Internet | Logiciels | Dépannages | Programmation | Réferencement | Télé-Assistance |
Accueil > Dépannages > MDGOLUMOFR.EXE, Rootkit ?

MDGOLUMOFR.EXE, Rootkit ?

J’ai trouvé ce matin sur le PC d’un client un programme au comportement suspect.

EMPLACEMENT

Ce programme se nomme « mdgolumofr.exe »
et se trouve dans le répertoire :
« C:\Documents and Settings\XXXXX\Local Settings\Application Data »
(ou XXXX représente le nom de l’utilisateur).

Il est accompagné par les fichiers suivants :

  • « mdgolumofr.dat »
  • « mdgolumofr_nav.dat »
  • « mdgolumofr_navps.dat »

DETECTION

En mode de fonctionnement normale, les fichiers ci-dessus sont invisibles dans le répertoire.

J’ai détecté ce programme grâce au programme « filemon » de SysInternals qui affiche tous les accès aux fichiers faits par les programmes.
Quand on lance « filemon » on voit que le processus « mdgolumofr.exe » fait des accés continu aux fichiers.

Or lorsque l’on regarde la liste des processus qui tournent, il n’apparait pas !

On l’aperçoit furtivement au démarrage de « procexp » (SysInternals) qui liste les processus actifs.
Au démarrage de « procexp » on voit le processus « mdgolumofr.exe » mais il disparait au rafraichissement d'affichage suivant.

SUPPRESSION

Pour arrêter le processus « mdgolumofr.exe », avec « procexp » j'ai procédé de la façon suivante:
Au démarrage de « procexp » appuyer immédiatement sur la touche espace , cela permet de figer l’affichage et de ne pas avoir de rafraichissement de l’affichage.
La on voit le processus « mdgolumofr.exe » et on peut le Killer avec un clic de droite.

Ensuite avec « autoruns » (SysInternals) qui liste tous les fichiers lancés au démarrage, on supprime la ligne qui lance le processus « mdgolumofr.exe ».
On redémarre le PC et la on peut voir le fichier « mdgolumofr.exe » dans le répertoire « C:\Documents and Settings\XXXXX\Local Settings\Application Data »
Il ne reste plus qu’a le supprimer.

QU'EST CE ?

A ce jour ce programme n'est pas reconnu comme virus (par NOD32 en tout cas).
Il n'est pas detecté par « RootkitReveal » (SysInternals).
Je ne sais pas quel est son but ni ses mefaits.
Une recherche sur Google avec le nom de « mdgolumofr » ne donne rien.

Tout ce que je sais, c'est qu'un processus qui prend du temps processeur et qui cache son existance n'est surement pas un "bon" processus. C'est plutot un comportement de RootKit...
Donc :  JE VIRE...

SI VOUS AVEZ DES INFOS SUR CE PROCESSUS LAISSEZ MOI UN MESSAGE CI-DESSOUS ! 

Auteur : Thierry R
 
  
 
Temps d'éxecution : 29.80 ms / 13 requettes SQL