[HJ DESK][PUM] possibilité de mauvaise détection de RK ?

[Severian]

Bonjour ou Bonsoir

suite à un contrôle de mon PC j'ai ce rapport

Code: [Select]

RogueKiller V8.8.7 _x64_ [Feb 11 2014] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://forum.adlice.com
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://www.adlice.com

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : ******** [Droits d'admin]
Mode : Recherche -- Date : 02/17/2014 22:48:06
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 6 ¤¤¤
[HJ DESK][PUM] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK][PUM] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ DESK][PUM] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> TROUVÉ
[HJ DESK][PUM] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK][PUM] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ DESK][PUM] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> TROUVÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Addons navigateur : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection :  ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts




¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) WDC WD5000AAKS-60Z1A0 ATA Device +++++
--- User ---
[MBR] c65813e70871d905c2aa4b2d26ae6c15
[BSP] 09b4c09f7b6ce5c165b6582a38bd505f : Windows XP MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100000 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 204802048 | Size: 100000 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409602048 | Size: 221000 Mo
3 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 862210048 | Size: 55938 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: (\\.\PHYSICALDRIVE1 @ IDE) WDC WD5000AADS-00M2B0 ATA Device +++++
--- User ---
[MBR] 614aa79dd7c9fee09b05cf6a2218bec4
[BSP] ca582dffe383a772317234200c986476 : Windows 7/8 MBR Code
Partition table:
0 - [XXXXXX] LINUX-SWP (0x42) [VISIBLE] Offset (sectors): 63 | Size: 476939 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive2: (\\.\PHYSICALDRIVE2 @ IDE) KINGSTON SV300S37A60G ATA Device +++++
--- User ---
[MBR] 816a5cbe0297ef93f32c549c1d4cd947
[BSP] 8e08f9d5b1a8b9cc0cd00c50e6c76ef1 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 8 | Size: 57240 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[0]_S_02172014_224806.txt >>
RKreport[0]_D_02172014_224447.txt;RKreport[0]_S_02172014_224001.txt;RKreport[0]_S_02172014_224608.txt

ma question se pose sur les 6 entrées

¤¤¤ Entrees de registre : 6 ¤¤¤
[HJ DESK][PUM] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK][PUM] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ DESK][PUM] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> TROUVÉ
[HJ DESK][PUM] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK][PUM] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ DESK][PUM] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> TROUVÉ

il s'avère que j'ai caché mes icônes "mes documents", "poubelle" et "ordinateur" du bureau en passant par le menu "paramètre des icônes du bureau" (bureau / personnalisé / changer les icône du bureau)
si je fais une suppression via RogueKiller mes icône réapparaissent.

RogueKiller m'alerte quand mes icônes sont masqué et corrige en les affichant, si je les affiche manuellement le scan est propre.

est-ce juste un "bug" RK où j'ai vraiment du soucis à me faire ?

Cordialement
Sev.

[Tigzy]

Salut

[HJ DESK][PUM] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ

PUM = Potentially Unwanted Modification
Modification potentiellement non voulue

Comme tu l'as deviné, il s'agit des icones du bureau, masqués par certaines infections de type 'Fake HDD' pour faire croire que les fichiers ont été supprimés.
Comme il est impossible de savoir si c'est une action de l'utilisateur ou d'un malware, ces lignes sont taggées PUM.

Un tutoriel d'interprétation est en cours d'écriture.

[Severian]

merci de cette réponse rapide et pour le très bon travail que tu fais avec ce programme

bonne continuation
Sev.