Author Topic: [HJ DESK][PUM] possibilité de mauvaise détection de RK ?  (Read 9596 times)

0 Members and 1 Guest are viewing this topic.

February 17, 2014, 11:32:36 PM

Severian

  • Guest
[HJ DESK][PUM] possibilité de mauvaise détection de RK ?
« on: February 17, 2014, 11:32:36 PM »
Bonjour ou Bonsoir

suite à un contrôle de mon PC j'ai ce rapport
Code: [Select]
RogueKiller V8.8.7 _x64_ [Feb 11 2014] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://forum.adlice.com
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://www.adlice.com

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : ******** [Droits d'admin]
Mode : Recherche -- Date : 02/17/2014 22:48:06
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 6 ¤¤¤
[HJ DESK][PUM] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK][PUM] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ DESK][PUM] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> TROUVÉ
[HJ DESK][PUM] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK][PUM] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ DESK][PUM] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> TROUVÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Addons navigateur : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection :  ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts




¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) WDC WD5000AAKS-60Z1A0 ATA Device +++++
--- User ---
[MBR] c65813e70871d905c2aa4b2d26ae6c15
[BSP] 09b4c09f7b6ce5c165b6582a38bd505f : Windows XP MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100000 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 204802048 | Size: 100000 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409602048 | Size: 221000 Mo
3 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 862210048 | Size: 55938 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: (\\.\PHYSICALDRIVE1 @ IDE) WDC WD5000AADS-00M2B0 ATA Device +++++
--- User ---
[MBR] 614aa79dd7c9fee09b05cf6a2218bec4
[BSP] ca582dffe383a772317234200c986476 : Windows 7/8 MBR Code
Partition table:
0 - [XXXXXX] LINUX-SWP (0x42) [VISIBLE] Offset (sectors): 63 | Size: 476939 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive2: (\\.\PHYSICALDRIVE2 @ IDE) KINGSTON SV300S37A60G ATA Device +++++
--- User ---
[MBR] 816a5cbe0297ef93f32c549c1d4cd947
[BSP] 8e08f9d5b1a8b9cc0cd00c50e6c76ef1 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 8 | Size: 57240 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[0]_S_02172014_224806.txt >>
RKreport[0]_D_02172014_224447.txt;RKreport[0]_S_02172014_224001.txt;RKreport[0]_S_02172014_224608.txt

ma question se pose sur les 6 entrées

¤¤¤ Entrees de registre : 6 ¤¤¤
[HJ DESK][PUM] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK][PUM] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ DESK][PUM] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> TROUVÉ
[HJ DESK][PUM] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK][PUM] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ DESK][PUM] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> TROUVÉ


il s'avère que j'ai caché mes icônes "mes documents", "poubelle" et "ordinateur" du bureau en passant par le menu "paramètre des icônes du bureau" (bureau / personnalisé / changer les icône du bureau)
si je fais une suppression via RogueKiller mes icône réapparaissent.

RogueKiller m'alerte quand mes icônes sont masqué et corrige en les affichant, si je les affiche manuellement le scan est propre.

est-ce juste un "bug" RK où j'ai vraiment du soucis à me faire ?

Cordialement
Sev.

Reply #1February 18, 2014, 08:14:05 AM

Tigzy

  • Administrator
  • Hero Member

  • Offline
  • *****

  • 957
  • Reputation:
    91
  • Personal Text
    Owner, Adlice Software
    • View Profile
    • Adlice Software
Re: [HJ DESK][PUM] possibilité de mauvaise détection de RK ?
« Reply #1 on: February 18, 2014, 08:14:05 AM »
Salut

Quote
[HJ DESK][PUM] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ

PUM = Potentially Unwanted Modification
Modification potentiellement non voulue

Comme tu l'as deviné, il s'agit des icones du bureau, masqués par certaines infections de type 'Fake HDD' pour faire croire que les fichiers ont été supprimés.
Comme il est impossible de savoir si c'est une action de l'utilisateur ou d'un malware, ces lignes sont taggées PUM.

Un tutoriel d'interprétation est en cours d'écriture.
« Last Edit: February 18, 2014, 09:42:21 AM by Tigzy »

Reply #2February 18, 2014, 09:26:08 AM

Severian

  • Guest
Re: [HJ DESK][PUM] possibilité de mauvaise détection de RK ?
« Reply #2 on: February 18, 2014, 09:26:08 AM »
merci de cette réponse rapide et pour le très bon travail que tu fais avec ce programme

bonne continuation
Sev.