problème au lancement de RKrevealer

Modérateur: Modérateurs et Modératrices

problème au lancement de RKrevealer

Messagede hupdhulu » 05 Juil 2009, 15:39

Bonsoir,

1/ lorsque je lance RootkitRevealer le message suivant est renvoyé : "Error loading helper driver"
2/ lorsque je lance Sophos Anti-Rootkit le message suivant est renvoyé : "could not initialize Toolhelp"
3/ lorsque je lance IceSword le message suivant est renvoyé : "Initialize failed"
et pour finir
4/ lorsque Gmer se lance avec quelques difficultés et messages d'erreurs ...

si je pouvais jouir de vos lumières, par avance merci

hup (qui a cherché mais n'a point trouvé)
hupdhulu
 
Messages: 4
Inscription: 05 Juil 2009, 15:16

Messagede nickW » 05 Juil 2009, 16:35

Bonjour,


Je suppose que ton système d'exploitation est Zorglub-à-roulettes-coniques version 1278,4258p.


Je suppose que tu utilises un tas de logiciels ayant un module résident en mémoire comme poiuytr 52.963 et mlkjhjgf 58.456


Je suppose que tu as ouvert ta session en tant que TrucBiduleChose, qui n'a même pas les droits Invité.



Après toutes ces suppositions, il ne me reste qu'une certitude: impossible de te répondre sans renseignements plus précis.


A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede hupdhulu » 05 Juil 2009, 17:36

Bonsoir,

certe j'ai été un peu courts sur le contexte et je m'en excuse

1/ configuration : windows XP SP1
2/ cession : utilisateurs
3/ cession : administrateur lorsque je lance les programmes évoqués plus haut

au plaisir (de préciser d'autres éléments)

hup
hupdhulu
 
Messages: 4
Inscription: 05 Juil 2009, 15:16

Messagede nickW » 05 Juil 2009, 18:18

Bonsoir,

Quels sont les modules de surveillance en temps réel?

Antivirus: ?

Anti-spyware: ?
(exemple: TeaTimer de Spybot-S&D)

Autre: ?


... et accessoirement, pourquoi veux-tu faire cette analyse anti-rootkit?

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede hupdhulu » 05 Juil 2009, 18:53

re bonsoir,

module en temps réel
1/ VirusScan (McAfee)
2/ Spy Emergency

l'analyse anti spy, rootkit et HijackThis
1/ est une routine que je lance chaque semaine
2/ c'est des logiciels qui ont fonctionné (et je serais très curieux de savoir ce qui les bloque)

l'analyse anti spy révèle ceci :
1/ un fichier que j'ai du mal a analysé :
Trojan.Gromozon (RootKit)
C:\WINDOWS\SYSTEM32\NUL.WNI
2/ est des entrés en base de registre qui ne parlent pas :
HKLM\SYSTEM\CurrentControlSet\Services\d346prt\Cfg\0Jf40

merci de ta patience et bonne appétit
hupdhulu
 
Messages: 4
Inscription: 05 Juil 2009, 15:16

Messagede nickW » 06 Juil 2009, 00:57

Bonsoir,


d346prt.sys est normalement associé Daemon Tools.
Est-il installé sur ton PC?


Peux-tu me confirmer le nom exact du second fichier: NUL.WNI

Peux-tu le faire analyser sur Virus Total:

Étape 1: Affichage tous fichiers
Vérifier que ton PC affiche bien tous les fichiers
http://assiste.com.free.fr/p/comment/co ... aches.html


Étape 2: VirusTotal
Aller sur le site http://www.virustotal.com/fr/ - Note: Javascript doit être activé.

Sous Envoyer un fichier, cliquer sur le bouton Parcourir
Dans la fenêtre "Envoi du fichier", naviguer jusqu'au dossier C:\WINDOWS\SYSTEM32, puis sélectionner le fichier NUL.WNI et cliquer sur le bouton Ouvrir

Le fichier est envoyé. Si Virustotal annonce que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant

Il est possible que l'analyse soit mise en file d'attente (si de nombreuses demandes d'analyse sont en cours). Il faut dans ce cas patienter, sans Actualiser la page.

Laisser l'analyse se dérouler, tant que la mention en cours d'analyse est affichée.

Lorsque l'analyse est terminée (affichage de Situation actuelle: terminé), cliquer sur Image Formaté (situé juste sous le cadre Fichier... reçu le... - Résultat...)

Il y a ouverture d'une nouvelle fenêtre du navigateur. cliquer sur la seconde image à partir de la gauche: Image

Faire un clic droit sur la page puis choisir Sélectionner tout, faire de nouveau un clic droit puis choisir Copier

Revenir sur le forum, dans ton sujet, cliquer sur le bouton Répondre, puis Coller dans le nouveau message le résultat de Virustotal.


Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede hupdhulu » 06 Juil 2009, 19:34

Bonsoir,

voici la réponse de ViursTotal :

0 bytes size received / Se ha recibido un archivo vacio

cdt
hupdhulu
 
Messages: 4
Inscription: 05 Juil 2009, 15:16


Retourner vers RootKit

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 2 invités

cron