merci pour vos réponses si rapides , je suis etonné de tant de réactivité ,ça fait plaisir.
"revenons à nos moutons", voici les rapports que j'ai pu tirer de rku ,
mon os est vista ultimate en "penta boot" avec seven /suse linux/xp pro/xp home .
les rapports je vous les soumets :
RkUnhooker report generator v0.7
==============================================
Rootkit Unhooker kernel version: 3.8.342.554
==============================================
Windows Major Version: 6
Windows Minor Version: 0
Windows Build Number: 6001
==============================================
ntoskrnl.exe+0x0006946A, Type: Inline - RelativeJump 0x828BA46A [ntoskrnl.exe]
ntoskrnl.exe+0x0006D9FC, Type: Inline - RelativeCall 0x828BE9FC [ntoskrnl.exe]
[1256]ekrn.exe-->kernel32.dll-->SetUnhandledExceptionFilter, Type: Inline - PushRet 0x761C6E2D [unknown_code_page]
voila pour le second :
RkUnhooker report generator v0.7
==============================================
Rootkit Unhooker kernel version: 3.8.342.554
==============================================
Windows Major Version: 6
Windows Minor Version: 0
Windows Build Number: 6001
==============================================
Unknown thread object [ ETHREAD 0x85E30578 ] TID: 628
Address: 0x85ECD1B0
Size: 592
Unknown thread object [ ETHREAD 0x85E31320 ] TID: 636
Address: 0x85F18790
Size: 592
Unknown thread object [ ETHREAD 0x85E99588 ] TID: 644
Address: 0x85F18FB0
Size: 592
Unknown page with executable code
Address: 0x85F17380
Size: 3200
Unknown page with executable code
Address: 0x85ED5966
Size: 1690
Unknown page with executable code
Address: 0x85ED00A5
Size: 3931
Unknown page with executable code
Address: 0x85ECE73E
Size: 2242
et enfin le dernier rapport(inquiétant celui ci) que j'ai récolté :
>SSDT State
NtCreateSection
Actual Address 0x9A929FE0
Hooked by: C:\Windows\system32\drivers\mbam.sys
>Shadow
>Processes
>Drivers
>Stealth
Unknown page with executable code
Address: 0x85ED5966
Size: 1690
Unknown page with executable code
Address: 0x85ECE73E
Size: 2242
Unknown page with executable code
Address: 0x85ECD3E5
Size: 3099
Unknown page with executable code
Address: 0x85F17380
Size: 3200
Unknown page with executable code
Address: 0x85ED00A5
Size: 3931
Unknown thread object [ ETHREAD 0x85E30578 ] TID: 628
Address: 0x85ECD1B0
Size: 592
Unknown thread object [ ETHREAD 0x85E31320 ] TID: 636
Address: 0x85F18790
Size: 592
Unknown thread object [ ETHREAD 0x85E99588 ] TID: 644
Address: 0x85F18FB0
Size: 592
>Hooks
ntoskrnl.exe+0x0006946A, Type: Inline - RelativeJump 0x828BA46A [ntoskrnl.exe]
ntoskrnl.exe+0x0006D9FC, Type: Inline - RelativeCall 0x828BE9FC [ntoskrnl.exe]
[1256]ekrn.exe-->kernel32.dll-->SetUnhandledExceptionFilter, Type: Inline - PushRet 0x761C6E2D [unknown_code_page]
!!POSSIBLE ROOTKIT ACTIVITY DETECTED!! =)
voila si je peux vous fournir d'autres précisions , n'hesitez pas et dites moi si je suis bon pour un formatage de ma partition vista ou si vous avez un remède indiqué pour ce problème.
merci pour votre aide
Ce message a été modifié par nittygritty - 29 avril 2009 - 14:10 .