[Résolu]RkU et Affichage Périph Cachés gest° Périph ?

Modérateur: Modérateurs et Modératrices

[Résolu]RkU et Affichage Périph Cachés gest° Périph ?

Messagede Horus Agressor » 14 Mar 2007, 13:22

Bonjour,

En lisant l'aide pour Process Guard full au sujet d'éventuels "écrans bleu de la mort" que pourraient parfois causer PG, je suis tombé sur :
...
ProcessGuard driver startup

The ProcessGuard driver (procguard.sys) is loaded before any user logs into a system, with a driver load option called AUTOMATIC. This offers heavy
protection, however users can experiment with this option to load the driver even earlier. This could provide better protection in exceptional
circumstances, but should only be attempted by experienced users as this could also lead to crashes. We have tested this extensively however, so this
should work correctly on most if not all machines.

If you have any bluescreen crashes (BSOD, bluescreen of death), boot to Safe Mode and set the driver start back to AUTOMATIC.
Also note that ProcessGuard should only ever use AUTOMATIC or SYSTEM. No other options are valid.

To set the driver to SYSTEM:
1) Disable ProcessGuard protection.
2) Open Device Manager (Control Panel > System > Hardware > Device Manager).
3) Click View > Show Hidden Devices.
4) Expand the "Non-Plug and Play Drivers".
5) Find "procguard" and double-click it.
6) In DRIVER, change the Startup type to SYSTEM.

Now enable LEARNING MODE

Once you restart your computer, the driver will now load very early in the bootup sequence. This should also mean more detected processes starting.
Ensure the SECURITY list has these new processes detected and they are ALLOWED. Learning Mode takes care of this, otherwise they show up as "Allow Once
(unable to ask user)" since you were not logged in. Ensure any trusted startup programs are set to Always Allow - and change them if needed.
...Bref, si vous avez PG et des écrans bleus de la mort assez fréquents, le soucis vient peut être de PG...Panneau de configuration, Système, onglet Matériel, Gestionnaire de périphérique, Affichage, Afficher les périphériques cachés, chercher le périph Procguard, double-cliquer desssus, aller dans l'onglet Pilote et dans la boîte de dialogue "Type", sélectionner "Système", taper OK, mettre PG en Learning Mode et redémarrer.

Cette astuce permet à PG, via son driver procguard.sys de démarrer avant tout le monde sous Windows et de détecter le anomalies au lancement. Cette astuce est réservée aux utilsateurs expérimentés, cette astuce peut en effet supprimer des crashs intempestifs ou les réduire. En cas de crash, redémarrer en mode sans écher et remettez PG en démarrage automatique via Services. (traduction approximative et succincte de l'extrait de l'aide sus-mentionnée)...
http://forum.zebulon.fr/index.php?showtopic=53862&st=15
...Bref, en allant dans Gestionnaire de Périphérique et en affichant les Périphériques cachés, je me suis aperçu que RkU lui aussi était dans la liste. Dans l'onglet Pilote, je me demandais s'il était judicieux de mettre Système comme pour PG ?

GMER figure lui aussi dans la liste de Périphériques cachés, mais vu que RkU ne l'aime pas (RkU demande la désinstallation de GMER pour fonctionner...), j'ai choisit de désinstaller GMER pour garder RkU après lecture de


Dans l'attente de vos réponses... :D

Amicalement.
Dernière édition par Horus Agressor le 15 Mar 2007, 18:45, édité 1 fois.
Avatar de l’utilisateur
Horus Agressor
 
Messages: 1734
Inscription: 03 Juil 2005, 16:49
Localisation: Derrière moi...

Messagede Vazkor » 14 Mar 2007, 14:15

Bonjour,

"... en allant dans Gestionnaire de Périphérique et en affichant les Périphériques cachés," vous vous apercevrez probablement qu'il y a un tas de Pilotes Non Plug-and-play dont l'icône, un carré sur pointe, est plus claire que les autres.
En cliquant sur Propriétés vous verrez qu'il ne fonctionnent pas ou pas correctement et souvent que le pilote est absent.

J'ai constaté ainsi qu'y figuraient encore des pilotes correspondant à eTrust AV que j'ai pourtant désinstallé proprement il y a plus d'un mois. Windows 2000 en tout cas ne met pas cela à jour automatiquement.

Dans ce cas je vous conseille de les désinstaller là également.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9797
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede Horus Agressor » 14 Mar 2007, 16:19

Re,

Pour RkU :

Image

Pour le reste de mes Périphériques cachés :

Image , rien de mal désinstallé il me semble, mais l'info de Vazkor est bonne à savoir :wink:

Pour désinstaller les Périphériques
...un carré sur pointe, est plus claire que les autres...
: clique droit sur cette icône et choisir Désinstaller (sous WD XP SP2 en tout cas)

Amicalement.
Avatar de l’utilisateur
Horus Agressor
 
Messages: 1734
Inscription: 03 Juil 2005, 16:49
Localisation: Derrière moi...

Messagede Horus Agressor » 15 Mar 2007, 18:44

Re,

J'ai en fait répondu moi-même à ma question : pas possible de régler RkU de la même manière que PG (sur "Système" via les Processus cachés du Gestionnaire de Périphériques), il faut laisser RkU sur "Demande", le driver de RkU ne démarrant qu'à la demande suite au lancement du .exe de RkU.

Procéder différemment offre un joli point d'exclamation jaune :shock:

Amicalement.
Avatar de l’utilisateur
Horus Agressor
 
Messages: 1734
Inscription: 03 Juil 2005, 16:49
Localisation: Derrière moi...

Messagede Jim Rakoto » 15 Mar 2007, 19:38

Salut

D'après l'auteur, il est uniquement "ondemand"

RkU comporte 3 modules

- main executable (contains compressed driver and service application)
- driver (located in windows\system32\drivers)
- service executable (extracted only for Hidden Files Scan, then deleted).


A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede Horus Agressor » 15 Mar 2007, 21:28

Merci pour les infos Jim :wink: Je tacherais de mieux m'informer la prochaine fois, ça m'évitera de me monter le pompon :oops:

Amicalement et en te souhaitant une excellente soirée.
Avatar de l’utilisateur
Horus Agressor
 
Messages: 1734
Inscription: 03 Juil 2005, 16:49
Localisation: Derrière moi...

réglage de PG

Messagede colorado » 05 Mai 2008, 22:06

j'ai essayé de modifier le lancement de PG de automatique en système en ayant pris soin de basculer vers learning mode. Mais après virification il s'avère que PG restaure la valeur "automatique". quelqu'un sait d'où cela vient. Merci :?
colorado
 
Messages: 24
Inscription: 26 Avr 2008, 17:07
Localisation: isere

Messagede Vazkor » 06 Mai 2008, 00:46

Salut,

Il semble que la bidouille ne fasse rien, mais j'en suis pas si sûr que cela.

J'ai exporté plusieurs fois la clé ci-dessous.
Avant la bidouille j'ai ceci au début du fichier reg exporté via Regedit:
Code: Tout sélectionner
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DCSPGSRV]
"Type"=dword:00000010
"Start"=dword:00000002
...

alors qu'après celle-ci j'avais
"Type"=dword:00000110
ce qui correspond à 272 en décimal. Bizarre, parce qu'on ne parle nulle part à ma connaissance de cette valeur parmi les valeurs habituelles au Démarrage des services

Start

This defines when in the boot sequence the service should be started. You can also set these by using the Services control panel applet.
Value Start Type Meaning
0x00 Boot The kernel loaded will load this driver first as its needed to use the boot volume device
0x01 System This is loaded by the I/O subsystem
0x02 Autoload The service is always loaded and run
0x03 Manual This service does not start automatically and must be manually started by the user
0x04 Disabled The service is disabled and should not be started

Type

This defines the kind of service or driver. They are loaded in the following order down the list.
Value Meaning
0x01 Kernel-mode device driver
0x02 Kernel-mode device driver that implements the file system
0x04 Information used by the Network Adapter
0x10 A Win32 service that should be run as a stand-alone process
0x20 A Win32 service that can share address space with other services of the same type

Même si cela ne se voit pas dans services.msc et dans le démarrage du driver Procguard, le type serait bien changé alors que cela s'affiche uniquement comme Automatique.

Entre parenthèses, il n'est pas du tout facile de désactiver ce service de Process Guard, sauf à désinstaller complètement le programme.
C'est ce qui m'est arrivé à chaque fois que j'ai voulu chipoter avec ce service. Je préfère désormais ne plus y toucher, même si je sais comment préserver mes réglages pour ne pas tout reprendre à zéro.

Et c'est très bien ainsi parce que si le chien de garde n'est pas méchant, genre Pitbull agressif, autant le remplacer par un chien de poche, genre bichon maltais :D

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9797
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE


Retourner vers RootKit

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 2 invités