× Aidez la recherche contre le COVID-19 avec votre ordi ! Rejoignez l'équipe PC Astuces Folding@home
 > Tous les forums > Forum Sécurité
 scan anti-rootkit
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
Br_Fr
  Posté le 27/11/2009 @ 14:29 
Aller en bas de la page 
Maîtresse astucienne

bonjour à tous!

L'aventure d'Eliot m'ayant fichu la trouille...j'avais fait un scan avec Sophos anti-rootkit qui ne m'avait rien trouvé mais je me suis aperçue que la version n'était pas à jour donc hier soir j'ai fait un scan avec la version 1.5 ( et celle-ci me trouve 70 files hidden.. pour lesquelles il est indiqué:

Removable:Yes (but clean up is not recommended for this file)

pour la très grande majorité de ces fichiers ça concerne les adresses MSN (je n'en ai que 4 heureusement) et donc c'est du genre:

C:\Documents and Settings\Brigitte\Local Settings\Application Data\Microsoft\Messenger\moi@msn.com\SharingMetadata\tartempion@hotmail.com

ou:

C:\Documents and Settings\Brigitte\Local Settings\Application Data\Microsoft\Messenger\moi@msn.com\SharingMetadata\Machin@hotmail.fr\DFSR\Staging\CS{C57239E7-7122-D3FF-34AA-1940E53CC935}\87

et quelques autres qui indiquent Temp où il y a uniquement le fichier indélogeable de 96 Ko.

Donc j'aimerais savoir:

1)si on peut supprimer les fichiers du dossier SharingMetadata

2) est-ce que sur le site de Gmer il y a possibilité de faire un scan en ligne (car pas envie d'installer un nouveau logiciel)

Publicité
P.SCD
 Posté le 27/11/2009 à 15:16 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien
Message original par gibrini13

.................

2) est-ce que sur le site de Gmer il y a possibilité de faire un scan en ligne (car pas envie d'installer un nouveau logiciel)

Bonjour à tous, gibrini13

Une tite réponse partielle: Encore mieux que le scan en ligne qui nécessite d'ailleurs souvent l'installation d'un script, Gmer existe en version ZIP, donc portable sans installation.

@+

Br_Fr
 Posté le 27/11/2009 à 15:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne
P.SCD a écrit :
Message original par gibrini13

.................

2) est-ce que sur le site de Gmer il y a possibilité de faire un scan en ligne (car pas envie d'installer un nouveau logiciel)

Bonjour à tous, gibrini13

Une tite réponse partielle: Encore mieux que le scan en ligne qui nécessite d'ailleurs souvent l'installation d'un script, Gmer existe en version ZIP, donc portable sans installation.

@+

Merci P.SCD

Il est téléchargé!

je regarderai les tutos ce soir car plus le temps maintenant!

J'aimerais aussi savoir si je peux supprimer les fichier indiqués plus haut mais il vaudrait peut-être mieux que je demande cela dans le forum XP!

P.SCD
 Posté le 27/11/2009 à 16:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Rebonjour.

A noter ce site dédié aux Anti Rootkits (liste et liens).

Pour ma part ayant eu des inquiétudes similaires hier dues à la présence d'ADS (alternate data stream), c'est Helios Antirootkit Lite (sans installation) qui m'a rassuré car au moins, lui a identifié l'inscription concernée comme OK ce que d'autres AntiRootkit n'ont pu faire, les détectant mais sans commentaires.

Quand à la première question, je suis totalement incompétent mais ai trouvé ICI ce qui me semble avoir un rapport avec ce problème, avec peut-être la réponse:

"Vous avez donné à [AT] hotmail.com la permission d'accéder à votre compte Windows Live Messenger Partage de dossier." (trad. basique) donc un problême de config ?

@+



Modifié par P.SCD le 27/11/2009 16:23
Br_Fr
 Posté le 27/11/2009 à 17:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne
P.SCD a écrit :

Rebonjour.

A noter ce site dédié aux Anti Rootkits (liste et liens).

Pour ma part ayant eu des inquiétudes similaires hier dues à la présence d'ADS (alternate data stream), c'est Helios Antirootkit Lite (sans installation) qui m'a rassuré car au moins, lui a identifié l'inscription concernée comme OK ce que d'autres AntiRootkit n'ont pu faire, les détectant mais sans commentaires.

Merci P.SCD

Donc puisque tu sembles préférer Helios Lite,je viens de le télécharger et je vais regarder les modes d'emplois sur le Net!

Br_Fr
 Posté le 27/11/2009 à 17:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

une petite question car je ne trouve pas de tutos,est-ce qu'il faut avant de commencer,désactiver Antivir?

Pour Malwarebytes,je pense que je n'ai rien à faire puisque c'est la version gratuite donc pas en résident.

Edit:

il faut peut-être aussi faire cela hors connexion?



Modifié par Br_Fr le 27/11/2009 17:45
P.SCD
 Posté le 27/11/2009 à 18:17 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien
gibrini13 a écrit :

une petite question car je ne trouve pas de tutos,est-ce qu'il faut avant de commencer,désactiver Antivir?

Pour Malwarebytes,je pense que je n'ai rien à faire puisque c'est la version gratuite donc pas en résident.

Edit:

il faut peut-être aussi faire cela hors connexion?

Re.

Arrêter le permanent d'AntiVir, ça n'est pas plus mal au contraire pour la recerche de Rootkit. Certains diront : Impératif.

Pour Mawarebytes, tu peux déclencher la mise à jour manuellement avant de scanner, le scan sera alors obigatoirement fait avec les dernières signatures. Pas d'interférence avec AntiVir.

Concernant Helios, je ne peux pas dire que je le préfère mais les AntiRootkits ne sont pas tous identiques certains étant sans doute plus ou moins efficaces selon les menaces donc perso, si je ne trouves pas ce que je recherches, j'essaie par une autre voie.

@+

Br_Fr
 Posté le 27/11/2009 à 18:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

Merci P.SCD!

comme je n'ai pas trouvé de tutos je vais essayer un peu au hasard!

P.SCD
 Posté le 27/11/2009 à 18:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien
gibrini13 a écrit :

Merci P.SCD!

comme je n'ai pas trouvé de tutos je vais essayer un peu au hasard!

Re.

S'il s'agit de la recherche de rootkits, les logs sont généralement abscons par exemple à propos des fichiers invisibles ce qui ne veut pas dire qu'ils sont nuisibles ou faisant partie du système. A moins d'avoir la chance d'avoir un diagnostic préçis avec la procédure ou l'outil pour éradiquer la bête c'est l'affaire des spécialiste. Dont je ne suis pas.

@+

Publicité
Br_Fr
 Posté le 27/11/2009 à 19:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

J'ai lancé le logiciel en choisissant cette option:

et il a indiqué 145 lignes correspondant au dossier SharingMetadata (dossier indiqué par Sophos antirootkit) donc du genre:

Br_Fr
 Posté le 27/11/2009 à 19:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne
P.SCD a écrit :

S'il s'agit de la recherche de rootkits, les logs sont généralement abscons par exemple à propos des fichiers invisibles ce qui ne veut pas dire qu'ils sont nuisibles ou faisant partie du système. A moins d'avoir la chance d'avoir un diagnostic préçis avec la procédure ou l'outil pour éradiquer la bête c'est l'affaire des spécialiste. Dont je ne suis pas.

@+

Je ne supprime rien et je vais demander du côté du forum Windows XP mais pour moi ça correspond à des faux-positifs...

leoninax
 Posté le 27/11/2009 à 22:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

tu as aussi :

Avira AntiRootkit Tool

La protection Avira AntiVir Rootkit détecte les rootkits actifs. A noter cependant qu’il existe aussi des rootkits légalement utilisés dans des programmes. Ceux-ci seront également signalés par l’outil de protection Avira AntiVir Rootkit. Veuillez noter que l’élimination de rootkits signalés se fait à vos risques et périls et peut entraîner des défauts dans vos programmes.

Br_Fr
 Posté le 27/11/2009 à 23:06 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne
leoninax a écrit :

tu as aussi :

Avira AntiRootkit Tool

La protection Avira AntiVir Rootkit détecte les rootkits actifs. A noter cependant qu’il existe aussi des rootkits légalement utilisés dans des programmes. Ceux-ci seront également signalés par l’outil de protection Avira AntiVir Rootkit. Veuillez noter que l’élimination de rootkits signalés se fait à vos risques et périls et peut entraîner des défauts dans vos programmes.

Il me semble que cette fonction est sur Antivir gratuit et le scan intégral du 25 novembre n'a rien décelé!

leoninax
 Posté le 27/11/2009 à 23:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

gibrini13 a écrit :
leoninax a écrit :

tu as aussi :

Avira AntiRootkit Tool

La protection Avira AntiVir Rootkit détecte les rootkits actifs. A noter cependant qu’il existe aussi des rootkits légalement utilisés dans des programmes. Ceux-ci seront également signalés par l’outil de protection Avira AntiVir Rootkit. Veuillez noter que l’élimination de rootkits signalés se fait à vos risques et périls et peut entraîner des défauts dans vos programmes.

Il me semble que cette fonction est sur Antivir gratuit et le scan intégral du 25 novembre n'a rien décelé!

Oui mais quand je le fais tourner indépendamment..., il est plus réactif

Brennos
 Posté le 27/11/2009 à 23:40 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Salut à vous

Je précise à gibrini qu'avira rootkit tool scane plus en profondeur que le scan intégré à l'antivirus

et qu'il détecte les rootkits actifs.

Pour les rootkits inactifs, il faut passer par le scan rootkit de l'antivirus.

Bonne nuit.



Modifié par Brennos le 27/11/2009 23:41
Br_Fr
 Posté le 28/11/2009 à 07:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne
Brennos a écrit :

Salut à vous

Je précise à gibrini qu'avira rootkit tool scane plus en profondeur que le scan intégré à l'antivirus

et qu'il détecte les rootkits actifs.

Pour les rootkits inactifs, il faut passer par le scan rootkit de l'antivirus.

Bonne nuit.

Merci Brennos pour l'explication et merci aussi à leoninax.

l'Avira Antirootkit tool est-il portable? et existe-t-il un tuto?

P.SCD
 Posté le 28/11/2009 à 08:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Re gibrini13

L'Avira AntiRootkit Tool doit en effet être portable puisque juste à décompresser (1 EXE 186 ko). Concerne les rootkits en mémoire, pour scanner ceux qui sont inactifs, il faut passer par l'option de l'A.V.

Aide possible par leur Forum Anti Rootkit. ? A priori, pas de tuto.

@+



Modifié par P.SCD le 28/11/2009 08:31
Publicité
Br_Fr
 Posté le 29/11/2009 à 08:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

Merci P.SCD!

je vais aller lire sur ce forum.

Br_Fr
 Posté le 29/11/2009 à 08:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

Pas grand chose à lire sur le forum Antivir sur le sujet des rootkits.

somebodyone
 Posté le 29/11/2009 à 09:38 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Bonjour tout le monde .

Par curiosité j'ai passé 3 ANTI-jROOTKIT différents

ATTENTION comme le dit BRENNOS il y a des HIDDEN et les ACTIF
pour certains LOG le résultat est différent ! ! ! ! .

.......................Le premier test c'est avec AVIRA:

...............

Le second test c'est avec AVG mais c'est un vieux de la vieille qui est mort.

.......

Le troisième test je l'ai fait avec SOPHOS AntiRootKit je ne vous mets
pas le résultat, vous le passé (soyez patients c'est long ! ! ) mais il en
trouve, vous regardez le résultat vous ne serez pas déçu vous verrez
qu'il faut interpréter les résultats avant d'entreprendre une action.

Et pour les courageux il y a beaucoup d'autreS Anti-RootKit à tester
..........



Modifié par somebodyone le 29/11/2009 10:01
cetace
 Posté le 29/11/2009 à 11:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

somebodyone a écrit :

Bonjour tout le monde .

Par curiosité j'ai passé 3 ANTI-jROOTKIT différents

ATTENTION comme le dit BRENNOS il y a des HIDDEN et les ACTIF
pour certains LOG le résultat est différent ! ! ! ! .

.......................Le premier test c'est avec AVIRA:

...............

Le second test c'est avec AVG mais c'est un vieux de la vieille qui est mort.

.......

Le troisième test je l'ai fait avec SOPHOS AntiRootKit je ne vous mets
pas le résultat, vous le passé (soyez patients c'est long ! ! ) mais il en
trouve, vous regardez le résultat vous ne serez pas déçu vous verrez
qu'il faut interpréter les résultats avant d'entreprendre une action.

Et pour les courageux il y a beaucoup d'autreS Anti-RootKit à tester
..........

Oui moi j'ai fait ce test avec plusieurs AntiRookits différents, alors là c'est pas triste !!

Avira : rien! comme somebodyone, mais avec les autres, il y a à boire et à manger.

Avec un j'ai tous mes fichiers cachés par "Folder Lock" qui sont signalés.

Avec un autre c'est différent.

Avec un autre j'ai des dizaines de clés de registres signalées,

Je ne les connais pas toutes mais j'en reconnais qui font partie de windows .

Il ne s'agit donc pas de tirer sur tout ce qui bouge et virer ce qui est signalé.

Les rookits ? qui peut dire ce qui est bon et ce qui est mauvais ?

Telle est ma question.

cetace
 Posté le 29/11/2009 à 12:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Je n'y connais rien en rookits, mais je me demande si la meilleure façon de planter un ordinateur n'est pas la recherche et la suppression des rookits.

Publicité
Page : [1] 
Page 1 sur 1

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Les bons plans du moment PC Astuces

Tous les Bons Plans
249,35 €Mini PC T-BAO TBOOK MN25 (Ryzen 5 2500U, 8 Go RAM, 256 Go SSD NVME) à 249,35 € avec le code BGFRTBK
Valable jusqu'au 18 Juillet

Banggood propose actuellement le mini PC T-BAO TBOOK MN25 à 249,35 € avec le code promo BGFRTBK. Ce mini PC au format NUC d'Intel possède un processeur Ryzen 5 2500U avec chip graphique Vega 8, 8 Go de RAM DDR4 et un SSD NVME de 256 Go. Il dispose d'une connectique complète : un emplacement 2,5 pouces libre (pour ajouter un disque dur ou un SSD supplémentaire, le WiFi5, le bluetooth 4.1, 4 ports USB 3.0, 2 ports USB 2.0, un port HDMI 2.0, un DisplayPort, un port Ethernet Gigabit et tourne sous Windows 10 que vous pourrez mettre en français. Ce mini PC fait 12,8 x 12,8 x 5 cm et pèse 1,2 kg. Il est livré avec une alimentation européenne. Branchez ce mini PC sur une TV ou un écran et vous avez un ordinateur discret et performant.

Ce marchand sérieux se trouvant en Chine, la livraison peut prendre une vingtaine de jours. Vous pouvez payer par carte bancaire ou par Paypal (conseillé pour bénéficier de la garantie Paypal).


> Voir l'offre
13,79 €Adaptateur USB 3.0 Ethernet Gigabit TP-Link UE300 à 13,79 €
Valable jusqu'au 15 Juillet

Amazon fait une promotion sur l'adaptateur USB 3.0 Ethernet Gigabit TP-Link UE300 qui passe à 13,79 € au lieu de 20 €. Cet adaptateur vous permettra de rajouter une prise Ethernet Gigabit à votre ordinateur portable (ou votre tablette via un adaptateur OTG) qui en est dépourvu.


> Voir l'offre
20,99 €Micro clé USB 3.1 Sandisk Ultra Fit 128 Go à 20,99 €
Valable jusqu'au 16 Juillet

Amazon fait une promotion sur la micro clé USB Sandisk Ultra Fit d'une capacité de 128 Go qui passe à 20,99 €. La minuscule taille de cette clé USB va vous permettre de la laisser brancher en permanence sur votre portable, votre TV ou votre autoradio sans qu'elle dépasse de manière disgracieuse. Sa compatibilité USB 3.1 lui permet d'atteindre des débits jusqu'à 130 Mo/s. 


> Voir l'offre

Sujets relatifs
Utiliser l'ordi pendant un scan anti-virus
MBAM erreur 20025 anti rootkit
ANTI VIRUS qui ne scan pas tout...
Que pensez vous de Malwarebytes Anti Rootkit
Malwarebytes Anti-Rootkit BETA
Vos avis au sujet d'un scan anti-virus
Méthode anti rootkit pour XP home
Scan avec sophos Anti-Rootket
besoin anti-virus qui fait le boot scan
suite à scan antivir rootkit
Plus de sujets relatifs à scan anti-rootkit
 > Tous les forums > Forum Sécurité