Rootkit ?

Le
Williamhoustra
Salut la docte assemblée.

Bien que ce soit de la virologie je pose la question ici car sur le forum
fr.comp.security.virus il n'y a que des branleurs qui règlent leurs comptes
entre eux.

Voila le problème : infection majeure d'un Windows XP + SP3 à jour de ses
MAJ de sécurité avec Symantec Antivirus Corporate à l'affut. Ce qui n'a pas
empêcher un soft pourri d'infecter le bourrin. Nettoyage (en plus avec
Malewarebytes) mais il reste des choses

En particulier un trafic sur Internet dont je suis infichu de voir d'où il
provient (CurrPorts me dit qu'aucune connexion est ouverte) et je ne peux
pas savoir tout ce qui se cache derrière la mégachiée de processus actifs.
Un rootkit je présume ?

Rien n'est dramatique au sens où je peux reformater et redescendre une
sauvegarde Acronis système et programmes en 10 mn, mais quand même,
j'aimerais bien savoir ce qui est embusqué dans mon cas.

Si un virologue érudit pouvait me tuyauter (mais, par pitié, PAS les
rapports Hickjackthis de 1 km de long auquel personne n'y comprend rien, le
but est de comprendre, sinon la thérapie bête existe formatage et redescente
de sauvegarde).
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le Gaulois
Le #22117261
Williamhoustra a écrit :

Bien que ce soit de la virologie je pose la question ici car sur le forum
fr.comp.security.virus il n'y a que des branleurs qui règlent leurs comptes
entre eux.

Voila le problème : infection majeure d'un Windows XP + SP3 à jour de ses
MAJ de sécurité avec Symantec Antivirus Corporate à l'affut. Ce qui n'a pas
empêcher un soft pourri d'infecter le bourrin. Nettoyage (en plus avec
Malewarebytes) mais il reste des choses...

En particulier un trafic sur Internet dont je suis infichu de voir d'où il
provient (CurrPorts me dit qu'aucune connexion est ouverte) et je ne peux
pas savoir tout ce qui se cache derrière la mégachiée de processus actifs.
Un rootkit je présume ?

Rien n'est dramatique au sens où je peux reformater et redescendre une
sauvegarde Acronis système et programmes en 10 mn, mais quand même,
j'aimerais bien savoir ce qui est embusqué dans mon cas.

Si un virologue érudit pouvait me tuyauter (mais, par pitié, PAS les
rapports Hickjackthis de 1 km de long auquel personne n'y comprend rien, le
but est de comprendre, sinon la thérapie bête existe formatage et redescente
de sauvegarde).



Pour désinfecter, je trouve intéresssant d'utiliser un antivirus
fonctionnant depuis un CD amorçable. J'avais acheté un portable
d'occasion qui en avait quelques uns, donc certains utilisaient
des mécanismes de Windows pour se protéger, comme s'ils étaient des
éléments essentiels de Windows. J'ai dû en venir à bout avec
le CD BitDefender.

Depuis j'ai trouvé une solution intéressante : Sardu
C'est un logiciel qui permet de télécharger toute une
collection d'antivirus et d'utilitaires, chacun sous forme
d'image ISO, et de génerer un menu et une grosse image ISO
de CD ou de DVD qui contient le tout. Il n'y a plus qu'à
graver avec son programme usuel de gravure.
On est pas obligé de tout télécharger, on choisit.

Seule remarque, il ne faut pas changer les noms des fichiers
téléchargés.


http://www.sarducd.it/

ou

http://www.infos-du-net.com/telecharger/Shardana-Antivirus-Rescue-Disk-Utility,0301-27837.html
Eric Demeester
Le #22117701
dans (in) fr.comp.os.ms-windows, "Williamhoustra"

Bonsoir,

Bien que ce soit de la virologie je pose la question ici car sur le forum
fr.comp.security.virus il n'y a que des branleurs qui règlent leurs comptes
entre eux.



Il y a aussi des gens compétents sur fr.comp.securite.virus, mais
effectivement, les guéguerres entre Ludo (qui est un crétin incompétent
notoire mais là n'est pas le propos) et les autres sont un peu
lassantes.

Voila le problème : infection majeure d'un Windows XP + SP3 à jour de ses
MAJ de sécurité avec Symantec Antivirus Corporate à l'affut. Ce qui n'a pas
empêcher un soft pourri d'infecter le bourrin. Nettoyage (en plus avec
Malewarebytes) mais il reste des choses...



MalewareBytes est pourtant souvent très efficace si on respecte bien la
procédure d'utilisation, à savoir :

- télécharger la dernière version ;
- télécharger les dernières mises à jour de la base de virus et autres
cochoncetés ;
- rebooter en mode sans échec SANS prise en charge du réseau ;
- lancer MalwareBytes ;
- tuer toutes les cochonneries détectées ;
- rebooter en mode normal.

Si tout ou partie des problèmes persiste (c'est rare mais ça arrive), on
peut en remettre une couche en bootant sur un cd sous Linux contenant un
antivirus à jour. Je conseille celui là :

http://www.free-av.com/fr/outils/12/avira_antivir_rescue_system.html

Si un virologue érudit pouvait me tuyauter (mais, par pitié, PAS les
rapports Hickjackthis de 1 km de long auquel personne n'y comprend rien, le
but est de comprendre, sinon la thérapie bête existe formatage et redescente
de sauvegarde).



Les rapports Hickjackthis sont certes difficiles à lire, mais donnent de
précieux renseignements quand on sait les interpréter (ce qui n'est pas
mon cas, je ne suis pas spécialiste en sécurité Windows).

Si les solutions empiriques que je préconise ci-dessus ne fonctionnent
pas (à ce jour elles ont toujours été efficaces pour ce qui me concerne
mais...), envoyer un rapport Hickjackthis à des personnes compétentes
peut aider à résoudre le problème de façon moins irrémédiable que le
formatage du disque (avec les pertes de données et de configuration si
on n'a pas de sauvegarde).

A priori, sur http://www.malekal.com/, on peut obtenir gratuitement ce
genre d'aide.

Bon courage.

--
Eric
Williamhoustra
Le #22117801
"Le Gaulois"

Pour désinfecter, je trouve intéresssant d'utiliser un antivirus
fonctionnant depuis un CD amorçable. J'avais acheté un portable
d'occasion qui en avait quelques uns, donc certains utilisaient
des mécanismes de Windows pour se protéger, comme s'ils étaient des
éléments essentiels de Windows. J'ai dû en venir à bout avec
le CD BitDefender.

Depuis j'ai trouvé une solution intéressante : Sardu
C'est un logiciel qui permet de télécharger toute une
collection d'antivirus et d'utilitaires, chacun sous forme
d'image ISO, et de génerer un menu et une grosse image ISO
de CD ou de DVD qui contient le tout. Il n'y a plus qu'à
graver avec son programme usuel de gravure.
On est pas obligé de tout télécharger, on choisit.

Seule remarque, il ne faut pas changer les noms des fichiers
téléchargés.


http://www.sarducd.it/

ou

http://www.infos-du-net.com/telecharger/Shardana-Antivirus-Rescue-Disk-Utility,0301-27837.html



Merci, je vais essayer ça. J'ai tenté d'utiliser le rootkit revealer de
Sysinternals. Je me suis trouvé devant une belle liste absconse de trucs
retenus, sans que je puisse faire quoi que ce soit d'autre que la regarder
(si, la sauvegarder) et mettant, en particulier, des dossiers totalement
invisibles de l'explorateur Windows (même en mettant fichiers système et
fichiers cachés). Ca m'a fait une belle jambe galbée ce genre d'utilitaire.
Dans l'immédiat ça va être la commande format (idéale pour tous les
malwares) et redescente de la sauvegarde fraîche et pimpante.
Sergio
Le #22117921
Le 14/05/2010 17:12, Le Gaulois a écrit :

Pour désinfecter, je trouve intéresssant d'utiliser un antivirus
fonctionnant depuis un CD amorçable.



+1

J'avais acheté un portable
d'occasion qui en avait quelques uns, donc certains utilisaient
des mécanismes de Windows pour se protéger, comme s'ils étaient des
éléments essentiels de Windows. J'ai dû en venir à bout avec
le CD BitDefender.



J'ai aussi le CD d'Avira... Bon, un seul antivirus, certes... Il peut se mettre à jour "en ligne" (donc on peut se le garder dans sa
boîte d'urgence et le mettre à jour sur le tas).

http://www.free-av.com/en/tools/12/avira_antivir_rescue_system.html


--
Serge http://leserged.online.fr/
Mon blog: http://cahierdesergio.free.fr/
Soutenez le libre: http://www.framasoft.org
Lou Ravi
Le #22118081
Williamhoustra wrote:
Salut la docte assemblée.

Bien que ce soit de la virologie je pose la question ici car sur le
forum fr.comp.security.virus il n'y a que des branleurs qui règlent
leurs comptes entre eux.

Voila le problème : infection majeure d'un Windows XP + SP3 à jour de
ses MAJ de sécurité avec Symantec Antivirus Corporate à l'affut. Ce
qui n'a pas empêcher un soft pourri d'infecter le bourrin. Nettoyage
(en plus avec Malewarebytes) mais il reste des choses...

En particulier un trafic sur Internet dont je suis infichu de voir
d'où il provient (CurrPorts me dit qu'aucune connexion est ouverte)
et je ne peux pas savoir tout ce qui se cache derrière la mégachiée
de processus actifs. Un rootkit je présume ?



Zone Alarm (la version gratuite) te dira d'où vien les intrusions et
t'offrira plus de protection de pare-feu que Windows (et, ça neétonnerais
pas, plus que les merdiers Symantec).
Williamhoustra
Le #22118261
"Lou Ravi" 4bed8ee8$0$27572$

Zone Alarm (la version gratuite) te dira d'où vien les intrusions et
t'offrira plus de protection de pare-feu que Windows (et, ça neétonnerais
pas, plus que les merdiers Symantec).


Les vacheries ne sont pas venues toutes seules, il est vrai. Surtout
quand on est derrière un routeur. J'ai fait entrer le loup dans la bergerie.
A savoir une version de PCAnywhere 12.5 Multi dont je voulais voir son
utilisation pratique (compte-tenu qu'il y a des "bureaux à distance" est-ce
un plus ?). Bien que mon Symantec antivirus corporate a poussé des cris, la
mal était fait. Rien de grave, ce Windows est un "bac à sable" sur un PC
destiné à télécharger des trucs et des machins. En cas de pépin je
redescends la sauvegarde dudit Windows avec les programmes qu'il utilise. Ca
se fait en 10 mn.

Mais la considération est plus générale. J'observe après un temps d'arrêt
de mes activités informatiques de près de deux ans où j'ai été vadrouiller
en Amérique du sud que ce qui est posté chez les joyeux pirates des news
binaires devient un ramassis de malwares là où il n'y avait, tout au plus,
qu'un faux positif heuristique sur un keygen. On imagine les dégâts que
causerait un logiciel comme PCAnywhere, bourré de vacheries dont des
rootkits dans un réseau d'entreprise. Sachant que ce même logiciel a été
posté à 15 jours d'intervalle sous différentes formes par différents
posteurs (tout au moins par le label) dans tout un tas de forum binaires et
ce depuis plusieurs mois on peut se poser une question : Qui est derrière ?
Assurément pas des ados farceurs. A qui profite le crime ? Sûrement pas aux
éditeurs car, sans le dire tout haut, ils aiment bien que des informaticiens
bidouilleurs récupèrent leurs logiciels à titre personnel, apprennent à s'en
servir et en disent le plus grand bien quand il s'agit de l'acheter en usage
pro.
Williamhoustra
Le #22118251
"Eric Demeester"

Voila le problème : infection majeure d'un Windows XP + SP3 à jour de ses
MAJ de sécurité avec Symantec Antivirus Corporate à l'affut. Ce qui n'a
pas
empêcher un soft pourri d'infecter le bourrin. Nettoyage (en plus avec
Malewarebytes) mais il reste des choses...



MalewareBytes est pourtant souvent très efficace si on respecte bien la
procédure d'utilisation, à savoir :

- télécharger la dernière version ;
- télécharger les dernières mises à jour de la base de virus et autres
cochoncetés ;
- rebooter en mode sans échec SANS prise en charge du réseau ;
- lancer MalwareBytes ;
- tuer toutes les cochonneries détectées ;
- rebooter en mode normal.



Oui ! J'ai fait tout ça ! En ayant même lancé RKill avant qui est un
petit utilitaire qui tue les vilains processus pour laisser le champ libre à
MalwareBytes. Il m'a trouvé et éradiqué une dizaine de vacheries.

Si tout ou partie des problèmes persiste (c'est rare mais ça arrive), on
peut en remettre une couche en bootant sur un cd sous Linux contenant un
antivirus à jour. Je conseille celui là :

http://www.free-av.com/fr/outils/12/avira_antivir_rescue_system.html



Effectivement c'est là où je me suis aperçu que ça trafiquait ferme sur
la connexion Internet (diodes) alors que CurrPorts ne voyait aucun port
ouvert. Rootkit ! me suis-je dit dans ma petite tête de pensif penseur.

Je vais engranger ces CD boutables et je les testerais la prochaine fois.
Là il faut que je fasse le ménage.

Merci pour ces bons conseils.
bsch
Le #22118721
Williamhoustra nous a raconté
(news:4bed98d2$0$6670$) :

Bonjour / Bonsoir
(rayer la mention inutile)

ce Windows est un "bac à sable" sur un PC destiné à
télécharger des trucs et des machins. En cas de pépin je
redescends la sauvegarde dudit Windows avec les programmes qu'il
utilise. Ca se fait en 10 mn.



Et pourquoi pas une carte watchdog ? Ca coûte quelques roros à HK, et
c'est d'une efficacité absolue, en respectant quelques impératifs
simples (nettement séparer la zone 'à risque' des progs et des fichiers
appelés à changer 'légalement'). Plus jamais de sauvegarde à descendre,
toutes les modifs sont virtuelles (possibilité de passer outre, pour
installer un nouveau prog par exemple)

Des années de visites régulières des groupes pabos, pas un seul
problème, malgré l'énorme quantité de sal*ries postées depuis 2 ans sur
tous les groupes contenant 'w*z' dans leur nom, et depuis quelques mois
sur les autres, préservés jusqu'à il y a peu.


ce qui est posté chez les joyeux pirates des news binaires devient un
ramassis de malwares là où il n'y avait, tout au plus, qu'un faux
positif heuristique sur un keygen.



Tout à fait. Et il suffit de voir le débit d'upload des posteurs de
m*rdes pour se rendre compte que ce n'est pas du tout la ligne adsl du
pékin quelconque qui en est à l'origine. J'ai mesuré plus de 1
Go/seconde. Et ça tourne 24/24 sur de nombreux groupes.


--
Amicalement

Bernard
Williamhoustra
Le #22120351
"bsch"
Williamhoustra nous a raconté
(news:4bed98d2$0$6670$) :

Bonjour / Bonsoir
(rayer la mention inutile)

ce Windows est un "bac à sable" sur un PC destiné à
télécharger des trucs et des machins. En cas de pépin je
redescends la sauvegarde dudit Windows avec les programmes qu'il
utilise. Ca se fait en 10 mn.



Et pourquoi pas une carte watchdog ? Ca coûte quelques roros à HK, et
c'est d'une efficacité absolue, en respectant quelques impératifs
simples (nettement séparer la zone 'à risque' des progs et des fichiers
appelés à changer 'légalement'). Plus jamais de sauvegarde à descendre,
toutes les modifs sont virtuelles (possibilité de passer outre, pour
installer un nouveau prog par exemple)

Des années de visites régulières des groupes pabos, pas un seul
problème, malgré l'énorme quantité de sal*ries postées depuis 2 ans sur
tous les groupes contenant 'w*z' dans leur nom, et depuis quelques mois
sur les autres, préservés jusqu'à il y a peu.



Je vais me renseigner. Ceci dit la technique est au point : la partition
système et programmes en sauvegarde sur mon serveur. Un CD Acronis pour la
redescendre et le tour est joué.
Ascadix
Le #22125711
Williamhoustra avait écrit le 14/05/2010 :
Salut la docte assemblée.

Bien que ce soit de la virologie je pose la question ici car sur le forum
fr.comp.security.virus il n'y a que des branleurs qui règlent leurs comptes
entre eux.

Voila le problème : infection majeure d'un Windows XP + SP3 à jour de ses MAJ
de sécurité avec Symantec Antivirus Corporate à l'affut. Ce qui n'a pas
empêcher un soft pourri d'infecter le bourrin. Nettoyage (en plus avec
Malewarebytes) mais il reste des choses...



Ben évidement, sans protection antivirus, ça aide pas.

En particulier un trafic sur Internet dont je suis infichu de voir d'où il
provient (CurrPorts me dit qu'aucune connexion est ouverte) et je ne peux pas
savoir tout ce qui se cache derrière la mégachiée de processus actifs. Un
rootkit je présume ?



Ya des chances

Si tu veut jouer, t'as déjà le Network Monitor de chez MS, il te donne
une visu du traffic / par process, ça peut déjà aider avec un certain
nnombre de machin-truc-pas-bo.


Rien n'est dramatique au sens où je peux reformater et redescendre une
sauvegarde Acronis système et programmes en 10 mn, mais quand même,
j'aimerais bien savoir ce qui est embusqué dans mon cas.



RootKitRevealer de SysInternals/MS est déjà un début

Ensuite, faut décortiquerses résulatts, notament en allant voir le DD
sasn booter dessus ( un p'tit CD Bootable BartPE ça aide bien )

Tu peut ensuite passer qq AV sur le DD sans avoir booter dessus,
persio, je commence toujorsu avec SYSCLEAN de chez Trend, ça reste une
valeur sur, trés simple mais efficace.

Si un virologue érudit pouvait me tuyauter (mais, par pitié, PAS les rapports
Hickjackthis de 1 km de long auquel personne n'y comprend rien, le but est de
comprendre, sinon la thérapie bête existe formatage et redescente de
sauvegarde).



--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça
arrive.
Publicité
Poster une réponse
Anonyme