> Tous les forums > Forum Sécurité
 résultat scan anti rootkitsSujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
Brennos
  Posté le 21/06/2009 @ 16:15 
Aller en bas de la page 
Astucien

Bonjour tout le monde

Voici un rapport avira anti rootkits.

Il se trouve que ce qu'il détecte, je l'ai depuis un bout de temps.

Je ne pense pas que ce soit infectieux car je ne peux le supprimer ni le mettre

en quarantaine....

J'aimerai quand même avoir l'avis d'un GS.

Merci.

Avira AntiRootkit Tool (1.1.0.1)

========================================================================================================
- Scan started dimanche 21 juin 2009 - 14:13:13
========================================================================================================

--------------------------------------------------------------------------------------------------------
Configuration:
--------------------------------------------------------------------------------------------------------
- [X] Scan files
- [X] Scan registry
- [X] Scan processes
- [ ] Fast scan
- Working disk total size : 69.77 GB
- Working disk free size : 42.62 GB (61 %)
--------------------------------------------------------------------------------------------------------

Results:
Value data mismatch : HKEY_LOCAL_MACHINE\Software\Microsoft\WBEM\CIMOM -> autorecover mofs

--------------------------------------------------------------------------------------------------------
Files: 0/84198
Registry items: 1/265373
Processes: 0/42
Scan time: 00:03:16
--------------------------------------------------------------------------------------------------------
Active processes:
- System (PID 4)
- explorer.exe (PID 2876)
- svchost.exe (PID 1012)
- IAANTmon.exe (PID 1980)
- svchost.exe (PID 1120)
- svchost.exe (PID 1304)
- LSSrvc.exe (PID 380)
- svchost.exe (PID 1892)
- smss.exe (PID 488)
- services.exe (PID 708)
- thunderbird.exe (PID 3536)
- svchost.exe (PID 1600)
- svchost.exe (PID 12)
- csrss.exe (PID 608)
- svchost.exe (PID 1364)
- wininit.exe (PID 660)
- svchost.exe (PID 1084)
- audiodg.exe (PID 1184)
- lsm.exe (PID 732)
- lsass.exe (PID 720)
- csrss.exe (PID 672)
- svchost.exe (PID 864)
- svchost.exe (PID 876)
- nvvsvc.exe (PID 940)
- svchost.exe (PID 968)
- svchost.exe (PID 1052)
- SearchIndexer.exe (PID 1648)
- svchost.exe (PID 1220)
- winlogon.exe (PID 1228)
- SLsvc.exe (PID 1264)
- XAudio.exe (PID 1824)
- avirarkd.exe (PID 652)
- spoolsv.exe (PID 1564)
- sched.exe (PID 1588)
- avguard.exe (PID 1832)
- nvvsvc.exe (PID 1884)
- eRecoveryService.exe (PID 2052)
- cvhnkxyc.exe (PID 2132) (Avira AntiRootkit Tool)
- taskeng.exe (PID 2580)
- taskeng.exe (PID 2784)
- dwm.exe (PID 2808)
- avgnt.exe (PID 3020)
========================================================================================================
- Scan finished dimanche 21 juin 2009 - 14:16:30
========================================================================================================

Publicité
pear
 Posté le 21/06/2009 à 17:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour Brennos,

En attendant d'autres avis,

http://publib.boulder.ibm.com/infocenter/tivihelp/v4r1/topic/com.ibm.itpc.doc/tpcugd3167.htm

http://support.microsoft.com/kb/320373/fr

1) erreur WMIAdapter

Exécuter->Services.msc
Service Carte de performance WMI :
vous pouvez laisser ce service en "manuel" , sinon, vous pouvez le "désactiver",
ce service sert principalement aux serveurs pour l'administration à distance avec des outils dédiés.(Speedweb)
et en particulier si le service Snmp est activé.
Ce service n'est pas installé par défaut.
Les pirates l'utilisent comme une faille de sécurité.
Si vous installez ce service mais ne l'utilisez pas, désactivez-le.(Assiste.com)
Allez dans le panneau de configuration :

* Ajout/suppression de logiciels,
* ajouter ou supprimer des composants Windows,
* sélectionnez "Outils de gestion et d'analyse",
* cliquez sur "Détails",
* Décochez "SNMP (Protocole simplifié de gestion de réseaux)"

2)Windows Management Instrumentation (WMI) est corrompu
Traduction partielle de la fiche technique Microsoft N°319101:

Symptômes:

En cours de session, des messages signalent que
1. Windows ne peut pas voir les propriétés de connexion ou du réseau.
2. Windows ne peut pas voir les informations systèmes (MSinfo32).
3. Impossibilité de connexion à un ordinateur local.
Note: pour exécuter WMI, ouvrir la console par Démarrer/Exécuter (ou Windows+r) et saisir wmimgmt.msc, puis dans le menu Action, sélectionner Propriétés.
Cause:
Le fichier dans le dossier %SystemRoot%\System32\Wbem\Repository est corrompu. Ce message d'erreur se répète car winmgmt.exe démarre le fichier toutes les 30 à 60 secondes
Résolution:

* Par Démarrer/Exécuter... (ou Windows+r), saisir services.msc
* Dans le volet droit de la console des Services, double-cliquer sur l'entrée Infrastructure de gestion Windows et cliquer sur le bouton Arrêter. Quitter la console.
* Dans l'explorateur effacer les fichiers contenus dans le dossier %SystemRoot%\system32\Wbem\repository\
* Redémarrer l'ordinateur et les fichiers seront recréés et le service WMI se relance automatiquement

3)Pour réparer Wmi, essayez ce script:
copier coller dans le bloc notes, enregistrez sous wmi.vbs sur le bureau(clic sur bureau à gauche)et double clic pour le lancer.

' ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
' Script VBS pour les problèmes WMI
' http://support.microsoft.com/?kbid=319101
' script de ~Jean-Marc~ © 2004 http://perso.wanadoo.fr/doc.jm
' ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

On Error Resume Next
Dim shell, fso, WinSysDir, RepoPath, RepoPath2
Set shell = WScript.CreateObject("WScript.Shell")
Set fso = WScript.CreateObject("Scripting.FileSystemObject")
' Arrêt du service Infrastructure de gestion windows
set scriptState = shell.Exec("%comspec% /c echo o|net stop winmgmt")
While (scriptState.Status = 0)
WScript.Sleep(100)
Wend
'Lire le répertoire windows
WinSysDir = Shell.RegRead("HKLM\Software\Microsoft\Windows NT\CurrentVersion\SystemRoot")
' Créer le chemin d'effacement des fichiers du repository
RepoPath = WinSysDir & "\System32\Wbem\Repository\*.*"
RepoPath2 = WinSysDir & "\System32\Wbem\Repository\FS\*.*"
'Effacement du contenu du répertoire repository
fso.DeleteFile RepoPath, true
fso.DeleteFile RepoPath2, true
fso.DeleteFolder RepoPath, true
'Configuration de Infrastructure de gestion windows en automatique (config d'origine XP)
shell.Exec("sc config winmgmt start= auto")
'fin
wscript.echo "Fin de la réparation." & vbcrlf & "Redémarrer le PC."
Set fso = Nothing
Set scriptState = Nothing
Set shell = Nothing
Wscript.quit

Brennos
 Posté le 21/06/2009 à 17:14 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Salut pear

Merci pour ton passage.

Je t'avoue que je n'ai pas trop tout saisie dans ce que tu me proposes.

Je veux bien essayer de faire les diverses manips, mais dis moi:

il n'y a rien d'infectieux ?

Ce serai plutôt une erreur ou quelque chose d'endommagé d'après ce que je

crois comprendre ?

Dis mois juste en gros quel est le pb si tu peux...

A+

Brennos
 Posté le 21/06/2009 à 17:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Re pear

Pour info, dans un autre rapport "à la demande", il est

précisé concernant le même objet:

"l'entrée d'enregistrement n'est pas visible"

Sais-tu ce que ça signifie ?

A+

pear
 Posté le 21/06/2009 à 18:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

J'ai cru comprendre que cette autorecover mof signifie une erreur de Wmi.

D'ou le script proposé.

Avez vous l'un de ces symptômes ?

En cours de session, des messages signalent que
1. Windows ne peut pas voir les propriétés de connexion ou du réseau.
2. Windows ne peut pas voir les informations systèmes (MSinfo32).
3. Impossibilité de connexion à un ordinateur local.

Votre dernier message, je ne sais répondre ,je n'ai pas assez d'éléments.

Brennos
 Posté le 21/06/2009 à 19:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Re

En fait, j'ai pas l'impression d'avoir un pb particulier

Pour les réseaux, j'ai tout désactivé

De plus, au niveau de la livebox, je suis en "public".

Je sais pas si mes réglages ont un rapport...

Mais bon, s'il n'y a rien d'infectieux, c'est déjà ça.

Je vais essayer d'analyser les conseils de ton premier post.

Mais si ce n'est pas un pb important; je vais laisser tomber...

Je t'avoue que je pige pas tout.

A+

Brennos
 Posté le 21/06/2009 à 19:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

juste pour rajouter que quand je fais "diagnostiquer et réparer"

avec clique droit sur les 2 icônes pc vers l'horloge;

que je sois en réseau local seulement ou local et internet (en passant la souris dessus),

j'ai toujours le même message:

Voilà; mais j'ai pas l'impression d'avoir un quelconque pb particulier.

Si c'est pas une infection, laisse tomber et je mets en résolu.

A+

Brennos
 Posté le 23/06/2009 à 09:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Salut pear

Je mets mon sujet en résolu car je pense que la détection n'a rien

d'infectieux.

Comme dit plus haut, il ne m'est proposé ni quarantaine, ni suppression.

Je pense que cette détection est informative et la clé repérée, légitime.

La description qu'en font les rapports "à la demande":

"l'entrée d'enregistrement n'est pas visible"

confirme à mon avis que c'est bien à titre informatif.

De plus, chez avira, la description de l'outil anti rootkits m'a convaincu qu'il n'y a rien

de méchant dans mon rapport:

Avira AntiRootkit Tool
Pour Avira AntiVir Personal, Premium, Premium Security Suite, Professional ou produits de Serveur sur Windows 2000, Windows XP et Vista (32 bit).

La protection Avira AntiVir Rootkit détecte les rootkits actifs. A noter cependant qu’il existe aussi des rootkits légalement utilisés dans des programmes. Ceux-ci seront également signalés par l’outil de protection Avira AntiVir Rootkit. Veuillez noter que l’élimination de rootkits signalés se fait à vos risques et périls et peut entraîner des défauts dans vos programmes.

Merci quand même à toi pour toutes les infos décrivant la détection.

Bonne journée...

Page : [1] 
Page 1 sur 1

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
Résultat d'un scan avec ZHPCleaner .
Utiliser l'ordi pendant un scan anti-virus
Résultat scan ADW Cleaner 4.109
adwcleaner scan résultat
ANTI VIRUS qui ne scan pas tout...
résultat du scan en ligne Kapersky
Vos avis au sujet d'un scan anti-virus
Scan avec sophos Anti-Rootket
besoin anti-virus qui fait le boot scan
scan anti virus au boot
Plus de sujets relatifs à résultat scan anti rootkits
 > Tous les forums > Forum Sécurité