fichier récalcitrant et malware

jyl2803

25/09/2007 à 11:19

On 25 sep, 10:34, "oéoé re" wrote:

a écrit dans le message de news:

idem !! elle est chargée même en sans échec et donc 'invirable".
vundofix plante et n'y parvient pas. Il me reste le mode console avec
le CD w2000 et une commande del, qu'en pensez vous ?

http://mickael.barroux.free.fr/securite/vundo.php
je viens de trouver ça

merci.

J'essaye dans 2 - 3 jours, lorsque je serai de retour.

reste tout de même que cette histoire de console est peut être le plus
simple, non ? qu'en pensez vous ?

oéoé re

25/09/2007 à 11:26

a écrit dans le message de news:

J'essaye dans 2 - 3 jours, lorsque je serai de retour.

http://www.malekal.com/Trojan.vundo.php ça aussi

reste tout de même que cette histoire de console est peut être le plus
simple, non ? qu'en pensez vous ?

En mode console je ne sais pas !

Laurent Jumet

25/09/2007 à 11:31

Hello UUCP !

wrote:

reste tout de même que cette histoire de console est peut être le plus
simple, non ? qu'en pensez vous ?

La console de récup ne te permet pas de te ballader sur ton disque, sauf si tu as préalablement modifié des clés de registre qui te permettront alors dans la console, de modifier les variables d'environnement.

Si tu as un fichier que tu veux effacer ou renommer, et que tu n'y arrives pas, alors emploie movefile.exe qui réalisera l'opération au prochain boot.

--
Laurent Jumet - Point de Chat, Liège, BELGIUM
KeyID: 0xCFAF704C
[Restore address to laurent.jumet for e-mail reply.]

jyl2803

25/09/2007 à 12:02

On 25 sep, 11:31, "Laurent Jumet" wrote:

Hello UUCP !

wrote:
reste tout de même que cette histoire de console est peut être le p lus
simple, non ? qu'en pensez vous ?

La console de récup ne te permet pas de te ballader sur ton disque, sauf si tu as préalablement modifié des clés de registre qui te perm ettront alors dans la console, de modifier les variables d'environnement.

Si tu as un fichier que tu veux effacer ou renommer, et que tu n'y ar rives pas, alors emploie movefile.exe qui réalisera l'opération au proc hain boot.

--
comment fait on ? où trouve t on ce movefile.exe ?

Si je comprends bien, en mode console, je ne peux pas saisir la
commande "cd system32" par ex, si j'arrive sous c:winnt ??

Reste peut être un live CD linux avec support NTFS (on en trouve
maintenant je crois)

En tout cas merci.

Laurent Jumet

25/09/2007 à 12:22

Hello UUCP !

wrote:

reste tout de même que cette histoire de console est peut être le plus
simple, non ? qu'en pensez vous ?

La console de récup ne te permet pas de te ballader sur ton disque,
sauf si tu as préalablement modifié des clés de registre qui te
permettront alors dans la console, de modifier les variables
d'environnement.

Si tu as un fichier que tu veux effacer ou renommer, et que tu n'y
arrives pas, alors emploie movefile.exe qui réalisera l'opération au
prochain boot.

--
comment fait on ? où trouve t on ce movefile.exe ?

Fais une recherche sur google, et en même temps prends pendmoves.exe qui permet d'afficher la liste des fichiers qui vont être traités au prochain BOOT.

Si je comprends bien, en mode console, je ne peux pas saisir la
commande "cd system32" par ex, si j'arrive sous c:winnt ??

Pour pouvoir sous console de récup, te ballader sur ton disque, il faut que tu affiches les variables d'environnement avec la commande SET, et ensuite que tu remplaces le No par Yes dans quatre d'entre elles.
Mais..... tu n'as pas accès à ces variables si préalablement donc sous XP, tu n'as pas modifié quatre clés de registre.
Je l'ai fait et JC Bellamy a indiqué comment on faisait.

--
Laurent Jumet - Point de Chat, Liège, BELGIUM
KeyID: 0xCFAF704C
[Restore address to laurent.jumet for e-mail reply.]

jyl2803

25/09/2007 à 14:26

On 25 sep, 12:22, "Laurent Jumet" wrote:

Hello UUCP !

wrote:
reste tout de même que cette histoire de console est peut être l e plus
simple, non ? qu'en pensez vous ?

La console de récup ne te permet pas de te ballader sur ton disq ue,
sauf si tu as préalablement modifié des clés de registre qui te
permettront alors dans la console, de modifier les variables
d'environnement.

Si tu as un fichier que tu veux effacer ou renommer, et que tu n'y
arrives pas, alors emploie movefile.exe qui réalisera l'opération au
prochain boot.

--
comment fait on ? où trouve t on ce movefile.exe ?

Fais une recherche sur google, et en même temps prends pendmoves.ex e qui permet d'afficher la liste des fichiers qui vont être traités au prochain BOOT.

Si je comprends bien, en mode console, je ne peux pas saisir la
commande "cd system32" par ex, si j'arrive sous c:winnt ??

Pour pouvoir sous console de récup, te ballader sur ton disque, il faut que tu affiches les variables d'environnement avec la commande SET, et ensuite que tu remplaces le No par Yes dans quatre d'entre elles.
Mais..... tu n'as pas accès à ces variables si préalablement do nc sous XP, tu n'as pas modifié quatre clés de registre.
Je l'ai fait et JC Bellamy a indiqué comment on faisait.

--
Laurent Jumet - Point de Chat, Liège, BELGIUM
KeyID: 0xCFAF704C
[Restore address to laurent.jumet for e-mail reply.]

SUITE ET FIN

la problème est reglé, par la console de récup.

La chos étant intérressante sur le pouruqoi et le comment, et pouvant
ête utile à d'autres, je posterai dans les jours à venir un message
relatant les étapes de cette affaire. Meric en tout cas à ceux qui ont
pris le temps de m'aider.

Jacquouille la Fripouille

25/09/2007 à 17:15

*Bonjour *
Tu as pianoté sur ton clavier dans
<news: pour écrire
ceci :

idem !! elle est chargée même en sans échec et donc 'invirable".
vundofix plante et n'y parvient pas. Il me reste le mode console avec
le CD w2000 et une commande del, qu'en pensez vous ?

As-tu essayé de désactiver la restauration de système, faire ton fix en
mode sans échec, redémarrer en mode normal et réactiver la restauration
de système ?
--
Jacquouille la Fripouille

jyl2803

25/09/2007 à 17:19

L'Hsitoire....

Chapitre 1: l'imprudent

Je passe mon temps à répéter à mes rejetons qu'on ne clique jamais sur
un fichier bizarre, qu'on n'ouvre pas une pièce jointe non demandée
sauf confirmation, qu'on ne charge pas, etc..; etc... etc...
Bref, je tente de les immuniser contre pebkac. Ca marche pas trop mal.

Et puis un soir, par jeu, pour le fun, je charge un keygen pour un
soft de protection en V limitée. (ce que je n'ai fait qu'une seule
fois, voici bien longtemps), via emule (que l'utilise parfois pour
charger des mp3 que je possède en vinyl, pour éviter d'avoir à les
numériser.)

- vérification de l'archive zip avec kaspersky V5 , (à jour): clean.
extraction du fichier, re vérification: clean

(ceci est d'ailleurs très embêtant....)

Je lance donc le fichier .exe. Et aussitôt, 3 fenêtres de kerio
s'ouvrent (merci kerio ++++), m'avertissant d'une tentative de
connexion de plusieurs utilitaires n'ayant rien à faire sur le net.
(setpoint, gestionnaire de clavier logitech, CPUidle, utilitaire de
gestion du processeur, et un autre dont j'ai oublié le nom). Tout se
passe comme si ce machin se connectait au net en exploitant les
modules de winlogon. (il figure d'ailleurs dans le registre dans les
clés winlogon)

Là, je sens le coup fourré, et je bloque tout ça.

Un scan kijackthis m'apprend que la dll nommée ssqppno.dll, dans c:
winntsystem32 est responsable. Recherche sur google: il s'agit du
troyen virtumonde, ou encore vundo.

Cette dll mobilise 4 ou 5 processus différents (dont explorer,
lssass), elle est invirable y compris en sans échec. Les sueurs
froides me gagnent. Adaware et spybot trouvent un BHO, le supprime,
mais il revient sans cesse, et pour cause...la dll est toujours là.

Chapitre 2: au boulot

sur différents newsgroups et forums, je trouve de l'aide, et divers
utilitaires censés éradiquer la chose. Inopérants, ils plantent,
provoquent des BSOD, des reboot, et.... n'éliminent rien. (y compris
en sans échec). Pourquoi ? Je ne sais. (combofix, vundofix, killbox,
j'en passe et des meilleurs.) En restent4 ou 5 que je n'ose pas
essayer, on ne sait pas trop ce que font ces machins là en arrière
plan...Et puis vu les processus attachés au fichier en cause, je
doute qu'il soit possible de le supprimer sous une session windows.

le PC fonctionne sans problème, TCPview ne signale pas de connexion
suspecte a priori, mais ... savoir le mal dans le disque n'est pas
confortable.

Chapitre 3: un vent de panique.

Je me trouve donc face à un fichier qui lance des processus même en
sans échec, et qu'il me faut pourtant virer. J'essaie et ligne de
commande sans échec: impossible bien sur.

Aucune envie de tout réinstaller, malgré mes sauvegardes un peu
partout, c'est un constat d'échec, et puis... pas trop de temps. C'est
ma 2de infection en 7 années, je vais pas baisser les bras...

Chapitre 4 : le bout du tunnel

En fait, la solution viendra d'un forumiste qui me suggérera
d'utiliser soit la console de récup, soit un liveCD linux (les
versions récentes permettant d'écrire sur une partition NTFS, semble t
il)

N'ayant pas sous la main de live CD à jour, (mon dernier kaella a un
an), je tente le coup de la console. Jamais fait, pas bien rassuré,
mais bon... On y va...

sous c:winnt, commandes
cd system32
del ssqppno.dll

Pas de message d'erreur. Un dir ss*.dll montre qu'il n'y a rien. Ca a
duré 5 mn.

Reboot, un coup d'hijackthis, les lignes " O2 - BHO: (no name) -
{F4002052-AB29-4B33-8C8D-0E99084564EC} - I:WINNT
system32ssqppno.dll " et " O20 - Winlogon Notify: ssqppno - I:WINNT
SYSTEM32ssqppno.dll " sont toujours là mais " file missing ". Je
les fixe, et c'est bon.
Adaware et spybot nettoyent le BHO installé, et jusqu'à maintenant,
rien n'est revenu. Je croise les doigts, mais il ne semble pas que
cette cochonceté n'installe d'autres fichiers, donc je pense être
libéré.

Conclusion:
1- Ca m'a servi de leçon, et si ça peut servir à d'autres....
2- une claque dans la g.... ça fait parfois du bien !!
3- un pare feu bien paramétré est VITAL
4- reste à savoir pourquoi kaspersky, pourtant réputé bon antivirus,
n'a rien dit... Je poserai la question à l'éditeur.

A votre disposition pour des précision éventuelles, et encore merci à
ceux qui m'ont aidé.

Vous avez filtré cet utilisateur ! Consultez son message

L'Hsitoire....

Chapitre 1: l'imprudent

Je passe mon temps à répéter à mes rejetons qu'on ne clique jamais sur
un fichier bizarre, qu'on n'ouvre pas une pièce jointe non demandée
sauf confirmation, qu'on ne charge pas, etc..; etc... etc...
Bref, je tente de les immuniser contre pebkac. Ca marche pas trop mal.

Et puis un soir, par jeu, pour le fun, je charge un keygen pour un
soft de protection en V limitée. (ce que je n'ai fait qu'une seule
fois, voici bien longtemps), via emule (que l'utilise parfois pour
charger des mp3 que je possède en vinyl, pour éviter d'avoir à les
numériser.)

- vérification de l'archive zip avec kaspersky V5 , (à jour): clean.
extraction du fichier, re vérification: clean

(ceci est d'ailleurs très embêtant....)

Je lance donc le fichier .exe. Et aussitôt, 3 fenêtres de kerio
s'ouvrent (merci kerio ++++), m'avertissant d'une tentative de
connexion de plusieurs utilitaires n'ayant rien à faire sur le net.
(setpoint, gestionnaire de clavier logitech, CPUidle, utilitaire de
gestion du processeur, et un autre dont j'ai oublié le nom). Tout se
passe comme si ce machin se connectait au net en exploitant les
modules de winlogon. (il figure d'ailleurs dans le registre dans les
clés winlogon)

Là, je sens le coup fourré, et je bloque tout ça.

Un scan kijackthis m'apprend que la dll nommée ssqppno.dll, dans c:
winntsystem32 est responsable. Recherche sur google: il s'agit du
troyen virtumonde, ou encore vundo.

Cette dll mobilise 4 ou 5 processus différents (dont explorer,
lssass), elle est invirable y compris en sans échec. Les sueurs
froides me gagnent. Adaware et spybot trouvent un BHO, le supprime,
mais il revient sans cesse, et pour cause...la dll est toujours là.

Chapitre 2: au boulot

sur différents newsgroups et forums, je trouve de l'aide, et divers
utilitaires censés éradiquer la chose. Inopérants, ils plantent,
provoquent des BSOD, des reboot, et.... n'éliminent rien. (y compris
en sans échec). Pourquoi ? Je ne sais. (combofix, vundofix, killbox,
j'en passe et des meilleurs.) En restent4 ou 5 que je n'ose pas
essayer, on ne sait pas trop ce que font ces machins là en arrière
plan...Et puis vu les processus attachés au fichier en cause, je
doute qu'il soit possible de le supprimer sous une session windows.

le PC fonctionne sans problème, TCPview ne signale pas de connexion
suspecte a priori, mais ... savoir le mal dans le disque n'est pas
confortable.

Chapitre 3: un vent de panique.

Je me trouve donc face à un fichier qui lance des processus même en
sans échec, et qu'il me faut pourtant virer. J'essaie et ligne de
commande sans échec: impossible bien sur.

Aucune envie de tout réinstaller, malgré mes sauvegardes un peu
partout, c'est un constat d'échec, et puis... pas trop de temps. C'est
ma 2de infection en 7 années, je vais pas baisser les bras...

Chapitre 4 : le bout du tunnel

En fait, la solution viendra d'un forumiste qui me suggérera
d'utiliser soit la console de récup, soit un liveCD linux (les
versions récentes permettant d'écrire sur une partition NTFS, semble t
il)

N'ayant pas sous la main de live CD à jour, (mon dernier kaella a un
an), je tente le coup de la console. Jamais fait, pas bien rassuré,
mais bon... On y va...

sous c:winnt, commandes
cd system32
del ssqppno.dll

Pas de message d'erreur. Un dir ss*.dll montre qu'il n'y a rien. Ca a
duré 5 mn.

Reboot, un coup d'hijackthis, les lignes " O2 - BHO: (no name) -
{F4002052-AB29-4B33-8C8D-0E99084564EC} - I:WINNT
system32ssqppno.dll " et " O20 - Winlogon Notify: ssqppno - I:WINNT
SYSTEM32ssqppno.dll " sont toujours là mais " file missing ". Je
les fixe, et c'est bon.
Adaware et spybot nettoyent le BHO installé, et jusqu'à maintenant,
rien n'est revenu. Je croise les doigts, mais il ne semble pas que
cette cochonceté n'installe d'autres fichiers, donc je pense être
libéré.

Conclusion:
1- Ca m'a servi de leçon, et si ça peut servir à d'autres....
2- une claque dans la g.... ça fait parfois du bien !!
3- un pare feu bien paramétré est VITAL
4- reste à savoir pourquoi kaspersky, pourtant réputé bon antivirus,
n'a rien dit... Je poserai la question à l'éditeur.

A votre disposition pour des précision éventuelles, et encore merci à
ceux qui m'ont aidé.

fichier récalcitrant et malware

8 réponses

Veuillez sélectionner un problème