backdoor.prorat

bonjour,
mon ordi est infecté par backdoor.prorat
norton le détecte mais ne le supprime pas.
j'ai telechargé "A2" , mais il ne trouve rien.
norton le detecte dans le fichier C:WINDOWSSystem32wininv.dll
puis-je le supprimer sans risque?

Si tu as Norton 2004 regarde dans le Rapport dans "Alerte concernant
les menaces" tu as un lien direct sur la page de la bestiole et le
traitement.

"Frederic Bonroy" écriva...

Jeuf wrote:

Pour supprimer un trojan, soit démarrer en mode sans échec de façon à
ce

qu'il ne soit pas lancé au démarrage, soit le terminer avec le task
Manager

avant de pouvoir le supprimer, soit le supprimer en ligne de commande :
"RD

/S /Q chemindossier" .

....Soit tout simplement le supprimer dans une des 5 clés Run, RunOnce
et

RunServices de la BdR, et dans le menu Démarrage ;-)

Vous connaissez les bêtes qui vérifient régulièrement que ces clés n'ont
pas été supprimées?

Oui, et elles sont lancées comment, ces bêtes ?
Elles se réveillent d'un coup comme ça ?

Bonroy, je te vois beaucoup critiquer (tout le temps de manière stupide, et
très souvent sans fondement, comme ce coup-là) mais je ne te vois pas
beaucoup aider.

--------------------------------------------------------------
JFV - Quand les cons voleront, Bonroy sera chef d'escadrille
--------------------------------------------------------------

"JacK" écriva...

Jeuf <jfv@fr.fm> signalait:

Exact. Je rectifie donc : ma méthode ne fonctionne qu'à 80%.
C'est en effet le pourcentage de FAT32 sous XP.

Marrant, j'ai plutôt le pourcentage inverse en tête ;)

Le pourcentage tend à s'inverser, mais c'est celui que je rencontre chez les
particuliers.

Il est vrai que presque tous mes clients font un usage professionnel
Quant je passe chez quelqu'un qui est
en FAT 32, je lui explique le fonctionnement de
CONVERT CONVERT x: /FS:NTFS

Moi je suis un peu plus bourrin : je lui demande s'il risque d'utiliser son
DD sur un pc plus ancien (sous win9x). Si ce n'est pas le cas, je convertis
aussitôt ;-)

------------------
JFV - Bourrin
------------------

Salut,

Jeuf:

Vous connaissez les bêtes qui vérifient régulièrement que ces
clés n'ont pas été supprimées?

Oui, et elles sont lancées comment, ces bêtes ?

Tu ne veux pas comprendre que ces bêtes sont *déjà* lancées.

Dans la cas d'une bestiole qui se lance depuis des clefs Run, ça
ne pose pas de problème, puisqu'elles sont ignorées en mode sans
échec. Mais les bestioles coriaces ont plus d'un tour dans leur
sac:
<http://www.lacave.net/~jokeuse/usenet/demarrage.html>

--
joke0

Jeuf wrote:

qu'il ne soit pas lancé au démarrage, soit le terminer avec le task
Manager

avant de pouvoir le supprimer, soit le supprimer en ligne de commande :
"RD

/S /Q chemindossier" .

....Soit tout simplement le supprimer dans une des 5 clés Run, RunOnce
et

RunServices de la BdR, et dans le menu Démarrage ;-)

Vous connaissez les bêtes qui vérifient régulièrement que ces clés n'ont
pas été supprimées?

Oui, et elles sont lancées comment, ces bêtes ?
Elles se réveillent d'un coup comme ça ?

Elles sont *déjà* lancées. Lorsqu'elles sont actives, elles vérifient si
la clé de la base de registre correspondante existe encore pour la
recréer en cas de besoin. Donc simplement supprimer cette clé pour
éviter le lancement de la bête lors du prochain redémarrage ne sert à rien.

Exemple:
http://www.bitdefender.com/bd/site/virusinfo.php?menu_id=1&v_id3

"Then, after the replication into the user system directory, it adds the
following registry key:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunsystem =
"c:windowssystemlsass.exe"

[...]

Also, the instances periodically check to see if the registry key is
present, and if it's not they recreate it."



L'ignorance pourtant déjà légendaire de Jeuf ne cesse de s'accroître.

salut..
toujours infecté..
quand je tape regsvr32/u winwinv.dll dans executer, il me reponds qu'il ne
trouve pas regsvr32... !
au secours !

"joke0" <joke0@tiscali.fr> a écrit dans le message de
news:XnF951626DDEBB7joke0@127.0.0.1...

Salut,

JacK:

En ligne de commande : Regsvr32 [/u] wininv.dll et ensuite
l'autre

Oui, on peut essayer!

Faire Exécuter > Démarrer, puis:
regsvr32 /u wininv.dll
regsvr32 /u winkey.dll

Si ça ne fonctionne pas, alors réutiliser le tueur de process,
et "killer" winlogon.exe (celui dans lequel les dll sont injectées).

XP devrait passer un moment difficile, mais j'ai bien peur qu'il ne
faille passer par là. Normalement il faudra arrêter le PC à
l'arrache (en retirant la prise).

--
joke0

plus exactement "le point d'entrée est introuvable"

"joke0" <joke0@tiscali.fr> a écrit dans le message de
news:XnF951626DDEBB7joke0@127.0.0.1...

Salut,

JacK:

En ligne de commande : Regsvr32 [/u] wininv.dll et ensuite
l'autre

Oui, on peut essayer!

Faire Exécuter > Démarrer, puis:
regsvr32 /u wininv.dll
regsvr32 /u winkey.dll

Si ça ne fonctionne pas, alors réutiliser le tueur de process,
et "killer" winlogon.exe (celui dans lequel les dll sont injectées).

XP devrait passer un moment difficile, mais j'ai bien peur qu'il ne
faille passer par là. Normalement il faudra arrêter le PC à
l'arrache (en retirant la prise).

--
joke0

"Jeuf" <jfv@fr.fm> wrote in message
news:cbn6ue$3ua$1@news-reader3.wanadoo.fr...

"JacK" écriva...

Jeuf <jfv@fr.fm> signalait:

Essaye ma méthode, et tu verras qu'elle fonctionne à 100%.

Hi Jeuf,

En principe, si on a un tant soi peu de bon sens, on est sous NTFS avec
un

système NT donc, pas accès aux partitions NTFS en bootant sur une
disquette.

Exact. Je rectifie donc : ma méthode ne fonctionne qu'à 80%.
C'est en effet le pourcentage de FAT32 sous XP.

Ta méthode ne peut
donc fonctionner que si WinXP est sur une partion FAT32 ce qui est
ridicule

point de vue sécurité.

C'est vrai. Le seul cas intéressant de rouler sous FAT32 est la
compatibilité du DD avec les systèmes précédents.

Pour supprimer un trojan, soit démarrer en mode sans échec de façon à ce
qu'il ne soit pas lancé au démarrage, soit le terminer avec le task
Manager

avant de pouvoir le supprimer, soit le supprimer en ligne de commande :
"RD

/S /Q chemindossier" .

...Soit tout simplement le supprimer dans une des 5 clés Run, RunOnce et
RunServices de la BdR, et dans le menu Démarrage ;-)

[OT] Marrant que tu te trouves chaque fois agressé quand tu donnes un
tip

erroné, ça arrive à tout le monde ;)

:-) Le pauvre Bruno n'a toujours pas essayé ce que je suggérais, à cause
d'une réponse bête à bouffer du foin (pas la peine de la recopier ici,
hein). Et il n'a toujours pas essayé ma méthode, qui prend deux minutes.
Et c'est vrai que je réagis bêtement aux attaques bêtes ;-)

Hello,

Je crois que Jeuf est complétement stupide depuis le début qu'il est
intervenu sur ce forum......
Une disquette de démarrage DOS avec du NTFS, décidément il est vraiment
crétin !!!
Suis les conseils de Joke , il te dépannera sans problème.
a+

"joke0" et Bonroy disèrent en choeur...

Jeuf:

Vous connaissez les bêtes qui vérifient régulièrement que ces
clés n'ont pas été supprimées?

Oui, et elles sont lancées comment, ces bêtes ?

Tu ne veux pas comprendre que ces bêtes sont *déjà* lancées.

Ah, ça y est, j'ai tout compris.
Même quand mon PC est éteint, ces bêtes sont lancées.
C'est pour ça que quand j'allume mon PC, elles sont *déjà* lancées ;-)

Allez, je ne veux pas être hautain, sur ce coup, mais comme vous dites, le
traitement des virus n'est pas si simple.
Et pour couper court, je reconnaîs humblement que je ne connaîs pas tout ni
sur ouin-ouin, ni sur les virus, loin de là.

Mais essayez de comprendre qu'un programme, quel qu'il soit , DOIT être
lancé lorsqu'on allume le PC.
Il y a plusieurs manières :
1 - Le lancement direct, par Démarrer/Programmes/Démarrage
ou par les fameuses clés RUN
1 bis - Le lancement par des clés annexes de la BdR (je ne parle pas de PC
en réseau avec serveur, hein)
2 - Le lancement "à la main", en double-cliquant sur un exe, un com, etc...
3 - Le lancement indirect, dans ce cas c'est un autre programme qui s'en
charge.
Les anti-virus ont un algorythme qui leur permet de repérer les programmes
1, 1 bis, et les programmes 3 contaminés.
En prime, ils intègrent maintenant pratiquement tous une table de
définitions qui inclut les trojans et autres worms.
Leur petit problème : ils laissent échapper certains programmes générés par
les virus polymorphes qui créent le nom "à la volée", et ils n'arrivent pas
toujours à supprimer des processus actifs.
Pour être actifs (non effaçables car lancés, et apparaissant donc en général
dans la liste des processus en cours), ils DOIVENT être lancés.
Si vous connaissez leur nom, ils sont effaçables facilement, car ils se
trouvent FORCEMENT dans une des clés 1 de la base de registres ou dans le
menu Démarrer/Démarrage.
La méthode que vous préconisez très souvent ("<copié> Démarrer, appuyer sur
F8, ...") supprime le fichier, mais ne supprime pas la clé de la base de
registres.
Ceci ralentit le processus de démarrage, car le fichier est recherché par
ouin-ouin, même s'il n'existe plus.
C'est pourquoi je dis et je maintiens qu'un prog non supprimé par
l'anti-virus peut l'être immédiatement si on passe par les 5 clés de la BdR
"Run et dérivés", une fois le scan anti-virus fait (et un ou deux reboot...)

Voilà.
Comme je l'ai dit, je ne cherche pas à polémiquer sur ce coup, mais
j'accepte les preuves du contraire.

Dans la cas d'une bestiole qui se lance depuis des clefs Run, ça
ne pose pas de problème, puisqu'elles sont ignorées en mode sans
échec. Mais les bestioles coriaces ont plus d'un tour dans leur
sac:
<http://www.lacave.net/~jokeuse/usenet/demarrage.html>

J'ai lu cette page avec attention, tu penses bien.
Elle est *légèrement* alarmiste, car elle fait l'amalgame entre win9x et
winNT/XP/2k
(Il n'est pas juste de parler des fichiers autoexec.bat, win.ini, system.ini
etc. sans dire que XP n'en a rien à battre pour les virus)
Et surtout, elle ne tient pas compte des anti-virus.
Je n'ai JAMAIS vu un fichier ayant résisté à un anti-virus se lancer
ailleurs que dans les clés RUN ou le menu Démarrage, à condition bien sûr
que les mises à jour aient été faites.

Tout cela étant dit, j'aimerais assez que l'assistance publique teste
Sysclean de TrendMicro : j'ai l'mpression (en tout cas, ça n'a jamais été
démenti avec moi) qu'il remplace efficacement le copier-coller que je lis
souvent dans ce group ("<copié> Démarrer le PC, appuyer sur F8 pour démarrer
en mode sans échec" etc...)
Un p'tit chargement de 1 Mo + 5 Mo suivi d'un p'tit double-click est plus
confortable, non ?
Sysclean se trouve en faisant une recherche sur google.fr, mots-clés
trendmicro sysclean, bouton "j'ai de la chance".
Aller ensuite dans le bas de la page, section "if you are not a trendmicro
customer", cliquer sur "Sysclean Package" et ne pas oublier de cliquer aussi
sur Patern, un peu plus bas.
Décompresser tout ce petit monde dans un même répertoire et double-cliquer
sur tsc.exe.
J'apprécierais vos commentaires, et je pense que les lecteurs du group
aussi.

-----------------------------
JFV - Institut de sondage
-----------------------------

"Charly" est un petit.

Je crois que Jeuf est complétement stupide depuis le début qu'il est
intervenu sur ce forum......
Une disquette de démarrage DOS avec du NTFS, décidément il est vraiment
crétin !!!

Un newsgroup est un espace public, fréquenté surtout par des particuliers.
Hors ceux-ci sont pratiquement tous sous FAT32, même s'ils sont sous XP.

Suis les conseils de Joke , il te dépannera sans problème.

Bien sûr, il finira par y arriver, joke n'est pas si con quand il veut aider
les autres ;-)
Mais si je connaîs des méthodes BEAUCOUP plus rapides et simples, j'essaye
d'en faire profiter les autres.
Et toi ?
Un très bon ami écrit dans sa signature : "la connaissance s'accroît quand
on la partage".
J'essaye d'accroître mes connaissances.
Et toi ?
Mais comme je suis bon avec toi, je vais t'apprendre qu'on peut très bien
créer une disquette de démarrage DOS avec un disque dur en NTFS:
http://support.microsoft.com/default.aspx?scid=kb;FR;119467
http://perso.wanadoo.fr/infoasm/Trucs/Disquette%20NTFS-FAT.htm

Alors, c'est qui le stupide ? C'est qui le crétin ?
Chez Usinor, on ne t'a pas appris à fermer ta gueuele quand tu ne savais pas
?
Je t'explique : la FAT est sur la disquette, la NTFS est sur le disque dur,
et tu peux même avoir un autre disque dur en FAT16 si ça t'amuse, ou en
ext2fs et y accéder (http://www.01net.com/article/157755.html), ou en ce que
tu veux.

-----------------------------------------------------------
JFV - Quand les crétins voleront, on ne verra plus le soleil
-----------------------------------------------------------