"A memory modification has been detected, which could potentially be used to hide file access attempts"

legyptien · 27/12/2011, 23h09

Bonjour,

J'avais mon pc portable et pc infecté il y a 2 jours. Je suis actuellement en train de nettoyer le portable: XP SP3, chrome, 32 bits.

J'ai un logfile de Avira qui me dit qu'il y a des fichiers où il a pas eu acces avec comme message "A memory modification has been detected, which could potentially be used to hide file access attempts". J ai regardé sur internet et utilisé TDSSKiller. Son logfile est en fichier joint car trop long à mettre ici. J'ai un doute sur des fichier dit à risque moyen !

Merci de votre avis !

messinese · 28/12/2011, 10h23

Bonjour,

As-tu vérifié si les log Avira ciblaient les memes programmes?

Il semblerait que ton anti-rootkit (Tdsskiller) renvois des warnings sur des drivers (Tap0, Ipsec, ATI...) est-ce ces programmes auquel Avira n'a pas accés et pour lesquels il t'affiche des messages disant qu'une atteinte a leurs intégrité a été détecté?

legyptien · 28/12/2011, 22h31

Merci beaucoup de votre reponse.

J'avais en fait fait un scan rapide avec Avira et il m avait donné le message d'erreur que j'ai indiqué. Après votre message, j'ai essayer de faire un scan complet mais il est très stress lent. En effet la caractéristique de ce virus est de ralentir mon pc. Mon scan rapide a été fait en mode sans échec. Je pense a effectuer le scan complet en mode sans échec aussi car il ne semble pas souffrir dans ce mode là.

J'ai envie de poster un rapport Hijackthis ici , je peux ou dois je créer un nouveau sujet ? Je vais joindre le début du scan complet car il a un fichier caché mais j'ai pas finit le scan....

legyptien · 28/12/2011, 23h07

Je suis actuellement en mode sans échec car j'ai eu un écran bleu me disant qu il y a un problème avec mes drivers.

J'ai modifier mon premier message pour intégrer le rapport complet de Avira mais j'ai du annuler avant la fin car trop long et le rapport malwerbytes que j'ai fait hier en mode sans échec et Hijackthis.

désolé d'avoir mis du temps a répondre, j'avais pas accès a internet et je suis à Montréal donc décalage horaire...

PS: mon pc fonctionne nickel en mode sans échec, peut être que parce qu'il charge le minimum de driver pour fonctionner non ? ça peut aider a cibler le problème ?

messinese · 29/12/2011, 08h54

Bonjour à toi,

Il semblerait surtout que tu as pas mal de process bien lourd et inutile qu ise lance à ton ouverture de session ce qui déja explique ce ralentissement excessif.

Concernant ton BSOD (Blue screen), tu as effectivement surement un/des probleme(s) de drivers comme le montrait ton log d'hier (TDSSKILLER).

Il est donc possible que l'un d'entre eux soit "backdooré" (rootkit), mais il est aussi possible que ce soit un simple probleme d'ordre technique cela arrive assez fréquemment et je pencherait plutot pour ça.

Tu peux aussi essayer de scanner ton poste ou jouer du "netstat -ano" pour voir ce qui en est et si tu as un ou des ports en écoute bien qu'un bon rootkit ne se placera jamais en écoute permanente.

Aurait-tu installé du matériel sur ce poste récemment ?

legyptien · 29/12/2011, 15h04

Citation:

Envoyé par messinese

Bonjour à toi,

Il semblerait surtout que tu as pas mal de process bien lourd et inutile qu ise lance à ton ouverture de session ce qui déja explique ce ralentissement excessif.

Non mais le ralentissement est permanent et pas uniquement au démarrage et crois moi c'est anormal car j utilise l'ordinateur tout les jours et je sais qu un truc ne tourne pas rond !

Citation:

Envoyé par messinese

Tu peux aussi essayer de scanner ton poste ou jouer du "netstat -ano" pour voir ce qui en est et si tu as un ou des ports en écoute bien qu'un bon rootkit ne se placera jamais en écoute permanente.

Aurait-tu installé du matériel sur ce poste récemment ?

Je ferai le scan dès que possible. J'ai installé du matériel du style webcam ou autre ? du hardware quoi j imagine ? Rien d'installé dessus à part des imprimantes (de l'université) depuis bien avant les problèmes rencontrés.

legyptien · 29/12/2011, 20h21

Citation:

Envoyé par messinese

Bonjour à toi,

Il semblerait surtout que tu as pas mal de process bien lourd et inutile qu ise lance à ton ouverture de session ce qui déja explique ce ralentissement excessif.

Concernant ton BSOD (Blue screen), tu as effectivement surement un/des probleme(s) de drivers comme le montrait ton log d'hier (TDSSKILLER).

Il est donc possible que l'un d'entre eux soit "backdooré" (rootkit), mais il est aussi possible que ce soit un simple probleme d'ordre technique cela arrive assez fréquemment et je pencherait plutot pour ça.

Tu peux aussi essayer de scanner ton poste ou jouer du "netstat -ano" pour voir ce qui en est et si tu as un ou des ports en écoute bien qu'un bon rootkit ne se placera jamais en écoute permanente.

Aurait-tu installé du matériel sur ce poste récemment ?

netstat -ano en mode sans échec ça va ?

c'est http://www.01net.com/telecharger/win...ches/2330.html ou

http://www.01net.com/telecharger/win...hes/30061.html

legyptien · 29/12/2011, 23h48

Ça y est je m'en suis débarrassé. J'ai essayer d'utiliser le logiciel dont tu m'as parlé mais j'ai pas réussi mais en tout cas j'ai plus de symptômes ET Avira, Ad aware , spybot et malwerbythes ne me trouve plus rien EN MODE SANS ÉCHEC.

Je peux etre serein ?

Si oui alors je vais tirer ma révérence en te remerciant chaleureusement et en mettant Résolu...

A+

messinese · 30/12/2011, 09h59

Bonjour,

content de voir que ton probleme avance

pour info "netstat " est une commande disponible sur windows via

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

executer->cmd->netstat

En ce qui concerne ta session as-tu essayer de l'ouvrir pour voir si ça allait mieux et si oui, pourrais-tu expliquer ce que tu a fait pour y parvenir, cela pourrait en effet en aider d'autres

.

Cordialement.

legyptien · 30/12/2011, 17h18

Citation:

Envoyé par messinese

Bonjour,

content de voir que ton probleme avance

pour info "netstat " est une commande disponible sur windows via

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

executer->cmd->netstat

En ce qui concerne ta session as-tu essayer de l'ouvrir pour voir si ça allait mieux et si oui, pourrais-tu expliquer ce que tu a fait pour y parvenir, cela pourrait en effet en aider d'autres

.

Cordialement.

Je ferai la commande.

Ma session ? La session en mode normal et non sans echec tu veux dire ? Ben tout le travail de desinfection a été fait majoritairement avec Malwerbytes en mode sans echec car l ordi ramait moins dans ce mode et en plus sur plusieurs forum il conseillait le mode sans echec pour Malwerbytes.

Merci encore

30/12/2011, 09h59	#9
messinese Membre éclairé Jean-marie Bourbon Administrateur systèmes et réseaux Inscription : septembre 2007 Messages : 198 Détails du profil Informations personnelles : Nom : Jean-marie Bourbon Âge : 30 Localisation : France, Aude (Languedoc Roussillon) Informations professionnelles : Activité : Administrateur systèmes et réseaux Secteur : Administration - Collectivité locale Informations forums : Inscription : septembre 2007 Messages : 198 Points : 361 Points : 361	Bonjour, content de voir que ton probleme avance pour info "netstat " est une commande disponible sur windows via Code : Sélectionner tout - Visualiser dans une fenêtre à part executer->cmd->netstat En ce qui concerne ta session as-tu essayer de l'ouvrir pour voir si ça allait mieux et si oui, pourrais-tu expliquer ce que tu a fait pour y parvenir, cela pourrait en effet en aider d'autres . Cordialement.
	10

28/12/2011, 10h23	#2
messinese Membre éclairé Jean-marie Bourbon Administrateur systèmes et réseaux Inscription : septembre 2007 Messages : 198 Détails du profil Informations personnelles : Nom : Jean-marie Bourbon Âge : 30 Localisation : France, Aude (Languedoc Roussillon) Informations professionnelles : Activité : Administrateur systèmes et réseaux Secteur : Administration - Collectivité locale Informations forums : Inscription : septembre 2007 Messages : 198 Points : 361 Points : 361	Bonjour, As-tu vérifié si les log Avira ciblaient les memes programmes? Il semblerait que ton anti-rootkit (Tdsskiller) renvois des warnings sur des drivers (Tap0, Ipsec, ATI...) est-ce ces programmes auquel Avira n'a pas accés et pour lesquels il t'affiche des messages disant qu'une atteinte a leurs intégrité a été détecté?
	10

28/12/2011, 22h31	#3
legyptien Inscription : décembre 2007 Messages : 43 Détails du profil Informations forums : Inscription : décembre 2007 Messages : 43 Points : -3 Points : -3	Merci beaucoup de votre reponse. J'avais en fait fait un scan rapide avec Avira et il m avait donné le message d'erreur que j'ai indiqué. Après votre message, j'ai essayer de faire un scan complet mais il est très stress lent. En effet la caractéristique de ce virus est de ralentir mon pc. Mon scan rapide a été fait en mode sans échec. Je pense a effectuer le scan complet en mode sans échec aussi car il ne semble pas souffrir dans ce mode là. J'ai envie de poster un rapport Hijackthis ici , je peux ou dois je créer un nouveau sujet ? Je vais joindre le début du scan complet car il a un fichier caché mais j'ai pas finit le scan....
	01

28/12/2011, 23h07	#4
legyptien Inscription : décembre 2007 Messages : 43 Détails du profil Informations forums : Inscription : décembre 2007 Messages : 43 Points : -3 Points : -3	Je suis actuellement en mode sans échec car j'ai eu un écran bleu me disant qu il y a un problème avec mes drivers. J'ai modifier mon premier message pour intégrer le rapport complet de Avira mais j'ai du annuler avant la fin car trop long et le rapport malwerbytes que j'ai fait hier en mode sans échec et Hijackthis. désolé d'avoir mis du temps a répondre, j'avais pas accès a internet et je suis à Montréal donc décalage horaire... PS: mon pc fonctionne nickel en mode sans échec, peut être que parce qu'il charge le minimum de driver pour fonctionner non ? ça peut aider a cibler le problème ?
	01

29/12/2011, 08h54	#5
messinese Membre éclairé Jean-marie Bourbon Administrateur systèmes et réseaux Inscription : septembre 2007 Messages : 198 Détails du profil Informations personnelles : Nom : Jean-marie Bourbon Âge : 30 Localisation : France, Aude (Languedoc Roussillon) Informations professionnelles : Activité : Administrateur systèmes et réseaux Secteur : Administration - Collectivité locale Informations forums : Inscription : septembre 2007 Messages : 198 Points : 361 Points : 361	Bonjour à toi, Il semblerait surtout que tu as pas mal de process bien lourd et inutile qu ise lance à ton ouverture de session ce qui déja explique ce ralentissement excessif. Concernant ton BSOD (Blue screen), tu as effectivement surement un/des probleme(s) de drivers comme le montrait ton log d'hier (TDSSKILLER). Il est donc possible que l'un d'entre eux soit "backdooré" (rootkit), mais il est aussi possible que ce soit un simple probleme d'ordre technique cela arrive assez fréquemment et je pencherait plutot pour ça. Tu peux aussi essayer de scanner ton poste ou jouer du "netstat -ano" pour voir ce qui en est et si tu as un ou des ports en écoute bien qu'un bon rootkit ne se placera jamais en écoute permanente. Aurait-tu installé du matériel sur ce poste récemment ?
	10

29/12/2011, 23h48	#8
legyptien Inscription : décembre 2007 Messages : 43 Détails du profil Informations forums : Inscription : décembre 2007 Messages : 43 Points : -3 Points : -3	Ça y est je m'en suis débarrassé. J'ai essayer d'utiliser le logiciel dont tu m'as parlé mais j'ai pas réussi mais en tout cas j'ai plus de symptômes ET Avira, Ad aware , spybot et malwerbythes ne me trouve plus rien EN MODE SANS ÉCHEC. Je peux etre serein ? Si oui alors je vais tirer ma révérence en te remerciant chaleureusement et en mettant Résolu... A+
	01

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email