Adlice forum
Software feedback => RogueKiller => Topic started by: mnr on June 23, 2014, 10:59:22 PM
-
RogueKiller V9.1.0.0 [Jun 23 2014] par Adlice Software
Mail : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site Web : http://www.surlatoile.org/RogueKiller/
Blog : http://www.adlice.com
Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Démarrage : Mode normal
Utilisateur : UsEr [Droits d'admin]
Mode : Recherche -- Date : 06/23/2014 21:35:45
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrées de registre : 9 ¤¤¤
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\catchme -> TROUVÉ
[Suspicious.Path] HKEY_LOCAL_MACHINE\RK_System_ON_C_0961\ControlSet001\Services\mchInjDrv -> TROUVÉ
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\catchme -> TROUVÉ
[Suspicious.Path] HKEY_LOCAL_MACHINE\RK_System_ON_C_0961\ControlSet002\Services\mchInjDrv -> TROUVÉ
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\catchme -> TROUVÉ
[PUM.Policies] HKEY_USERS\RK_user_ON_C_B981\Software\Microsoft\Windows\CurrentVersion\Policies\System | disableregistrytools : 0 -> TROUVÉ
[PUM.Policies] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 -> TROUVÉ
[PUM.SecurityCenter] HKEY_LOCAL_MACHINE\RK_Software_ON_C_BDE8\Microsoft\Security Center | UpdatesDisableNotify : 1 -> TROUVÉ
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\RK_Software_ON_C_BDE8\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> TROUVÉ
¤¤¤ Tâches planifiées : 2 ¤¤¤
[Suspicious.Path] \\{1D954722-9FB4-4BB0-AEBF-B29EDAFA7A12} -- D:\Windows\system32\pcalua.exe (-a D:\Users\UsEr\Desktop\lide20lide30n670un676un1240uvst7031a_xpen\SETUPSG.EXE -d D:\Users\UsEr\Desktop\lide20lide30n670un676un1240uvst7031a_xpen) -> TROUVÉ
[Suspicious.Path] \\{8745245C-A19C-4C85-ABDC-2C21A7A2AA65} -- D:\Windows\system32\pcalua.exe (-a D:\Users\UsEr\Downloads\ZHPDiag2.exe -d D:\Users\UsEr\Downloads) -> TROUVÉ
¤¤¤ Fichiers : 0 ¤¤¤
¤¤¤ Fichier HOSTS : 1 ¤¤¤
[D:\Windows\System32\drivers\etc\hosts] 127.0.0.1 localhost
¤¤¤ Antirootkit : 8 ¤¤¤
[SSDT:Addr] NtCreateSection[84] : Unknown @ 0x90300a46
[SSDT:Addr] NtRequestWaitReplyPort[299] : Unknown @ 0x90300a50
[SSDT:Addr] NtSetContextThread[316] : Unknown @ 0x90300a4b
[SSDT:Addr] NtSetSecurityObject[347] : Unknown @ 0x90300a55
[SSDT:Addr] NtSystemDebugControl[368] : Unknown @ 0x90300a5a
[SSDT:Addr] NtTerminateProcess[370] : Unknown @ 0x903009e7
[ShwSSDT:Addr] NtUserSetWindowsHookEx[585] : Unknown @ 0x90300a6e
[ShwSSDT:Addr] NtUserSetWinEventHook[588] : Unknown @ 0x90300a73
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ MBR Verif : ¤¤¤
+++++ PhysicalDrive0: Hitachi HDS721050CLA662 ATA Device +++++
--- User ---
[MBR] f26c2fdb730933e820639071b1ca7b5c
[BSP] 7ffbaf40c5a46934e867d862801c5df7 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 63 | Size: 99998 MB
1 - [XXXXXX] EXTEN-LBA (0xf) [VISIBLE] Offset (sectors): 204796620 | Size: 376931 MB
User = LL1 ... OK
User = LL2 ... OK
+++++ PhysicalDrive1: Multiple Card Reader USB Device +++++
Error reading User MBR! ([15] Le périphérique n?est pas prêt. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )
-
Question please.
-
Bonjour,
Je veux savoir si mon pc est infecté et ce en partant de l'analyse ci-haut exposée.
J'ai rien supprimé car je veux pas m'aventurer...
Si vous pouvez m'indiquez qu'elle ligne je peux supprimer (infectée).
Merci d'avance.
-
Ok, tout peut être supprimé mais il n'y a pas de réelle infection.
Il s'agit de choses soit inutiles soit mineures.
-
Merci de votre réponse,
Je vais supprimer donc et j'espère que ça va arranger les choses car je sais que mon pc est infecté puisque j'ai un problème de souris qui clique deux fois, c'est très gênant...
Je vous tiendrai au courant.
-
Non, pas d'amélioration. Je compte réinstaller tout.
Merci quand même de votre assistance.
-
En changeant de souris ça se produit toujours?
-
Exact!
Mais, je ne me suis rendu compte qu'après formatage et réinstallation de w7.
C'est en rencontrant, encore, le même problème qui m'a orienté vers le souris. Remplacé, tout semble revenir en ordre...
Mais ce qui est bizarre, c'est qu'en exécutant ce matin RK, presqu'à vide (avant même d'installer pilote de la carte réseau ethernet), il me donne ce rapport:
RogueKiller V9.1.0.0 [Jun 23 2014] par Adlice Software
Mail : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site Web : http://www.surlatoile.org/RogueKiller/
Blog : http://www.adlice.com
Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Démarrage : Mode normal
Utilisateur : mnr [Droits d'admin]
Mode : Recherche -- Date : 06/25/2014 14:27:00
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrées de registre : 11 ¤¤¤
[Suspicious.Path] HKEY_LOCAL_MACHINE\RK_System_ON_D_631A\ControlSet001\Services\mchInjDrv -> TROUVÉ
[Suspicious.Path] HKEY_LOCAL_MACHINE\RK_System_ON_D_631A\ControlSet002\Services\mchInjDrv -> TROUVÉ
[PUM.Dns] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters | DhcpNameServer : 172.31.79.142 172.31.79.144 157.54.104.75 157.54.14.146 157.54.14.162 157.54.80.10 -> TROUVÉ
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters | DhcpNameServer : 172.31.79.142 172.31.79.144 157.54.104.75 157.54.14.146 157.54.14.162 157.54.80.10 -> TROUVÉ
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters | DhcpNameServer : 172.31.79.142 172.31.79.144 157.54.104.75 157.54.14.146 157.54.14.162 157.54.80.10 -> TROUVÉ
[PUM.Policies] HKEY_USERS\RK_user_ON_D_1184\Software\Microsoft\Windows\CurrentVersion\Policies\System | disableregistrytools : 0 -> TROUVÉ
[PUM.SecurityCenter] HKEY_LOCAL_MACHINE\RK_Software_ON_D_F7CA\Microsoft\Security Center | UpdatesDisableNotify : 1 -> TROUVÉ
[PUM.StartMenu] HKEY_USERS\S-1-5-21-2622924293-531301439-4270153646-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced | Start_ShowMyGames : 0 -> TROUVÉ
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\RK_Software_ON_D_F7CA\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> TROUVÉ
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> TROUVÉ
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> TROUVÉ
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Fichiers : 0 ¤¤¤
¤¤¤ Fichier HOSTS : 0 ¤¤¤
¤¤¤ Antirootkit : 0 ¤¤¤
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ MBR Verif : ¤¤¤
+++++ PhysicalDrive0: Hitachi HDS721050CLA662 ATA Device +++++
--- User ---
[MBR] 36f0fd05d636849687afb022ff3f80bd
[BSP] 7ffbaf40c5a46934e867d862801c5df7 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 63 | Size: 99998 MB
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 204797952 | Size: 340940 MB
User = LL1 ... OK
User = LL2 ... OK
+++++ PhysicalDrive1: Samsung G2 Portable +++++
--- User ---
[MBR] e3ec6b1febf7095399a7659b88470abf
[BSP] 69c80530fdd117259cb2de07c21f7277 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 64 | Size: 305242 MB
User = LL1 ... OK
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )
+++++ PhysicalDrive2: Multiple Card Reader USB Device +++++
Error reading User MBR! ([15] Le périphérique n?est pas prêt. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )
============================================
RKreport_SCN_06252014_120139.log
La question, ce qui sont signalés sont des mineurs ou des faux positifs ou réellement c'est une infection?!
Je vous remercie grandement de votre attention et assistance.
-
A vérifier. RK a détecté des éléments sur un disque externe (D:).
Y a t-il une installation de windows sur ce disque?
-
Oui c'est un disque dur externe où j'ai sauvegardé dossiers et fichiers importants, avant formatage.
Ce disque ne comporte pas d'installation windows.
-
Et pourtant il y a quand même une arborescence windows, avec un registre lisible.
Si ce système n'est plus utilisé, ce n'est pas la peine de corriger les éléments
-
ok. merci encore de votre assistance.