Windows x64 6.2.9200
02:37:41.169 Number of processors: 4 586 0x3A09
02:37:41.170 ComputerName: GRANDIOSO UserName: Tommy
02:37:46.565 Initialize success
02:37:46.620 VM: initialized successfully
02:37:46.621 VM: Intel CPU supported
02:37:48.923 VM: disk I/O iaStorA.sys
02:37:53.149 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\00000022
02:37:53.153 Disk 0 Vendor: ST750LM022_HN-M750MBB 2AR10002 Size: 715404MB BusType: 11
02:37:53.339 Disk 0 MBR read successfully
02:37:53.343 Disk 0 MBR scan
02:37:53.348 Disk 0 unknown MBR code
02:37:53.353 Disk 0 Partition 1 00 EE GPT 715404 MB offset 1
02:37:53.399 Disk 0 scanning C:\WINDOWS\system32\drivers
02:38:02.250 Service scanning
02:38:06.561 Service ehdrv C:\WINDOWS\system32\DRIVERS\ehdrv.sys **LOCKED** 5
02:38:06.748 Service epfw C:\WINDOWS\system32\DRIVERS\epfw.sys **LOCKED** 5
02:38:06.779 Service EpfwLWF C:\WINDOWS\system32\DRIVERS\EpfwLWF.sys **LOCKED** 5
02:38:06.798 Service epfwwfp C:\WINDOWS\system32\DRIVERS\epfwwfp.sys **LOCKED** 5
02:38:23.265 Modules scanning
02:38:23.274 Disk 0 trace - called modules:
02:38:23.290 ntoskrnl.exe CLASSPNP.SYS disk.sys hpdskflt.sys storport.sys hal.dll iaStorA.sys
02:38:23.295 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xffffe000d8caf060]
02:38:23.299 3 CLASSPNP.SYS[fffff8008ed93170] -> nt!IofCallDriver -> [0xffffe000d83476c0]
02:38:23.304 5 hpdskflt.sys[fffff8008f9c6379] -> nt!IofCallDriver -> \Device\00000022[0xffffe000d8cc1060]
02:38:23.309 Disk 0 statistics 123785/0/0 @ 7,56 MB/s
02:38:23.314 Scan finished successfully
02:43:40.041 Disk 0 MBR has been saved successfully to "C:\Users\Tommy\Desktop\MBR.dat"
02:43:40.059 The log file has been saved successfully to "C:\Users\Tommy\Desktop\aswMBR.txt"


pour roguekiller :

RogueKiller V10.10.3.0 (x64) [Aug 31 2015] par Adlice Software
email : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site web : http://www.adlice.com/fr/logiciels/roguekiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows 8.1 (6.3.9600) 64 bits version
Démarré en : Mode normal
Utilisateur : Tommy [Administrateur]
Démarré depuis : C:\Users\Tommy\AppData\Local\Microsoft\Windows\INetCache\IE\0RVM7EU1\RogueKillerX64.exe
Mode : Scan -- Date : 09/01/2015 04:12:57

¤¤¤ Processus : 0 ¤¤¤

¤¤¤ Registre : 4 ¤¤¤
[Suspicious.Path|Hidden.From.SCM] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\aswMBR (\??\C:\Users\Tommy\AppData\Local\Temp\aswMBR.sys) -> Trouvé(e)
[Suspicious.Path|Hidden.From.SCM] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\aswVmm (\??\C:\Users\Tommy\AppData\Local\Temp\aswVmm.sys) -> Trouvé(e)
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\aswMBR (\??\C:\Users\Tommy\AppData\Local\Temp\aswMBR.sys) -> Trouvé(e)
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\aswVmm (\??\C:\Users\Tommy\AppData\Local\Temp\aswVmm.sys) -> Trouvé(e)

¤¤¤ Tâches : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier Hosts : 0 ¤¤¤

¤¤¤ Antirootkit : 0 (Driver: Chargé) ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Vérification MBR : ¤¤¤
+++++ PhysicalDrive0: ST750LM022 HN-M750MBB +++++
--- User ---
[MBR] b2d4c442d0697875a83bed8171cde188
[BSP] f8cba6945a808fbadc2a76e45e92dfb7 : Empty MBR Code
Partition table:
0 - [SYSTEM][MAN-MOUNT] Basic data partition | Offset (sectors): 2048 | Size: 400 MB
1 - [MAN-MOUNT] EFI system partition | Offset (sectors): 821248 | Size: 260 MB
2 - [MAN-MOUNT] Microsoft reserved partition | Offset (sectors): 1353728 | Size: 128 MB
3 - Basic data partition | Offset (sectors): 1615872 | Size: 691502 MB
4 - [SYSTEM][MAN-MOUNT] | Offset (sectors): 1417811968 | Size: 452 MB
5 - [SYSTEM] Basic data partition | Offset (sectors): 1418737664 | Size: 22661 MB
User = LL1 ... OK
User = LL2 ... OK

Pour gmer(avec toujours les memes messages d'erreurs) :

GMER 2.1.19357 - http://www.gmer.net
Rootkit scan 2015-09-01 05:08:33
Windows 6.2.9200 x64 \Device\Harddisk0\DR0 -> \Device\00000022 ST750LM022_HN-M750MBB rev.2AR10002 698,64GB
Running: 3kecf45w.exe; Driver: C:\Users\Tommy\AppData\Local\Temp\pxlyrpog.sys


---- Kernel code sections - GMER 2.1 ----

.text C:\WINDOWS\System32\win32k.sys!W32pServiceTable fffff9600006ed00 15 bytes [00, E4, F2, 01, 80, 8C, 6C, ...]
.text C:\WINDOWS\System32\win32k.sys!W32pServiceTable + 16 fffff9600006ed10 11 bytes [00, 72, FC, FF, 00, 09, CB, ...]

---- Threads - GMER 2.1 ----

Thread C:\WINDOWS\System32\svchost.exe [968:1596] 00007ffb63fc2d3c
Thread C:\WINDOWS\System32\svchost.exe [968:3536] 00007ffb63fc3078
Thread C:\WINDOWS\System32\svchost.exe [968:4984] 00007ffb63306370
Thread C:\WINDOWS\System32\svchost.exe [968:4980] 00007ffb633098f0
Thread C:\WINDOWS\System32\svchost.exe [968:728] 00007ffb66a28cb0
Thread C:\WINDOWS\system32\svchost.exe [1004:2800] 00007ffb62837240
Thread C:\WINDOWS\system32\svchost.exe [1004:3740] 00007ffb6e9739b0
Thread C:\WINDOWS\system32\svchost.exe [1004:2504] 00007ffb70211050
Thread C:\WINDOWS\system32\svchost.exe [1004:4332] 00007ffb6eac7470
Thread C:\WINDOWS\system32\svchost.exe [1004:4308] 00007ffb6eac7470
Thread C:\WINDOWS\system32\svchost.exe [1004:404] 00007ffb6eac7470
Thread C:\WINDOWS\system32\svchost.exe [1004:3048] 00007ffb69eb0ef0
Thread C:\WINDOWS\system32\svchost.exe [1004:2220] 00007ffb69eb0ef0
Thread C:\WINDOWS\system32\svchost.exe [308:604] 00007ffb73c535d0
Thread C:\WINDOWS\system32\svchost.exe [308:676] 00007ffb73c639f0
Thread C:\WINDOWS\system32\svchost.exe [308:3084] 00007ffb67032a50
Thread C:\WINDOWS\system32\svchost.exe [308:3188] 00007ffb66aaba50
Thread C:\WINDOWS\system32\svchost.exe [308:3192] 00007ffb6702db60
Thread C:\WINDOWS\system32\svchost.exe [308:3196] 00007ffb67030d70
Thread C:\WINDOWS\system32\svchost.exe [308:3200] 00007ffb67032db0
Thread C:\WINDOWS\system32\svchost.exe [308:3204] 00007ffb67025fe0
Thread C:\WINDOWS\system32\svchost.exe [308:3276] 00007ffb6702ee40
Thread C:\WINDOWS\system32\svchost.exe [308:3320] 00007ffb66aac120
Thread C:\WINDOWS\system32\svchost.exe [308:4036] 00007ffb66aac550
Thread C:\WINDOWS\system32\svchost.exe [1412:1428] 00007ffb77cd3ad0
Thread C:\WINDOWS\system32\svchost.exe [1412:1448] 00007ffb77cd3ad0
Thread C:\WINDOWS\system32\svchost.exe [1412:1484] 00007ffb77cd3ad0
Thread C:\WINDOWS\system32\svchost.exe [1412:1492] 00007ffb70fad930
Thread C:\WINDOWS\system32\svchost.exe [1412:1516] 00007ffb70fcd6a0
Thread C:\WINDOWS\system32\svchost.exe [1412:1520] 00007ffb70fd4ba0
Thread C:\WINDOWS\system32\svchost.exe [1412:1524] 00007ffb70fc3cf0
Thread C:\WINDOWS\system32\svchost.exe [1412:1600] 00007ffb70de49c0
Thread C:\WINDOWS\system32\svchost.exe [1412:2988] 00007ffb70de65a0
Thread C:\WINDOWS\system32\svchost.exe [1412:3216] 00007ffb71582150
Thread C:\WINDOWS\system32\svchost.exe [1412:3300] 00007ffb65a34440
Thread C:\WINDOWS\system32\svchost.exe [1412:3420] 00007ffb656b1600
Thread C:\WINDOWS\system32\svchost.exe [1412:3620] 00007ffb653b1b70
Thread C:\WINDOWS\system32\svchost.exe [1412:4636] 00007ffb65a31040
Thread C:\WINDOWS\Explorer.EXE [2376:504] 00007ffb65647090
Thread C:\WINDOWS\Explorer.EXE [2376:3376] 00007ffb7163e630
Thread C:\WINDOWS\Explorer.EXE [2376:2488] 00007ffb7012e630
Thread C:\WINDOWS\Explorer.EXE [2376:4428] 00007ffb7028e630
Thread C:\WINDOWS\Explorer.EXE [2376:4484] 00007ffb7028e630
Thread C:\WINDOWS\Explorer.EXE [2376:2960] 00007ffb7028e630
Thread C:\WINDOWS\Explorer.EXE [2376:5036] 00007ffb7028e630
Thread C:\WINDOWS\Explorer.EXE [2376:4468] 00007ffb7028e630
Thread C:\WINDOWS\Explorer.EXE [2376:1944] 00007ffb70289970
Thread C:\WINDOWS\Explorer.EXE [2376:1196] 00007ffb7028e630
Thread C:\WINDOWS\Explorer.EXE [2376:1644] 00007ffb7028e630
Thread C:\WINDOWS\Explorer.EXE [2376:3664] 00007ffb7028e630
Thread C:\WINDOWS\Explorer.EXE [2376:4184] 00007ffb7028e630
Thread C:\WINDOWS\Explorer.EXE [2376:2152] 00007ffb7028e630
Thread C:\WINDOWS\Explorer.EXE [2376:2192] 00007ffb7028e630
Thread C:\WINDOWS\Explorer.EXE [2376:4136] 00007ffb7028e630
Thread C:\WINDOWS\Explorer.EXE [2376:4628] 00007ffb7028e630
Thread C:\WINDOWS\Explorer.EXE [2376:3588] 00007ffb7028e630
Thread C:\WINDOWS\Explorer.EXE [2376:4760] 00007ffb7028e630
Thread C:\WINDOWS\Explorer.EXE [2376:3012] 00007ffb7028e630
Thread C:\WINDOWS\Explorer.EXE [2376:4516] 00007ffb7028e630
Thread C:\WINDOWS\Explorer.EXE [2376:1512] 00007ffb7028e630
Thread C:\WINDOWS\Explorer.EXE [2376:3468] 00007ffb7028e630

---- Disk sectors - GMER 2.1 ----

Disk \Device\Harddisk0\DR0 unknown MBR code

---- EOF - GMER 2.1 ----

[Malekal_morte]

Salut,

"C:\windows\system32\config\system: le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus"
ou encore

"C:\Users\"monusername"\ntuser.dat: le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus"

C'est normal que les fichiers soient verrouillés.

Et pour le coup, mon système venant d'être formaté et par définition n'étant pas à jour et ce malgré un VPN illusoire par définition étant donné l'état des mises à jour système ; j'ai aperçu au gré des onglets ouverts ; une tentative de pénétration par faille XML apriori (le terme étant clairement usité dans la ligne de commande) ; l'onglet ayant ouvert sur une page vierge mais ayant clairement pénétré mon système où apparaissait une ligne de commande avec une arborescence menant au nom de mon disque... De là à devenir parano ; il n'y a qu'un pas...

Ca ne veut rien dire ce que tu écrits là.


Bref, le PC n'a pas l'air infecté et de toute façon, si tu formates, ça réécrit le MBR.

[pere_l1p1p1]

Salut Malekal ;

D'ors et déja merci de ta reponse c'est rassurant cependant et sans vouloir abuser, pourrais tu être plus précis concernant ces messages d'erreurs, et le fait que les processus soient utilisés au moment du scan. A priori, chez tous les utilisateurs de GMER ça passe "creme" et je n'ai trouvé qu'un seul topic à travers le net correspondant à mon soucis et le moins qu'on puisse dire, c'est que les réponses étaient loin d'être concluantes...J'ai pourtant suivi ton tuto et ton lien pour le telechargement...


Et concernant ce fameux message, il est apparu sur la page du site et pas sur mon pc sous la forme d'une fenetre d'invite de commande et je n'ai plus en memoire la ligne de commande en question ; mais il était clairement mentionné une erreur de chargement xml ainsi qu'une arborescence menant au nom de mon pc(bizarre tout de meme qu'un site puisse avoir acces jusqu'aux données de mon pc).
Quant au fait, que le MBR soit réécrit à chaque formatage peut tu être plus précis ; n'y a t-il pas des veroles et notamment des rootkits qui puissent "survivre" à ce traitement de choc?

Je suis sincerement désolé de la naiveté voir de la stupidité de mes questions, cependant, au dela d'être rassuré j'aimerais vraiment COMPRENDRE ce qu'il a pu se passer me concernant...

[Malekal_morte]

Pour GMER aucune idée, c'est peut-être provoqué par un programme même si le fait que ces fichiers soient verrouillés ne me choquent pas puisque ce sont ruches du registre Windows.

Pour le XML, n'ayant pas plus d'informations, je ne peux pas répondre.

Quand tu formates, le MBR est effacé, quand tu réinstalles Windows, il doit réécrire son contenu, donc si un malware y était présent, il est normalement supprimé.
D'autre part, la majorité des infections de ce type sont bien détectées par TDSSKiller.

[pere_l1p1p1]

Merci beaucoup pour toutes ces precisions et pour la lecture conseillée...Sujet résolu en ce qui me concerne...Encore une fois, merci pour tout.....

[Malekal_morte]

Pas de soucis