[LOGICIEL] Localiser un fichier introuvable?

[floflo63]

Salut tout le monde,

En faisant mes scans hebdomadaires de mon PC, je suis tombé sur une bizarrerie : un fichier introuvable . Je m'explique : lors d'un scan antirootkit, Gmer me trouve dans System32/drivers un fichier sp**.sys (les * changent à chaque démarrage, d'où mon inquiétude en fait, il n'est pas signalé en rouge, mais c'est pas un comportement "normal") et m'indique que le fichier en question est introuvable. De fait, il l'est : invisible dans l'explorateur (y compris avec les fichiers cachés et de l'OS rendus visibles) mais invisible aussi dans l'onglet files de Gmer (pensais le trouver par là, raté). J'ai donc passé deux autres antirootkits à tout hasard (celui intégré à Antivir et celui du removal tool de Kaspersky), aucun ne détecte quoi que ce soit. Mais comme il change de nom à chaque démarrage du PC, je suppose qu'il doit bien exister quelque part ce fichier, et comme je ne vois pas trop d'où il vient, j'aimerais bien l'identifier, histoire de savoir ce que c'est...seulement pour ça, faudrait déjà que je mette la main dessus. Y-a-t-il un moyen de le localiser?

Bonne soirée et d'avance!

[Amour]

Il faudrait accéder au fichier depuis un LiveCD, il sera visible

Si c'est un rootkit, un driver permet de masquer le fichier, donc il suffit de démarrer depuis un autre OS, et le fichier apparaît.

[noisette]

Salut,

Teste avec Rootkit UnHooker: http://rapidshare.com/files/140970549/RkU3...41.553.rar.html

Il y a également Avast Anti-rootkit (basé sur Gmer) à tester, on ne sait jamais.

Enfin: Root Repeal, Icesword ou Safety Check pourront peut-être également faire l'affaire.

Bon courage

[floflo63]

Salut,

Merci de ces suggestions, j'ai enfin pu mettre la main dessus. L'approche Live CD ne semble pas fonctionner (testé avec Ubuntu, le fichier est inexistant, même avec les fichiers cachés rendus visibles, bizarre, serait-il créé au démarrage est supprimé à l'extinction? je n'ai pas d'entrée autostart cachée pourtant selon Gmer et Rootkit Unhooker...). Par contre Rootkit Unhooker le trouve (sans le signaler comme caché, quand même) , mais ne peut pas en faire grand chose semble-t-il (impossible de le copier par exemple). Bon, j'ai pu en faire un dump par contre, que je me suis empressé de donner à Virustotal, qui me sort ça :

Fichier Dumped2.sys reçu le 2008.12.08 19:24:01 (CET)
Antivirus	Version	Dernière mise à jour	Résultat
AhnLab-V3	2008.12.6.0	2008.12.06	-
AntiVir	7.9.0.43	2008.12.08	-
Authentium	5.1.0.4	2008.12.08	-
Avast	4.8.1281.0	2008.12.08	-
AVG	8.0.0.199	2008.12.07	-
BitDefender	7.2	2008.12.07	-
CAT-QuickHeal	10.00	2008.12.08	-
ClamAV	0.94.1	2008.12.07	-
Comodo	708	2008.12.08	-
DrWeb	4.44.0.09170	2008.12.08	-
eSafe	7.0.17.0	2008.12.08	Suspicious File
eTrust-Vet	31.6.6245	2008.12.05	-
Ewido	4.0	2008.12.07	-
F-Prot	4.4.4.56	2008.12.04	-
F-Secure	8.0.14332.0	2008.12.08	-
Fortinet	3.117.0.0	2008.12.07	-
GData	19	2008.12.07	-
Ikarus	T3.1.1.45.0	2008.12.08	-
K7AntiVirus	7.10.548	2008.12.08	-
Kaspersky	7.0.0.125	2008.12.07	-
McAfee	5456	2008.12.06	-
McAfee+Artemis	5456	2008.12.06	-
Microsoft	1.4205	2008.12.08	-
NOD32	3670	2008.12.08	-
Norman	5.80.02	2008.12.05	-
Panda	9.0.0.4	2008.12.07	-
PCTools	4.4.2.0	2008.12.08	-
Prevx1	V2	2008.12.08	-
Rising	21.07.02.00	2008.12.08	-
SecureWeb-Gateway	6.7.6	2008.12.08	Virus.Win32.FileInfector.gen (suspicious)
Sophos	4.36.0	2008.12.07	-
Sunbelt	3.1.1832.2	2008.12.01	VIPRE.Suspicious
Symantec	10	2008.12.07	-
TheHacker	6.3.1.2.179	2008.12.06	-
TrendMicro	8.700.0.1004	2008.12.08	-
VBA32	3.12.8.10	2008.12.07	-
ViRobot	2008.12.6.1504	2008.12.06	-
VirusBuster	4.5.11.0	2008.12.08	-

Information additionnelle
File size: 1048576 bytes

Du coup, comme ce ne sont que des détections génériques/heuristiques, je ne sais pas trop quoi en penser, je n'ai donc pas osé essayer de le supprimer (pas sûr d'y arriver d'ailleurs si je peux déjà pas le copier...il me semble cependant que VIPRE dispose d'un scan au boot, peut-être serait-ce efficace pour le supprimer). Par ailleurs, une recherche sur sp**.sys renvoie pas mal de posts parlant d'un tel fichier associé à Daemon Tools ou Alcohol 120% lancé par sptd.sys (c'est aussi le cas chez moi), rien de méchant donc sauf...que je n'ai jamais installé ni l'un ni l'autre (par contre j'ai installé Virtualbox il y a quelques temps quand je testais des Linux, serait-il venu avec?). Qu'en pensez-vous svp?

[snooky]

Qu'en pensez-vous svp?

Salut ,

pas d'inquiétude à avoir ... il s'agit d'un fichier légitime.

Fait une capture d'écran de Autoruns, onglet Drivers ( vise ma signature ) qui montre ce fichier .

PS : pense à élargir les colonnes avant la capture .

[floflo63]

Salut snooky,

S'il est légitime, c'est rassurant. Ceci dit, Autoruns (lancé avec les droits admin ou sans, testé les 3 user proposés) ne le trouve pas... Voici une capture d'écran d'Autoruns :

Avec Rootkit Unhooker, j'ai ça (lui le voit bien ce fichier, je l'ai d'ailleurs sélectionné) :

Pour du légitime, je trouve ça bizarre qu'Autoruns ne le voie pas... On dirait une copie de sptd.sys (même taille)...vraiment bizarre ce truc. Tu en penses quoi stp?

[floflo63]

Je me permets un petit histoire que ce sujet ne se retrouve pas enterré trop loin vu qu'il n'est pas encore résolu. Si quelqu'un a une idée je suis donc preneur, ne sachant trop ce qu'est et que faire de ce satané fichier, et

[2C.LiryC]

Bonsoir,

Juste une question en passant, Vista 32 ou 64bit ?

[floflo63]

Salut 2C.LiryC,

Je suis sous Vista 32 bits, n'ayant que 3Go de RAM.