Hier une connaissance m'appelle pour me dire (ô surprise) que son
portable (de 2006) était vérolé et qu'il ne pouvait plus l'utiliser
correctement. Je me rends donc au chevet de la bête malade pour y
découvrir à première vue une infection par cette bouze de Security Tool
et accessoirement un Avast semi fonctionnel dont la dernière mise à jour
datait de février 2009...
Démarrage normal, je constate avec procxp.exe la présence de plusieurs
processus étranges, inscrits également au démarrage de la machine,
normal me direz-vous. Les browsers ne se connectent plus, mais la
connection fonctionne (ping et nslookup).
Zou je redemarre en mode sans échec, où je ne constate aucun processus
indésirables. Je nettoie les entrées de démarrage avec autorun.exe, je
passe un coup de combofix (qui mets 3 plombes vu la lenteur de la
machine) qui nettoie une quinzaine de fichiers. Ensuite, toujours en
mode sans echec, un scan rapide (pas le temps de faire un long de Mbam
qu inettoie 6-7 entrées du registre qui n'ont pas l'air plus dangereuses
que ça.
On redémarre en mode normal, et ça s'annonce plutôt bien, les browsers
se connectent, plus de SecurityTool en vue. Plus de processus étranges
dans procxp.exe. Je désinstalle tant bien que mal ce qu'il rest d'Avast
et j'installe Antivir. Je procède à un petit nettoyage des processus au
démarrage (les 4 softs pour appareils photos, QT, Real, etc...) qui
ralentissent bien sa machine. Reboot. Je fais deux-trois autres manips.
Re-Reboot.
Jusque la tout va bien!! Plus de traces évidentes d'une quelconque
cochonnerie. En partant je lance un scan complet de l'ordi avec Antivir
qui trouvera des reliquats dans les restaurations (que j'avais oublié de
contrôler).
Ce matin, cet ami rallume son ordi et BAM!! voila qu'antivir se déchaine
et mets une 20aine de fichiers en quarantaine, tous des drivers *.sys
dans system32/drivers. L'utilisateur m'affirme n'avoir pas touché à son
ordi depuis mon départ de la veille, juste eteinds après le scan AV et
rallumé ce matin.
Donc hier à 20h, fin du scan Antivir, pas de trace de ces *.sys
infectés. Mise en route de l'ordi ce matin apparition des cochonneries.
Direction formatage et reinstall.
Ma question est donc, où aurait pu se cacher cette saloperie? Je n'ai
pas eu le temps de passer gmer hier, ça pourrait être un rootkit?
Et surtout, avez vous des methodes, non pour désinfecter, mais pour
rapidement savoir si cela vaut le coup de désinfecter (comme dans pas
mal de cas simple, type Security Tool seul) où si il est préferable de
réinstaller? J'avoue que là, j'ai été complétement berné...et j'aurais
préféré ne pas perdre 2 heures hier pour une désinfection ratée. La
reinstall aurait été limite plus rapide (sans compter les transferts
aller retour des 70Go de données)
