RogueKiller, hooks IAT sur "ntdll.dll" de Windows 7

[Josespe]

Salut la communauté!

Bon je vais à l'essentiel. Il y a une semaine ou 2, Avast m'a détecté un fichier à sévérité "haute" dans le répertoire $RECYCLE.BIN de ma partition D. Il me le met en quarantaine, pas de souci, et je passe un coup de RogueKiller, Adwcleaner, Malwarebytes, puis Combofix (avec précaution), histoire d'éliminer les risques au maximum. Jusque là tout va bien.

Mais depuis 2-3 jours, MBAM détecte des IP qui tentent d'accéder à ma machine via Skype. Sur localiser-ip et un autre site, on me dit que cette IP vient de Novgorod en Russie... Ce qui n'est pas très rassurant. Roguekiller me parle de ntdll.dll qui aurait un problème de hook/IAT. Des idées pour résoudre ce problème?

D'avance merci à tous, et bonne journée.

[Malekal_morte]

Salut,

Vu tout ce que tu as utilisé, m'étonnerait que Windows soit infecté.

Déjà faudrait donner les informations sur ces alertes IPs.

Quelle IP ?
Venant de quel processus ?

Sur Malwarebytes, menu historique
à gauche, tu as journal d'application.
Faudrait l'attacher dans une prochaine réponse.

[Malekal_morte]

ok vu :

Detection, 20/10/2015 13:25, SYSTEM, ALBERTO, Protection, Malicious Website Protection, IP, 95.79.44.54, 5526, Inbound, C:\Program Files (x86)\Skype\Phone\Skype.exe,
Detection, 20/10/2015 13:25, SYSTEM, ALBERTO, Protection, Malicious Website Protection, IP, 95.79.44.54, 5526, Inbound, C:\Program Files (x86)\Skype\Phone\Skype.exe

ouaip c'est une IP Russe, pour voir :


Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à  ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[Josespe]

FRST : http://pjjoint.malekal.com/files.php?id ... 10l10y5t15
Addition : http://pjjoint.malekal.com/files.php?id ... h9k5y12l11
Shortcut : http://pjjoint.malekal.com/files.php?id ... r7x14m5u14

Encore merci du coup de main, il n'y a plus qu'à espérer que ce soit un faux positif ^^

[Malekal_morte]

Rien d'anormal.


Fais un scan en ligne NOD32
Enregistre le rapport
Envoie le sur http://pjjoint.malekal.com
Donne le lien ici.

[Josespe]

Tu sais dans quel répertoire est stocké le rapport?

[Malekal_morte]

Non, normalement sur le bureau j'imagine.
Sinon dans ton profil.

Fais une recherche de fichiers sur NOD32.

[Josespe]

Salut, voila le rapport du coup : http://pjjoint.malekal.com/files.php?id ... 14o9v13c14

[Malekal_morte]

C'est plutôt un fichier relatif à la configuration du scan, que le scan en lui même.
Tu es bien arrivé au bout de l'analyse ?

[Josespe]

A priori oui, par contre impossible de trouver le rapport malgré les infos de cette page http://www.eset.com/fr/home/products/on ... anner/faq/ . Je relance une analyse.

[Josespe]

Apparemment il n'y a pas d'autre rapport que celui que je t'ai envoyé, vu que NOD32 n'a rien détecté. Par contre, j'ai eu il y a 1h un énorme BSOD, suivi d'une disparition de mon SSD (contenant ma partition système) de ma liste des périphériques de boot dans le BIOS. En gros, je peux toujours choisir de démarrer via celui-ci en allant dans le BIOS, mais il ne le détecte pas par défaut.

Encore merci pour le coup de main, car là j'avoue être complètement largué.

[Malekal_morte]

ok, sinon Windows n'est pas infecté.

http://www.commentcamarche.net/forum/af ... ojan-skype

[Josespe]

Ok, encore merci pour l'aide.