bonjour,

http://www.malwarebytes.org/products/mbar/

http://www.malekal.com/2012/11/11/malwarebytes-anti-rootkit-mbar-beta/

test video:http://manzaitest.com/demonstration-de-malwarebytes-anti-rootkit-beta-mbar/

Bonjour,

On a chez-nous aussi

MBAM anti-rootkit : mbar

Morgane a écrit :

Bonjour,

On a chez-nous aussi

MBAM anti-rootkit : mbar

je decouvre l'outil

folky84 a écrit :

je decouvre l'outil

Bonjour

et alors, quelles sont tes impressions ?

tres bonne impression,

le scan est plus long que celui de tdsskiller.

Bonsoir.

Qu'il soit (très) lent ne gênerait pas outre-mesure s'il n'occupait en permanence de 125 à 160 Mo de RAM.

A ne pas lancer à n'importe quel moment donc.

Il ne s'agit que d'une version Beta, soyons indulgents .

Il ne m'a rien trouvé, je ne peux donc juger de son efficacité .

@+

Bonjour,

Chez ESET, vous avez aussi SysInspector: http://www.eset.com/fr/support/sysinspector/

Tout cela, ce sont des outils curatifs.

Il y a-t-il des outils qui sont réellement préventifs?

Ekalb a écrit :

Bonjour,

Chez ESET, vous avez aussi SysInspector: http://www.eset.com/fr/support/sysinspector/

Tout cela, ce sont des outils curatifs.

Il y a-t-il des outils qui sont réellement préventifs?

Bonjour,

Ce ne sont pas deux outils comparables me semble t il, le premier est un anti-Rootkit spécifique, le deuxième offre un éventail de problèmes lié au système, mais pas précisemment de rootkit, ou alors j'ai mal lu

@+

Ce ne sont pas deux outils comparables me semble t il, le premier est un anti-Rootkit spécifique, le deuxième offre un éventail de problèmes lié au système, mais pas précisemment de rootkit, ou alors j'ai mal lu

ESET SysInspector:

"Integrated Anti-Stealth technology allows discovering hidden objects (e.g. rootkits) in MBR, registry entries, drivers, services and processes"

Source: http://www.eset.com/us/download/utilities/

Description de l'outil en français: http://www.eset.com/fr/support/sysinspector/

Note: ESET SysInspector est un outil indépendant mais qui est aussi intégré aux produits ESET (NOD32 et SMART).

Ekalb a écrit :

ESET SysInspector:

"Integrated Anti-Stealth technology allows discovering hidden objects (e.g. rootkits) in MBR, registry entries, drivers, services and processes"

re

alors ,j'avais mal lu , mais je prérère quand même un logiciel qui ne gère qu'un seul problème à la fois, c'est pour ça que je n'aime pas les suites dans les logiciels de sécurité.C'est comme en médecine, je préfère un specialiste à un généraliste !!!!!

c'est pour ça que je n'aime pas les suites dans les logiciels de sécurité.

Cela c'est un autre débat. Je trouve que les produits indépendants présentent de plus en plus d'incompatibilités avec d'autres. C'est peut-être intentionnel.

Bonjour à tous.

Anti-Rootkit m'a trouvé une bestiole.

Probe

Probe 29 a écrit :

Bonjour à tous.

Anti-Rootkit m'a trouvé une bestiole.

Probe

bonjour

tu as passé le fichier incriminé chez virus total?

https://www.virustotal.com/

Bonjour,

Je suis positivement impressionné par SysInspector.

Son module "Processus en cours" est plus complet et souple que ce que propose Process Explorer (sous-processus au clic, dépendances, sous-dépendances de chaque processus, descriptions et menus contextuels riches pour chacun d'eux...)

Les autres modules sont du même acabit et montrent beaucoup plus d'infos que RunScanner que j'utilisais jusqu'aujourd'hui. J'ai ainsi pu voir qu'un driver Online Armor était toujours présent et chargé en mémoire (par son CLSID détaillé par SysInspector, info que ne montrait pas RunScanner et Autoruns).

Il ne semble pas proposer de fonction de suppression (?), ce qui est une bonne chose pour les kamikazes, qui doivent réfléchir à deux fois avant d'user de la commande "Jump to" qui ouvre l'éditeur de registre.

Le produit a l'air jeune encore : il y a pas mal de lignes légitimes en orange au statut "inconnu" et quelques-unes en rouge (inconnues aussi mais classées "critique") comme le pilote du protocole TCP/IP (tcpip.sys) de base Windows.

Programme sans installation et qui n'inscrit rien au registre, seul Windows y enregistre de 3 à 6 lignes du type Most recent used et MUI cache.

Le Che.

Pas pensé a le faire, mais je le retrouve en quarantaine dans Mbam.

Probe

Probe 29 a écrit :

Le Che.

Pas pensé a le faire, mais je le retrouve en quarantaine dans Mbam.

Probe

Probe,

Je fais peut-être erreur mais j'ai l'impression que MBAR a retrouvé le dossier au même emplacement où MBAM l'avait déjà trouvé hier soir.

Dans l'hypothèse, il se serait recréé ?

detcher11 a écrit :

Probe,

Je fais peut-être erreur mais j'ai l'impression que MBAR a retrouvé le dossier au même emplacement où MBAM l'avait déjà trouvé hier soir.

Dans l'hypothèse, il se serait recréé ?

salut

oui, exact, je n'avais pas vu la date et l'heure(11/11/2012 19H52), du premier scan, bizarre!!!!!

@+

Le Che a écrit :
salut

oui, exact, je n'avais pas vu la date et l'heure(11/11/2012 19H52), du premier scan, bizarre!!!!!

@+

Le Che,

Pas forcément bizarre dans le sens où il peut s'agir d'un dossier utile à une application et recréée au besoin par elle ou par le système.

Si ce dossier (nommé "U" d'après la première copie d'écran de Probe ?) existe effectivement toujours, il faudrait soumettre un à un à VirusTotal les fichiers contenus, en espérant que ceux-ci ne soient pas trop nombreux.

detcher11 a écrit : il faudrait soumettre un à un à VirusTotal les fichiers contenus

c'est ce que lui avais conseillé de faire

Re.

Le scan avec Anti-Rootkit a bien été fait hier soir et j'ai redémarrer le Pc pour finir le nettoyage.

C'est ce matin que j'ai trouvé la bestiole dans Mbam.

Elle se trouve toujour en quarantaine, je peux tenter des manips pour en savoir plus.

Probe

Ah, dans ce cas, ce n'est peut-être pas nécessaire !

Ça voudrait dire que MBAR utilise la zone de quarantaine de MBAM pour y placer ses détections ?

Tu peux essayer de rester comme ça pendant quelques jours et si tu ne constates rien d'anormal dans le fonctionnement de tes programmes, inutile de restaurer la quarantaine...

detcher11.

Merci pour ta réponse, je vais laisser la bestiolle en quarantaine et la virer plus tard

si aucun problème sur le Pc.

Probe

detcher11 a écrit :

Ah, dans ce cas, ce n'est peut-être pas nécessaire !

Ça voudrait dire que MBAR utilise la zone de quarantaine de MBAM pour y placer ses détections ?

Tu peux essayer de rester comme ça pendant quelques jours et si tu ne constates rien d'anormal dans le fonctionnement de tes programmes, inutile de restaurer la quarantaine...

il y a un truc que je pige pas, lors du scan de MBAR, probe a t il fait le nettoyage"clean up"apparemment non ?

https://forum.pcastuces.com/malwarebytes_anti_rootkit_beta-f25s65291.htm?page=1&#4627481

d'autre part comment MBAR qui est indépendant de MBAM peuvent ils avoir des interactions ?et comment un fichier du premier peut -il se retrouver dans la quarantaine du second

et que se passe t il si MBAM n'est pas installé sur le pc ?

@+

Le Che, OUI j'ai fait le nettoyage avec cleanup et redémarrage du Pc.

Probe

Probe 29 a écrit :

Le Che, OUI j'ai fait le nettoyage avec cleanup et redémarrage du Pc.

Probe

d'où mon autre interrogation

comment MBAR qui est indépendant de MBAM peuvent ils avoir des interactions ?et comment un fichier du premier peut -il se retrouver dans la quarantaine du second, j'aurais compris si MBAR avait lui même une quarantaine,non?

et que se passe t il si MBAM n'est pas installé sur le pc ?

Perso, je ne sais pas, c'était une interrogation...