after roguekiller scan IRP hooks [résolu]

[elscorpio]

hi,

Sorry for my bad english. i m a frenchy and I do not control very well this language.

My problem is this, after scan my computer with roguekiller, he detect 7 IRP hooks.

How make for disapear it ?

This is a report of scan :

RogueKiller V9.2.10.0 (x64) [Jul 11 2014] par Adlice Software
Mail : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site Web : https://www.surlatoile.org/RogueKiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Démarrage : Mode normal
Utilisateur : ethan [Droits d'admin]
Mode : Suppression -- Date : 09/16/2014  13:31:39

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrées de registre : 17 ¤¤¤
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{033F55DE-71BB-4449-B546-B48AEF308A5A} | DhcpNameServer : 7.254.254.254  -> REMPLACÉ ()
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{033F55DE-71BB-4449-B546-B48AEF308A5A} | DhcpNameServer : 7.254.254.254  -> REMPLACÉ ()
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{033F55DE-71BB-4449-B546-B48AEF308A5A} | DhcpNameServer : 7.254.254.254  -> REMPLACÉ ()
[PUM.Policies] (X64) HKEY_USERS\S-1-5-21-3113959074-2915383003-3848421100-1000\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0  -> SUPPRIMÉ
[PUM.Policies] (X64) HKEY_USERS\S-1-5-21-3113959074-2915383003-3848421100-1000\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableTaskMgr : 0  -> SUPPRIMÉ
[PUM.Policies] (X86) HKEY_USERS\S-1-5-21-3113959074-2915383003-3848421100-1000\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0  -> ERROR [2]
[PUM.Policies] (X86) HKEY_USERS\S-1-5-21-3113959074-2915383003-3848421100-1000\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableTaskMgr : 0  -> ERROR [2]
[PUM.Policies] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0  -> SUPPRIMÉ
[PUM.Policies] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0  -> ERROR [2]
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  -> REMPLACÉ (0)
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1  -> REMPLACÉ (0)
[PUM.SearchPage] (X64) HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main | Search Page : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch  -> REMPLACÉ (http://go.microsoft.com/fwlink/?LinkId=54896)
[PUM.SearchPage] (X86) HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main | Search Page : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch  -> REMPLACÉ (http://go.microsoft.com/fwlink/?LinkId=54896)
[PUM.SearchPage] (X64) HKEY_USERS\S-1-5-21-3113959074-2915383003-3848421100-1000\Software\Microsoft\Internet Explorer\Main | Search Page : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch  -> REMPLACÉ (http://go.microsoft.com/fwlink/?LinkId=54896)
[PUM.SearchPage] (X86) HKEY_USERS\S-1-5-21-3113959074-2915383003-3848421100-1000\Software\Microsoft\Internet Explorer\Main | Search Page : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch  -> REMPLACÉ (http://go.microsoft.com/fwlink/?LinkId=54896)
[PUM.SearchPage] (X64) HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main | Search Page : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch  -> REMPLACÉ (http://go.microsoft.com/fwlink/?LinkId=54896)
[PUM.SearchPage] (X86) HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main | Search Page : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch  -> REMPLACÉ (http://go.microsoft.com/fwlink/?LinkId=54896)

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier HOSTS : 1 ¤¤¤
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1       localhost

¤¤¤ Antirootkit : 7 (Driver: CHARGE) ¤¤¤
[IRP:Addr(Hook.IRP)] \SystemRoot\system32\drivers\winhv.sys - IRP_MJ_CREATE[0] : Unknown @ 0x39ae2c0
[IRP:Addr(Hook.IRP)] \SystemRoot\system32\drivers\winhv.sys - IRP_MJ_CLOSE[2] : Unknown @ 0x39ae2c0
[IRP:Addr(Hook.IRP)] \SystemRoot\system32\drivers\winhv.sys - IRP_MJ_DEVICE_CONTROL[14] : Unknown @ 0x39ae2c0
[IRP:Addr(Hook.IRP)] \SystemRoot\system32\drivers\winhv.sys - IRP_MJ_INTERNAL_DEVICE_CONTROL[15] : Unknown @ 0x39ae2c0
[IRP:Addr(Hook.IRP)] \SystemRoot\system32\drivers\winhv.sys - IRP_MJ_POWER[22] : Unknown @ 0x39ae2c0
[IRP:Addr(Hook.IRP)] \SystemRoot\system32\drivers\winhv.sys - IRP_MJ_SYSTEM_CONTROL[23] : Unknown @ 0x39ae2c0
[IRP:Addr(Hook.IRP)] \SystemRoot\system32\drivers\winhv.sys - IRP_MJ_PNP[27] : Unknown @ 0x39ae2c0

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ MBR Verif : ¤¤¤
+++++ PhysicalDrive0: WDC WD5000AAJS-22A8B0 ATA Device +++++
--- User ---
[MBR] a2b50131fadacc5c085dc53d2cf66f41
[BSP] 81549c867b99829137973faf3f66fcd0 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 90664 MB
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 185888115 | Size: 386171 MB
User = LL1 ... OK
User = LL2 ... OK


Thanks in advance for your answers.

[beketti]

BONSOIR
JE NE COMPREND PAS ANGLAIS MAIS J'AI BESOIN D'AIDE SVP
LE RAPPORT DE ROGUEKILLER QUI SUIT CE MESSAGE EST CELUI DE MON ORDINATEUR MAIS JE NE SAIS PAS COMMENT M'Y PRENDRE.

GOOD EVENING TO ALL
I DO NOT UNDERSTAND ENGLISH BUT I NEED HELP PLEASE
REPORT RogueKiller FOLLOWING THIS MESSAGE IS TO MY COMPUTER BUT I DO NOT KNOW HOW DO I TAKE
RogueKiller V9.2.10.0 [Jul 11 2014] par Adlice Software
Mail : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site Web : https://www.surlatoile.org/RogueKiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows 8 (6.2.9200 ) 64 bits version
Démarrage : Mode normal
Utilisateur : Agathe [Droits d'admin]
Mode : Recherche -- Date : 09/16/2014  16:19:49

¤¤¤ Processus malicieux : 2 ¤¤¤
[Suspicious.Path] Google+ Auto Backup.exe -- C:\Users\Agathe\AppData\Local\Programs\Google\Google+ Auto Backup\Google+ Auto Backup.exe[7] -> TUÉ [TermProc]
[Suspicious.Path] SearchProtection.exe -- C:\ProgramData\Search Protection\SearchProtection.exe[7] -> TUÉ [TermProc]

¤¤¤ Entrées de registre : 11 ¤¤¤
[Suspicious.Path] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | Search Protection : C:\ProgramData\Search Protection\SearchProtection.exe  -> TROUVÉ
[Suspicious.Path] (X64) HKEY_USERS\S-1-5-21-456545204-3642185365-1642513586-1002\Software\Microsoft\Windows\CurrentVersion\Run | Google+ Auto Backup : "C:\Users\Agathe\AppData\Local\Programs\Google\Google+ Auto Backup\Google+ Auto Backup.exe" /autostart  -> TROUVÉ
[Suspicious.Path] (X86) HKEY_USERS\S-1-5-21-456545204-3642185365-1642513586-1002\Software\Microsoft\Windows\CurrentVersion\Run | Google+ Auto Backup : "C:\Users\Agathe\AppData\Local\Programs\Google\Google+ Auto Backup\Google+ Auto Backup.exe" /autostart  -> TROUVÉ
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\OATool (\??\C:\Windows\TEMP\OAToolx64.sys) -> TROUVÉ
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\OATool (\??\C:\Windows\TEMP\OAToolx64.sys) -> TROUVÉ
[PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  -> TROUVÉ
[PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1  -> TROUVÉ
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  -> TROUVÉ
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1  -> TROUVÉ
[PUM.HomePage] (X64) HKEY_USERS\S-1-5-21-456545204-3642185365-1642513586-501\Software\Microsoft\Internet Explorer\Main | Start Page : http://www.bing.com?pc=HPNTDFJS  -> TROUVÉ
[PUM.HomePage] (X86) HKEY_USERS\S-1-5-21-456545204-3642185365-1642513586-501\Software\Microsoft\Internet Explorer\Main | Start Page : http://www.bing.com?pc=HPNTDFJS  -> TROUVÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier HOSTS : 0 ¤¤¤

¤¤¤ Antirootkit : 0 (Driver: NON CHARGE [0xc000036b]) ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ MBR Verif : ¤¤¤
+++++ PhysicalDrive0: TOSHIBA MQ01ABF050 +++++
--- User ---
[MBR] 660e3e00450b110ad9e3c9d0fc0ea932
[BSP] 67f78c4996a454c92caafcae99b7bada : Empty MBR Code
Partition table:
0 - [XXXXXX] UNKNOWN (0x0) [VISIBLE] Offset (sectors): 1 | Size: 476940 MB
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive1: Imation Ridge USB Device +++++
--- User ---
[MBR] 5ea8e492c18608b711686cdc7fe19933
[BSP] 33a07a59d299ab4ea9f4ab0156f9d86f : Windows XP MBR Code
Partition table:
0 - [XXXXXX] FAT32 (0xb) [VISIBLE] Offset (sectors): 8064 | Size: 7377 MB
User = LL1 ... OK
Error reading LL2 MBR! ([32] The request is not supported. )

[elscorpio]

bonjour

J'ai créé ce post pour essayer de résoudre un problème, je pense que tu devrais faire un post pour le tiens. se rajouter au mien je ne suis pas sur que ce soit la bonne manière de procéder ^^.

En jetant un œil a ton rapport on peux voir que tu a 2 processus kill car malicieux.
je pense (c'est mon avis UNIQUEMENT) que tu devrais cocher les cle de registre ==> dans l onglet registre, puis faire supprimer sur roguekiller. il va replacé ou supprimer ces clé (qui sont en rapport avec les processus qui ont été kill par le scan d'initialisation de roguekiller)

ensuite redémarre et relance roguekiller, il ne devrais plus rien trouvé.

(Je rappelle que ceci n'est que mon avis, attend la confirmation ^^)

[Tigzy]

On va continuer en FR donc

@Beketti: Effectivement tout supprimer, ce sont des adwares. Passer ensuite un AdwCleaner, je pense qu'il y en a d'autres.
Si d'autres problème voir dans un nouveau sujet stp.

@elscorpio:
[IRP:Addr(Hook.IRP)] \SystemRoot\system32\drivers\winhv.sys - IRP_MJ_CREATE[0] : Unknown @ 0x39ae2c0

Le driver est hooké par un module inconnu (shellcode), impossible d'en dire plus.
Cependant, j'ai un doute sur le driver winhv.sys, ce serait bien de le scanner sur Virus Total.

[elscorpio]

bonjour,

J'ai déjà voulu tester le fichier sur virustotal mais il n'apparait pas dans l'explorateur sur le site. j'ai pourtant bien les fichiers caché d'affiché quand je navigue dans mes dossiers, mais sur leur site le fichier reste invisible (comme la pluparts du dossiers C:\Windows\System32\drivers).

Merci pour ces infos.

[elscorpio]

En fait j'ai pensé un peu et en le copiant et collant sur le bureau il devient visible pour le site de virustotal.

https://www.virustotal.com/fr/file/5e4ad1e63a298dead7b3b644194e2e7df43aa23d0ce772e8f3e9545a5b32ae35/analysis/

résultat safe, il semble ne pas être malicieux.

[Tigzy]

Je pense que c'est du à la redirection de fichiers...
Ok, donc ignorer les détections.

[elscorpio]

Bonjour,

Ok merci pour ces réponses et pour ce programme bien utile.