[Résolu] Virus Rootkit détectés par RogueKiller ??

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Canopé

[Résolu] Virus Rootkit détectés par RogueKiller ??

par Canopé »

Bonjour,

Références:
http://www.commentcamarche.net/forum/af ... oguekiller
http://forum.malekal.com/roguekiller-de ... 55897.html

Victimes d'un ransomware, nous avons pris les mesures nécessaires afin d'éradiquer ce virus. Cependant, après scan via RogueKiller, le rapport nous indique la détection de plusieurs rootkits.
Voici l'extrait du rapport de RogueKiller:

Code : Tout sélectionner

RogueKiller V12.8.1.0 [Nov 14 2016] (Gratuit) par Adlice Software
email : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site web : http://www.adlice.com/fr/download/roguekiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Démarré en  : Mode normal
Utilisateur : formation [Administrateur]
Démarré depuis : C:\Program Files\RogueKiller\RogueKiller.exe
Mode : Scan -- Date : 11/14/2016 17:13:25 (Durée : 00:17:34)

¤¤¤ Processus : 0 ¤¤¤

¤¤¤ Registre : 1 ¤¤¤
[PUM.StartMenu] HKEY_USERS\S-1-5-21-1101430686-1165768245-3880794750-1137\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced | Start_ShowMyGames : 0  -> Trouvé(e)

¤¤¤ Tâches : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ WMI : 0 ¤¤¤

¤¤¤ Fichier Hosts : 0 ¤¤¤

¤¤¤ Antirootkit : 24 (Driver: Chargé) ¤¤¤
[SSDT:Addr(Hook.SSDT)] ZwCreateKey[70] : Unknown @ 0xffffffff86d46340
[SSDT:Addr(Hook.SSDT)] ZwCreateMutant[74] : Unknown @ 0xffffffff86d47ec0
[SSDT:Addr(Hook.SSDT)] ZwCreateProcess[79] : Unknown @ 0xffffffff86d452c0
[SSDT:Addr(Hook.SSDT)] ZwCreateProcessEx[80] : Unknown @ 0xffffffff86d45580
[SSDT:Addr(Hook.SSDT)] ZwCreateSymbolicLinkObject[86] : Unknown @ 0xffffffff86d49200
[SSDT:Addr(Hook.SSDT)] ZwCreateThread[87] : Unknown @ 0xffffffff86d479e0
[SSDT:Addr(Hook.SSDT)] ZwCreateThreadEx[88] : Unknown @ 0xffffffff86d47b80
[SSDT:Addr(Hook.SSDT)] ZwCreateUserProcess[93] : Unknown @ 0xffffffff86d45840
[SSDT:Inl(Hook.SSDT)] ZwDeleteAtom[99] : C:\Windows\System32\win32k.sys @ 0xffffffff94bb7e56 (call dword [0x82d6dd14])
[SSDT:Addr(Hook.SSDT)] ZwDeleteKey[103] : Unknown @ 0xffffffff86d468c0
[SSDT:Addr(Hook.SSDT)] ZwDeleteValueKey[106] : Unknown @ 0xffffffff86d47100
[SSDT:Addr(Hook.SSDT)] ZwDuplicateObject[111] : Unknown @ 0xffffffff86d493a0
[SSDT:Addr(Hook.SSDT)] ZwLoadDriver[155] : Unknown @ 0xffffffff86d47d20
[SSDT:Addr(Hook.SSDT)] ZwOpenProcess[190] : Unknown @ 0xffffffff86d45b00
[SSDT:Addr(Hook.SSDT)] ZwOpenSection[194] : Unknown @ 0xffffffff86d476a0
[SSDT:Addr(Hook.SSDT)] ZwRenameKey[290] : Unknown @ 0xffffffff86d46b80
[SSDT:Addr(Hook.SSDT)] ZwRestoreKey[302] : Unknown @ 0xffffffff86d46e40
[SSDT:Addr(Hook.SSDT)] ZwSetSystemInformation[350] : Unknown @ 0xffffffff86d47fc0
[SSDT:Addr(Hook.SSDT)] ZwSetValueKey[358] : Unknown @ 0xffffffff86d46600
[SSDT:Addr(Hook.SSDT)] ZwTerminateProcess[370] : Unknown @ 0xffffffff86d45dc0
[SSDT:Addr(Hook.SSDT)] ZwTerminateThread[371] : Unknown @ 0xffffffff86d46080
[SSDT:Addr(Hook.SSDT)] ZwWriteVirtualMemory[399] : Unknown @ 0xffffffff86d47840
[ShwSSDT:Addr(Hook.Shadow)] NtUserSetWindowsHookAW[584] : Unknown @ 0xffffffff86d499c0
[ShwSSDT:Addr(Hook.Shadow)] NtUserSetWindowsHookEx[585] : Unknown @ 0xffffffff86d497e0

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Vérification MBR : ¤¤¤
+++++ PhysicalDrive0: WDC WD2500AAJS-40VWA0 ATA Device +++++
--- User ---
[MBR] 7d04e4fff97d801ee73b389a128814f3
[BSP] 09ac381751764269258b8b3ae4186b1e : Windows Vista/7/8 MBR Code
Partition table:
0 - EFI System Partition | Offset (sectors): 40 | Size: 200 MB
1 - Customer | Offset (sectors): 409640 | Size: 119209 MB
2 - BOOTCAMP | Offset (sectors): 244813824 | Size: 118937 MB
User = LL1 ... OK
User = LL2 ... OK
En recherchant sur le net, nous sommes tombés sur les deux topics cités en référence.

Nous avons procédé à la démarche à suivre via FRST (Tutoriel suivi => https://www.malekal.com/tutoriel-farbar ... tool-frst/) et voici les liens des 3 rapports:

http://pjjoint.malekal.com/files.php?id ... 7m12m15f11 (FRST.txt)
http://pjjoint.malekal.com/files.php?id ... 15q6k6k9h6 (Shortcut.txt)
http://pjjoint.malekal.com/files.php?id ... 11y12w7z15 (Addition.txt)

Notre question est donc la suivante: Avons-nous à nous préoccuper de ces détections ? À savoir que la quasi-totalité de notre parc est affectée par ces dernières.

Bien à vous,

Edit: Précision, les machines tournent sous windows 7 (et une sous w10)
Dernière modification par Canopé le 17 nov. 2016 09:27, modifié 1 fois.
Haut
Malekal_morte
Messages : 113179
Inscription : 10 sept. 2005 13:57

Re: [Virus/Rootkit]Rootkits détectés RogueKiller(en cours)

par Malekal_morte »

Hello,

Pas infecté PDT_008
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Haut
Canopé

Re: [Virus/Rootkit]Rootkits détectés RogueKiller(en cours)

par Canopé »

Bonjour,

Merci pour votre expertise rapide, nous voilà rassurés !

Bien à vous,
Haut
Malekal_morte
Messages : 113179
Inscription : 10 sept. 2005 13:57

Re: [Virus/Rootkit]Rootkits détectés RogueKiller(résolu)

par Malekal_morte »

de rien PDT_008
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Haut
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »