Je voudrais bien comprendre...

Le
duss
Bonjour,

Hier une connaissance m'appelle pour me dire (ô surprise) que son
portable (de 2006) était vérolé et qu'il ne pouvait plus l'utiliser
correctement. Je me rends donc au chevet de la bête malade pour y
découvrir à première vue une infection par cette bouze de Security Tool
et accessoirement un Avast semi fonctionnel dont la dernière mise à jour
datait de février 2009

Démarrage normal, je constate avec procxp.exe la présence de plusieurs
processus étranges, inscrits également au démarrage de la machine,
normal me direz-vous. Les browsers ne se connectent plus, mais la
connection fonctionne (ping et nslookup).
Zou je redemarre en mode sans échec, où je ne constate aucun processus
indésirables. Je nettoie les entrées de démarrage avec autorun.exe, je
passe un coup de combofix (qui mets 3 plombes vu la lenteur de la
machine) qui nettoie une quinzaine de fichiers. Ensuite, toujours en
mode sans echec, un scan rapide (pas le temps de faire un long de Mbam
qu inettoie 6-7 entrées du registre qui n'ont pas l'air plus dangereuses
que ça.

On redémarre en mode normal, et ça s'annonce plutôt bien, les browsers
se connectent, plus de SecurityTool en vue. Plus de processus étranges
dans procxp.exe. Je désinstalle tant bien que mal ce qu'il rest d'Avast
et j'installe Antivir. Je procède à un petit nettoyage des processus au
démarrage (les 4 softs pour appareils photos, QT, Real, etc) qui
ralentissent bien sa machine. Reboot. Je fais deux-trois autres manips.
Re-Reboot.

Jusque la tout va bien!! Plus de traces évidentes d'une quelconque
cochonnerie. En partant je lance un scan complet de l'ordi avec Antivir
qui trouvera des reliquats dans les restaurations (que j'avais oublié de
contrôler).

Ce matin, cet ami rallume son ordi et BAM!! voila qu'antivir se déchaine
et mets une 20aine de fichiers en quarantaine, tous des drivers *.sys
dans system32/drivers. L'utilisateur m'affirme n'avoir pas touché à son
ordi depuis mon départ de la veille, juste eteinds après le scan AV et
rallumé ce matin.

Donc hier à 20h, fin du scan Antivir, pas de trace de ces *.sys
infectés. Mise en route de l'ordi ce matin apparition des cochonneries.
Direction formatage et reinstall.

Ma question est donc, où aurait pu se cacher cette saloperie? Je n'ai
pas eu le temps de passer gmer hier, ça pourrait être un rootkit?
Et surtout, avez vous des methodes, non pour désinfecter, mais pour
rapidement savoir si cela vaut le coup de désinfecter (comme dans pas
mal de cas simple, type Security Tool seul) où si il est préferable de
réinstaller? J'avoue que là, j'ai été complétement bernéet j'aurais
préféré ne pas perdre 2 heures hier pour une désinfection ratée. La
reinstall aurait été limite plus rapide (sans compter les transferts
aller retour des 70Go de données)

Merci
++
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jacquouille la Fripouille
Le #21252781
*Bonjour duss*
Tu as tapoté sur ton clavier le message suivant

Bonjour,



[...]

Ce matin, cet ami rallume son ordi et BAM!! voila qu'antivir se déchaine
et mets une 20aine de fichiers en quarantaine, tous des drivers *.sys
dans system32/drivers. L'utilisateur m'affirme n'avoir pas touché à son
ordi depuis mon départ de la veille, juste eteinds après le scan AV et
rallumé ce matin.

Donc hier à 20h, fin du scan Antivir, pas de trace de ces *.sys
infectés. Mise en route de l'ordi ce matin apparition des cochonneries.
Direction formatage et reinstall.

Ma question est donc, où aurait pu se cacher cette saloperie? Je n'ai
pas eu le temps de passer gmer hier, ça pourrait être un rootkit?
Et surtout, avez vous des methodes, non pour désinfecter, mais pour
rapidement savoir si cela vaut le coup de désinfecter (comme dans pas
mal de cas simple, type Security Tool seul) où si il est préferable de
réinstaller? J'avoue que là, j'ai été complétement berné...et j'aurais
préféré ne pas perdre 2 heures hier pour une désinfection ratée. La
reinstall aurait été limite plus rapide (sans compter les transferts
aller retour des 70Go de données)

Merci
++



Dans les points de resto antérieurs ?
--
Jacquouille la Fripouille
Périgord, meitat chen, meitat porc.
duss
Le #21253101
On 23/02/2010 15:31, Jacquouille la Fripouille wrote:
*Bonjour duss*
Tu as tapoté sur ton clavier le message suivant




Dans les points de resto antérieurs ?



A priori les points de restaurations ont été nettoyés par Antivir avant
l'apparition des nouvelles vermines.

Ce que j'aurais aimé trouver, c'est dans quel processus se cachait le(s)
virus, car l'examen des processus actifs (visibles par un process
explorer fiable) n'avait rien donné de flagrant, et AV n'y avait rien vu
non plus.
Qu'est ce qui a bien pu infecter tous ces fichiers *.sys qui ne
l'étaient pas hier soir....

++
Jo Kerr
Le #21253461
duss avait écrit le 23/02/2010 :
On 23/02/2010 15:31, Jacquouille la Fripouille wrote:
*Bonjour duss*
Tu as tapoté sur ton clavier le message suivant




Dans les points de resto antérieurs ?



A priori les points de restaurations ont été nettoyés par Antivir avant
l'apparition des nouvelles vermines.

Ce que j'aurais aimé trouver, c'est dans quel processus se cachait le(s)
virus, car l'examen des processus actifs (visibles par un process
explorer fiable) n'avait rien donné de flagrant, et AV n'y avait rien vu
non plus.
Qu'est ce qui a bien pu infecter tous ces fichiers *.sys qui ne
l'étaient pas hier soir....

++



Pour une infection multiple, le mieux AMHA est de reformater et
réinstaller la machine. Auparavant essayer de récupérer les documents
personnels (courriers, photos etc..) sur disque externe ou clé USB, de
préférence avec un CD de boot (linux ou Ultimate Boot CD).
Tout le reste n'est que perte de temps sans garantie de résultat.

--
In gold we trust (c)
Th.A.C
Le #21253701
Le 23/02/2010 16:31, duss a écrit :
On 23/02/2010 15:31, Jacquouille la Fripouille wrote:
*Bonjour duss*
Tu as tapoté sur ton clavier le message suivant




Dans les points de resto antérieurs ?



A priori les points de restaurations ont été nettoyés par Antivir avant
l'apparition des nouvelles vermines.

Ce que j'aurais aimé trouver, c'est dans quel processus se cachait le(s)
virus, car l'examen des processus actifs (visibles par un process
explorer fiable) n'avait rien donné de flagrant, et AV n'y avait rien vu
non plus.
Qu'est ce qui a bien pu infecter tous ces fichiers *.sys qui ne
l'étaient pas hier soir....

++



Il y a plein de possibilités.

Des virus pas encore détectés qui sont finalement détectés à la mise à
jour suivante d'antivir. Mais vu les symptomes, je pense plutot à ca:
Des virus cachés dans des .exe et compactés qu'antivir ne détecte que
quand ils se décompressent et s'installent.

Une connexion internet directe au lieu d'une connexion par un routeur et
des sécurités enlevées par les virus que tu avais nettoyé.

...

a noter que les .sys pouvaient n'être que des virus tout court, pas des
fichiers systèmes qui auraient été infectés.

Sinon, la version gratuite de DrWeb (cureit) m'a très souvent dépannée.
FMR
Le #21254221
Salut Duss,

cela vaut toujours le coup d'essayer d'autant plus que
tu peux le faire de chez toi sans te déplacer avec un
logiciel de prise à distance de l'ordinateur qui peut
même booter en mode sans échec sans intervention
de l'intervenant se trouvant en face.

Tu as fait des manips en mode sans échec mais
tu as conservé les points de restauration que je
supprime systématiquement quant à moi pour
éviter de perdre du temps...

Ma méthode est ici :
http://inforadio.free.fr

Menu "informatique"
puis "sécurité informatique"
puis "Méthode de désinfection"

J'ai déjà supprimé ce "SecurityTool" de plusieurs
configurations sans réapparition derrière.

Cordialement,
Ludovic.
I N F O R A D I O
Le #21254461
Salut Duss,

cela vaut toujours le coup d'essayer d'autant plus que
tu peux le faire de chez toi sans te déplacer avec un
logiciel de prise à distance de l'ordinateur qui peut
même booter en mode sans échec sans intervention
de l'intervenant se trouvant en face.

Tu as fait des manips en mode sans échec mais
tu as conservé les points de restauration que je
supprime systématiquement quant à moi pour
éviter de perdre du temps...

Ma méthode est ici :
http://inforadio.free.fr

Menu "informatique"
puis "sécurité informatique"
puis "Méthode de désinfection"

J'ai déjà supprimé ce "SecurityTool" de plusieurs
configurations sans réapparition derrière.

Cordialement,
Ludovic.
Az Sam
Le #21254621
"duss" 4b83e107$0$19552$


Ma question est donc, où aurait pu se cacher cette saloperie?



tres probablement dans la restauration qui aurait due etre supprimmee.
Mais un downloader etait peut etre encore là.


Je n'ai
pas eu le temps de passer gmer hier, ça pourrait être un rootkit?



vu le nombre de veroles et la probable duree de l'infection , tout est
possible


Et surtout, avez vous des methodes, non pour désinfecter, mais pour
rapidement savoir si cela vaut le coup de désinfecter (comme dans pas
mal de cas simple, type Security Tool seul) où si il est préferable de
réinstaller?



moi c'est une decision que je prend en fonction de multiples criteres y
compris la personnalite de l'utilisateur ;-)
Mais a partir du moment ou je trouve plusieures infections differentes (ca
depend aussi lesquelles) je m'oriente vers la solution finale..
Quand je vois que l'AV n'est plus à jour depuis plusieurs semaines et que je
sens que l'utilisateur "fait avec" depuis deja un moment, je n'hesite plus a
lui proposer...
Mais il faut aussi tenir compte de l'ensemble des soft qui seront a
reinstaller, de la disponibilite de l'utilisateur, de sa tendance a tester
un peu tout ou a avoir des comportements "a risques", tout comme de l'age de
l'installation (de son vecu donc) et de la presence d'une licence
authentique....
Je pense qu'il n'y a pas de recettes.


J'avoue que là, j'ai été complétement berné...et j'aurais
préféré ne pas perdre 2 heures hier pour une désinfection ratée. La
reinstall aurait été limite plus rapide (sans compter les transferts
aller retour des 70Go de données)



+ appli + drivers + mises a jour...
Il faut aussi et surtout penser a verifier les données persos sauvées
(notement les zip que Antivi par ex ne scanne pas par defaut tant qu'ils ne
sont pas decompressés) et ne pas hesiter a virer tout executable (dirvers ou
appli) retéléchargeables ;-)


--
Cordialement,
Az Sam.
duss
Le #21255141
On 23/02/2010 19:55, Az Sam wrote:

"duss" 4b83e107$0$19552$





Et surtout, avez vous des methodes, non pour désinfecter, mais pour
rapidement savoir si cela vaut le coup de désinfecter (comme dans pas
mal de cas simple, type Security Tool seul) où si il est préferable de
réinstaller?



moi c'est une decision que je prend en fonction de multiples criteres y
compris la personnalite de l'utilisateur ;-)



C'est la part psychologique de l'affaire... :-)

Mais a partir du moment ou je trouve plusieures infections differentes
(ca depend aussi lesquelles) je m'oriente vers la solution finale..
Quand je vois que l'AV n'est plus à jour depuis plusieurs semaines et
que je sens que l'utilisateur "fait avec" depuis deja un moment, je
n'hesite plus a lui proposer..



J'aurais du être alerté par tous ces signes...un avast mis à jour il y a
un an... et qui fonctionnait à moitié... Mazette où avais-je la tête...

Mais il faut aussi tenir compte de l'ensemble des soft qui seront a
reinstaller, de la disponibilite de l'utilisateur, de sa tendance a
tester un peu tout ou a avoir des comportements "a risques", tout comme
de l'age de l'installation (de son vecu donc) et de la presence d'une
licence authentique....



+1
Aussi le volume de données qu'il faut parfois transférer...sur des
machines pas toujours très performantes...


J'avoue que là, j'ai été complétement berné...et j'aurais
préféré ne pas perdre 2 heures hier pour une désinfection ratée. La
reinstall aurait été limite plus rapide (sans compter les transferts
aller retour des 70Go de données)



+ appli + drivers + mises a jour...
Il faut aussi et surtout penser a verifier les données persos sauvées
(notement les zip que Antivi par ex ne scanne pas par defaut tant qu'ils
ne sont pas decompressés) et ne pas hesiter a virer tout executable
(dirvers ou appli) retéléchargeables ;-)




Ca ça roule nickel, j'ai pris mes précautions comme d'hab, j'avoue que
la bête en avait finalement besoin, elle sera utilisée en bureautique
simple+videos+musique et sera débarrassée de +de 4 ans d'encrassement
divers, et elle aura des drivers plus frais.

Merci de tous ces bons conseils, j'y penserais la prochaine fois!!!

++
duss
Le #21255231
On 23/02/2010 17:50, Th.A.C wrote:
Le 23/02/2010 16:31, duss a écrit :
On 23/02/2010 15:31, Jacquouille la Fripouille wrote:
*Bonjour duss*
Tu as tapoté sur ton clavier le message suivant







Qu'est ce qui a bien pu infecter tous ces fichiers *.sys qui ne
l'étaient pas hier soir....

++



Il y a plein de possibilités.se



Malheureusement...


Des virus pas encore détectés qui sont finalement détectés à la mise à
jour suivante d'antivir. Mais vu les symptomes, je pense plutot à ca:
Des virus cachés dans des .exe et compactés qu'antivir ne détecte que
quand ils se décompressent et s'installent.




Possible en effet, ou bien une variante non détectée qui produit des
effets qui eux le sont après coup. J'avoue que ma science des nuisibles
astucieux s'arrête là. Je ne sais pas trop pourquoi je me suis embarqué
à penser que je pouvais contrôler l'affaire, alors que d'habitude je
n'hésite pas trop pour réinstaller. L'apparente facilité de certaines
désinfections m'a fait complètement oublier le niveau réel des attaques.



a noter que les .sys pouvaient n'être que des virus tout court, pas des
fichiers systèmes qui auraient été infectés.



J'avais vérifié 5 ou 6 noms de fichiers sur internet et ils étaient
légitimes. De mémoire, un dmusic.sys, un ncd ou mcd.sys et d'autres.

Sinon, la version gratuite de DrWeb (cureit) m'a très souvent dépannée.



Jamais essayé, j'y jetterais un oeil.

Merci
duss
Le #21255221
On 23/02/2010 19:03, I N F O R A D I O wrote:
[blah blah PUB blah blah]


VADE RETRO SATANAS !!!!
Publicité
Poster une réponse
Anonyme