En faisant de l'assistance à distance, j'ai trouvé une
incongruité sur l'ordinateur de l'assisté... un programme qui est
indiqué dans msconfig comme présent et lancé au démarrage, mais
dont je ne trouve pas l'exécutable sur le disque dur (en ayant
tout affiché) ni la ligne de lancement dans le registre...
http://cjoint.com/?bpt0wUq5i0
http://cjoint.com/?bpt0IVi7gt
http://cjoint.com/?bpt0T43e6B
Le gestionnaire des tâches de Windows ne le montre pas actif. Un
rapport de HijackThis ne le montre pas actif non plus. Le scan
antivirus ne détecte rien, ni un scan en ligne. Google n'a aucune
information sur le fichier.
Je croyais que msconfig chargeait dynamiquement les informations
quand on le lance (donc s'il est présent dans la fenêtre de
msconfig c'est qu'il est actuellement en service, ce n'est pas un
renseignement qui date de plusieurs mois).
Où ai-je commis une erreur d'interprétation ?
D'avance, merci à ceux qui pourront m'aider à comprendre.
--
Ypoons [MVP]
Ne vous approchez jamais d'un ordinateur en disant ou même
seulement pensant "Je vais faire ça très vite !"
Pour m'écrire : http://www.cerbe rmail.com/?EEcGHSD8yU (enlever
l'espace)
Ne me mettez pas dans votre carnet d'adresse ! Je suis spammé !
En faisant de l'assistance à distance, j'ai trouvé une incongruité sur l'ordinateur de l'assisté... un programme qui est indiqué dans msconfig comme présent et lancé au démarrage, mais dont je ne trouve pas l'exécutable sur le disque dur (en ayant tout affiché) ni la ligne de lancement dans le registre... http://cjoint.com/?bpt0wUq5i0 http://cjoint.com/?bpt0IVi7gt http://cjoint.com/?bpt0T43e6B
Le gestionnaire des tâches de Windows ne le montre pas actif. Un rapport de HijackThis ne le montre pas actif non plus. Le scan antivirus ne détecte rien, ni un scan en ligne. Google n'a aucune information sur le fichier.
Je croyais que msconfig chargeait dynamiquement les informations quand on le lance (donc s'il est présent dans la fenêtre de msconfig c'est qu'il est actuellement en service, ce n'est pas un renseignement qui date de plusieurs mois).
Où ai-je commis une erreur d'interprétation ?
D'avance, merci à ceux qui pourront m'aider à comprendre.
Je pense a 3 possibilités dont 2 lié peut être à un virus : soit l'utilisateur à installé in programme qui a mis cette ligne puis l'a désinstallé mais le process de désinstallation de ce programme a oublier de retirer cette ligne (ça arrive) mais je vois pas alors pourquoi il n'est pas dans le run soit le PC a eu un virus qui a été nettoyé mais le nettoyeur n'a pas retiré la commande de lancement (c'est très courant) mais je vois pas non plus alors pourquoi il n'est pas dans le run. soit il s'agirait d'un virus de type rootkit : dans ce cas l'interface Windows est totalement incapable de t'afficher le fichier du virus puisque caché du système. ce qui m'étonne pour un rootkit c'est qu'il laisse une ligne lancement visible par msconfig par contre ça expliquerait que tu ne vois pas la ligne dans le registre (le rootkit peut la cacher au système aussi dans le registre) car en général un rootkit empêche tout affichage de son nom par le système
perso dans le doute je lancerais une analyse avec un détecteur de rootkit comme par exemple rootkit revealer de Microsoft/sysinternal (il en existe d'autres) http://www.microsoft.com/france/technet/sysinternals/Security/RootkitRevealer.mspx
s'il te fait appraitre ce process c'est que ce serait bien un rootkit
-- Olivier B. MVP Windows Shell/User "le savoir est fait pour être partagé" http://www.benquet.com
merci de ne répondre que dans le newsgroup sinon retirer le "pas_de_spam_" devant mon adresse (adresse rarement relevée)
Bonjour,
"Ypoons" a écrit dans le message de
news:uJ42Ph6VIHA.4740@TK2MSFTNGP02.phx.gbl...
Bonjour à tous
Xpost et FU2 microsoft.public.fr.windowsxp
En faisant de l'assistance à distance, j'ai trouvé une incongruité sur
l'ordinateur de l'assisté... un programme qui est indiqué dans msconfig
comme présent et lancé au démarrage, mais dont je ne trouve pas
l'exécutable sur le disque dur (en ayant tout affiché) ni la ligne de
lancement dans le registre...
http://cjoint.com/?bpt0wUq5i0
http://cjoint.com/?bpt0IVi7gt
http://cjoint.com/?bpt0T43e6B
Le gestionnaire des tâches de Windows ne le montre pas actif. Un rapport
de HijackThis ne le montre pas actif non plus. Le scan antivirus ne
détecte rien, ni un scan en ligne. Google n'a aucune information sur le
fichier.
Je croyais que msconfig chargeait dynamiquement les informations quand on
le lance (donc s'il est présent dans la fenêtre de msconfig c'est qu'il
est actuellement en service, ce n'est pas un renseignement qui date de
plusieurs mois).
Où ai-je commis une erreur d'interprétation ?
D'avance, merci à ceux qui pourront m'aider à comprendre.
Je pense a 3 possibilités dont 2 lié peut être à un virus :
soit l'utilisateur à installé in programme qui a mis cette ligne puis l'a
désinstallé mais le process de désinstallation de ce programme a oublier de
retirer cette ligne (ça arrive) mais je vois pas alors pourquoi il n'est pas
dans le run
soit le PC a eu un virus qui a été nettoyé mais le nettoyeur n'a pas retiré
la commande de lancement (c'est très courant) mais je vois pas non plus
alors pourquoi il n'est pas dans le run.
soit il s'agirait d'un virus de type rootkit : dans ce cas l'interface
Windows est totalement incapable de t'afficher le fichier du virus puisque
caché du système. ce qui m'étonne pour un rootkit c'est qu'il laisse une
ligne lancement visible par msconfig par contre ça expliquerait que tu ne
vois pas la ligne dans le registre (le rootkit peut la cacher au système
aussi dans le registre)
car en général un rootkit empêche tout affichage de son nom par le système
perso dans le doute je lancerais une analyse avec un détecteur de rootkit
comme par exemple rootkit revealer de Microsoft/sysinternal (il en existe
d'autres)
http://www.microsoft.com/france/technet/sysinternals/Security/RootkitRevealer.mspx
s'il te fait appraitre ce process c'est que ce serait bien un rootkit
--
Olivier B.
MVP Windows Shell/User
"le savoir est fait pour être partagé"
http://www.benquet.com
merci de ne répondre que dans le newsgroup
sinon retirer le "pas_de_spam_" devant mon adresse
(adresse rarement relevée)
En faisant de l'assistance à distance, j'ai trouvé une incongruité sur l'ordinateur de l'assisté... un programme qui est indiqué dans msconfig comme présent et lancé au démarrage, mais dont je ne trouve pas l'exécutable sur le disque dur (en ayant tout affiché) ni la ligne de lancement dans le registre... http://cjoint.com/?bpt0wUq5i0 http://cjoint.com/?bpt0IVi7gt http://cjoint.com/?bpt0T43e6B
Le gestionnaire des tâches de Windows ne le montre pas actif. Un rapport de HijackThis ne le montre pas actif non plus. Le scan antivirus ne détecte rien, ni un scan en ligne. Google n'a aucune information sur le fichier.
Je croyais que msconfig chargeait dynamiquement les informations quand on le lance (donc s'il est présent dans la fenêtre de msconfig c'est qu'il est actuellement en service, ce n'est pas un renseignement qui date de plusieurs mois).
Où ai-je commis une erreur d'interprétation ?
D'avance, merci à ceux qui pourront m'aider à comprendre.
Je pense a 3 possibilités dont 2 lié peut être à un virus : soit l'utilisateur à installé in programme qui a mis cette ligne puis l'a désinstallé mais le process de désinstallation de ce programme a oublier de retirer cette ligne (ça arrive) mais je vois pas alors pourquoi il n'est pas dans le run soit le PC a eu un virus qui a été nettoyé mais le nettoyeur n'a pas retiré la commande de lancement (c'est très courant) mais je vois pas non plus alors pourquoi il n'est pas dans le run. soit il s'agirait d'un virus de type rootkit : dans ce cas l'interface Windows est totalement incapable de t'afficher le fichier du virus puisque caché du système. ce qui m'étonne pour un rootkit c'est qu'il laisse une ligne lancement visible par msconfig par contre ça expliquerait que tu ne vois pas la ligne dans le registre (le rootkit peut la cacher au système aussi dans le registre) car en général un rootkit empêche tout affichage de son nom par le système
perso dans le doute je lancerais une analyse avec un détecteur de rootkit comme par exemple rootkit revealer de Microsoft/sysinternal (il en existe d'autres) http://www.microsoft.com/france/technet/sysinternals/Security/RootkitRevealer.mspx
s'il te fait appraitre ce process c'est que ce serait bien un rootkit
-- Olivier B. MVP Windows Shell/User "le savoir est fait pour être partagé" http://www.benquet.com
merci de ne répondre que dans le newsgroup sinon retirer le "pas_de_spam_" devant mon adresse (adresse rarement relevée)
O.B. [MVP]
Bonjour, Marrant j'ai posté dans le groupe débutant sans voir qu'il était en multipost et mon message n'apparait que dans ce groupe ...
-- Olivier B. MVP Windows Shell/User "le savoir est fait pour être partagé" http://www.benquet.com
merci de ne répondre que dans le newsgroup sinon retirer le "pas_de_spam_" devant mon adresse (adresse rarement relevée)
Bonjour,
Marrant j'ai posté dans le groupe débutant sans voir qu'il était en
multipost et mon message n'apparait que dans ce groupe ...
--
Olivier B.
MVP Windows Shell/User
"le savoir est fait pour être partagé"
http://www.benquet.com
merci de ne répondre que dans le newsgroup
sinon retirer le "pas_de_spam_" devant mon adresse
(adresse rarement relevée)
Bonjour, Marrant j'ai posté dans le groupe débutant sans voir qu'il était en multipost et mon message n'apparait que dans ce groupe ...
-- Olivier B. MVP Windows Shell/User "le savoir est fait pour être partagé" http://www.benquet.com
merci de ne répondre que dans le newsgroup sinon retirer le "pas_de_spam_" devant mon adresse (adresse rarement relevée)
Gilles RONSIN
Ypoons , le mer. 16 janv. 2008 19:45:40, écrivait ceci:
Salut Gilles Salut,
OK. Mais quand tu demandes un scan antivirus *minutieux* (c'est à dire de scanner *tous* les fichiers), est-ce que l'antivirus va scanner "en hard" le contenu du disque (secteur par secteur), ou est-ce qu'il scanne les fichiers "dont le nom lui a été transmis par la FAT/MFT" ?
A mon avis, il scanne les fichiers de la liste fournie par l'OS (sinon les scans dureraient beaucoup plus longtemps et les signatures resteraient même après effacement du fichier (qui n'enlève que le nom du fichier dans la liste). Alors... si la liste est tronquée... d'où l'interêt de scanner en mode sans échec ou mieux en ayant lancé un os alternatif.
OK. Je tenterai ça lors de la prochaine connexion demandée. Mais ça ne m'explique pas pourquoi cette entrée est dans msconfig et pas dans le registre... Et si "le fichier est créé à la volée pendant l'initialisation puis supprimé ensuite", y a-t-il un utilitaire qui puisse recenser (par exemple *dans la RAM*) la liste des applications en cours d'exécution ? (je suis bien conscient que le Gestionnaire des tâches a des limitations dans ce domaine...) Il y a process explorer qui est un peu mieux que le gestionnaire de
tâche (et qui peut le remplacer) ou process monitor qui permet aussi de faire un audit de démarrage... merci Mark Russinovich
Amicalement, Itou
Ypoons <debut@nt>, le mer. 16 janv. 2008 19:45:40, écrivait ceci:
Salut Gilles
Salut,
OK. Mais quand tu demandes un scan antivirus *minutieux* (c'est à
dire de scanner *tous* les fichiers), est-ce que l'antivirus va
scanner "en hard" le contenu du disque (secteur par secteur), ou
est-ce qu'il scanne les fichiers "dont le nom lui a été transmis
par la FAT/MFT" ?
A mon avis, il scanne les fichiers de la liste fournie par l'OS (sinon
les scans dureraient beaucoup plus longtemps et les signatures
resteraient même après effacement du fichier (qui n'enlève que le nom
du fichier dans la liste). Alors... si la liste est tronquée... d'où
l'interêt de scanner en mode sans échec ou mieux en ayant lancé un os
alternatif.
OK. Je tenterai ça lors de la prochaine connexion demandée.
Mais ça ne m'explique pas pourquoi cette entrée est dans msconfig
et pas dans le registre...
Et si "le fichier est créé à la volée pendant l'initialisation
puis supprimé ensuite", y a-t-il un utilitaire qui puisse
recenser (par exemple *dans la RAM*) la liste des applications en
cours d'exécution ? (je suis bien conscient que le Gestionnaire
des tâches a des limitations dans ce domaine...)
Il y a process explorer qui est un peu mieux que le gestionnaire de
tâche (et qui peut le remplacer) ou process monitor qui permet aussi de
faire un audit de démarrage... merci Mark Russinovich
Ypoons , le mer. 16 janv. 2008 19:45:40, écrivait ceci:
Salut Gilles Salut,
OK. Mais quand tu demandes un scan antivirus *minutieux* (c'est à dire de scanner *tous* les fichiers), est-ce que l'antivirus va scanner "en hard" le contenu du disque (secteur par secteur), ou est-ce qu'il scanne les fichiers "dont le nom lui a été transmis par la FAT/MFT" ?
A mon avis, il scanne les fichiers de la liste fournie par l'OS (sinon les scans dureraient beaucoup plus longtemps et les signatures resteraient même après effacement du fichier (qui n'enlève que le nom du fichier dans la liste). Alors... si la liste est tronquée... d'où l'interêt de scanner en mode sans échec ou mieux en ayant lancé un os alternatif.
OK. Je tenterai ça lors de la prochaine connexion demandée. Mais ça ne m'explique pas pourquoi cette entrée est dans msconfig et pas dans le registre... Et si "le fichier est créé à la volée pendant l'initialisation puis supprimé ensuite", y a-t-il un utilitaire qui puisse recenser (par exemple *dans la RAM*) la liste des applications en cours d'exécution ? (je suis bien conscient que le Gestionnaire des tâches a des limitations dans ce domaine...) Il y a process explorer qui est un peu mieux que le gestionnaire de
tâche (et qui peut le remplacer) ou process monitor qui permet aussi de faire un audit de démarrage... merci Mark Russinovich
Amicalement, Itou
Ypoons
Bonjour, Marrant j'ai posté dans le groupe débutant sans voir qu'il était en multipost et mon message n'apparait que dans ce groupe ...
Salut O.B.
Normal, j'ai mis un FU2 ! ;)
Ceci dit, merci pour l'info rootkit (qui corrobore celles fournies par d'autres), j'essaierai de faire ça à la prochaine connexion d'assistance.
Amicalement,
-- Ypoons [MVP] Ne vous approchez jamais d'un ordinateur en disant ou même seulement pensant "Je vais faire ça très vite !" Pour m'écrire : http://www.cerbe rmail.com/?EEcGHSD8yU (enlever l'espace) Ne me mettez pas dans votre carnet d'adresse ! Je suis spammé !
Bonjour,
Marrant j'ai posté dans le groupe débutant sans voir qu'il était en
multipost et mon message n'apparait que dans ce groupe ...
Salut O.B.
Normal, j'ai mis un FU2 ! ;)
Ceci dit, merci pour l'info rootkit (qui corrobore celles
fournies par d'autres), j'essaierai de faire ça à la prochaine
connexion d'assistance.
Amicalement,
--
Ypoons [MVP]
Ne vous approchez jamais d'un ordinateur en disant ou même
seulement pensant "Je vais faire ça très vite !"
Pour m'écrire : http://www.cerbe rmail.com/?EEcGHSD8yU (enlever
l'espace)
Ne me mettez pas dans votre carnet d'adresse ! Je suis spammé !
Bonjour, Marrant j'ai posté dans le groupe débutant sans voir qu'il était en multipost et mon message n'apparait que dans ce groupe ...
Salut O.B.
Normal, j'ai mis un FU2 ! ;)
Ceci dit, merci pour l'info rootkit (qui corrobore celles fournies par d'autres), j'essaierai de faire ça à la prochaine connexion d'assistance.
Amicalement,
-- Ypoons [MVP] Ne vous approchez jamais d'un ordinateur en disant ou même seulement pensant "Je vais faire ça très vite !" Pour m'écrire : http://www.cerbe rmail.com/?EEcGHSD8yU (enlever l'espace) Ne me mettez pas dans votre carnet d'adresse ! Je suis spammé !
O.B. [MVP]
bonjour Ypoons,
Dans le news Ypoons tapote :
Bonjour, Marrant j'ai posté dans le groupe débutant sans voir qu'il était en multipost et mon message n'apparait que dans ce groupe ...
Salut O.B.
Normal, j'ai mis un FU2 ! ;) Ceci dit, merci pour l'info rootkit (qui corrobore celles fournies par d'autres), j'essaierai de faire ça à la prochaine connexion d'assistance. heureusement ce genre de Malware n'est pas très répandu mais ça existe j'en
ait déjà éradiqué un sur le pc d'un client
depuis dès que je rencontre un PC ayant tout les symptôme d'un virus et que je n'en trouve pas je cherche de ce coté
celui que j'ai éradiqué j'ai fait quelques essai avant et c'est bluffant : tu crée n'importe où sur le disque dans le registre ou ailleurs un fichier portant le même nom et il disparait immédiatement
si le lien de ton msconfig en est un tu peux donc déjà tester ça facilement et rapidement : vu que tu ne vois ce lien que dans msconfig si ce fichier est le rootkit lui même tu crée sur le disque un fichier ayant exactement le même nom que celui que tu as dans msconfig. si après rafraichissement de la fenêtre d'exploration ce fichier a disparu c'est pratiquement à coup sur un rootkit... bien sur cette méthode n'est pas la plus sure car le nom du fichier rootkit peux avoir aussi muté...
je ne me souvient plus trop comment j'étais tombé dessus (cette machine était un vrais nid à malware divers et varié vu que le fils de 19 ans du client passait pas mal de temps sur les sites X avec) mais je me souviens que ça avait été facile. je ne suis pas sur (ça fait un bon moment) mais il me semble que comme toi il apparaissait dans msconfig (ce qui m'a surpris), que j'ai simplement désactivé la ligne dans msconfig et après reboot le rootkit c'était désactivé et le fichier qui était avant introuvable apparaissait alors bien visible sur le disque.
-- Olivier B. MVP Windows Shell/User "le savoir est fait pour être partagé" http://www.benquet.com
merci de ne répondre que dans le newsgroup sinon retirer le "pas_de_spam_" devant mon adresse (adresse rarement relevée)
bonjour Ypoons,
Dans le news Ypoons tapote :
Bonjour,
Marrant j'ai posté dans le groupe débutant sans voir qu'il était en
multipost et mon message n'apparait que dans ce groupe ...
Salut O.B.
Normal, j'ai mis un FU2 ! ;)
Ceci dit, merci pour l'info rootkit (qui corrobore celles
fournies par d'autres), j'essaierai de faire ça à la prochaine
connexion d'assistance.
heureusement ce genre de Malware n'est pas très répandu mais ça existe j'en
ait déjà éradiqué un sur le pc d'un client
depuis dès que je rencontre un PC ayant tout les symptôme d'un virus et que
je n'en trouve pas je cherche de ce coté
celui que j'ai éradiqué j'ai fait quelques essai avant et c'est bluffant :
tu crée n'importe où sur le disque dans le registre ou ailleurs un fichier
portant le même nom et il disparait immédiatement
si le lien de ton msconfig en est un tu peux donc déjà tester ça facilement
et rapidement :
vu que tu ne vois ce lien que dans msconfig si ce fichier est le rootkit lui
même tu crée sur le disque un fichier ayant exactement le même nom que celui
que tu as dans msconfig. si après rafraichissement de la fenêtre
d'exploration ce fichier a disparu c'est pratiquement à coup sur un
rootkit... bien sur cette méthode n'est pas la plus sure car le nom du
fichier rootkit peux avoir aussi muté...
je ne me souvient plus trop comment j'étais tombé dessus (cette machine
était un vrais nid à malware divers et varié vu que le fils de 19 ans du
client passait pas mal de temps sur les sites X avec) mais je me souviens
que ça avait été facile. je ne suis pas sur (ça fait un bon moment) mais il
me semble que comme toi il apparaissait dans msconfig (ce qui m'a surpris),
que j'ai simplement désactivé la ligne dans msconfig et après reboot le
rootkit c'était désactivé et le fichier qui était avant introuvable
apparaissait alors bien visible sur le disque.
--
Olivier B.
MVP Windows Shell/User
"le savoir est fait pour être partagé"
http://www.benquet.com
merci de ne répondre que dans le newsgroup
sinon retirer le "pas_de_spam_" devant mon adresse
(adresse rarement relevée)
Bonjour, Marrant j'ai posté dans le groupe débutant sans voir qu'il était en multipost et mon message n'apparait que dans ce groupe ...
Salut O.B.
Normal, j'ai mis un FU2 ! ;) Ceci dit, merci pour l'info rootkit (qui corrobore celles fournies par d'autres), j'essaierai de faire ça à la prochaine connexion d'assistance. heureusement ce genre de Malware n'est pas très répandu mais ça existe j'en
ait déjà éradiqué un sur le pc d'un client
depuis dès que je rencontre un PC ayant tout les symptôme d'un virus et que je n'en trouve pas je cherche de ce coté
celui que j'ai éradiqué j'ai fait quelques essai avant et c'est bluffant : tu crée n'importe où sur le disque dans le registre ou ailleurs un fichier portant le même nom et il disparait immédiatement
si le lien de ton msconfig en est un tu peux donc déjà tester ça facilement et rapidement : vu que tu ne vois ce lien que dans msconfig si ce fichier est le rootkit lui même tu crée sur le disque un fichier ayant exactement le même nom que celui que tu as dans msconfig. si après rafraichissement de la fenêtre d'exploration ce fichier a disparu c'est pratiquement à coup sur un rootkit... bien sur cette méthode n'est pas la plus sure car le nom du fichier rootkit peux avoir aussi muté...
je ne me souvient plus trop comment j'étais tombé dessus (cette machine était un vrais nid à malware divers et varié vu que le fils de 19 ans du client passait pas mal de temps sur les sites X avec) mais je me souviens que ça avait été facile. je ne suis pas sur (ça fait un bon moment) mais il me semble que comme toi il apparaissait dans msconfig (ce qui m'a surpris), que j'ai simplement désactivé la ligne dans msconfig et après reboot le rootkit c'était désactivé et le fichier qui était avant introuvable apparaissait alors bien visible sur le disque.
-- Olivier B. MVP Windows Shell/User "le savoir est fait pour être partagé" http://www.benquet.com
merci de ne répondre que dans le newsgroup sinon retirer le "pas_de_spam_" devant mon adresse (adresse rarement relevée)
O.B. [MVP]
bonjour Gilles RONSIN,
Dans le news Gilles RONSIN tapote :
A mon avis, il scanne les fichiers de la liste fournie par l'OS (sinon c'est aussi mon avis
Il y a process explorer qui est un peu mieux que le gestionnaire de tâche (et qui peut le remplacer) ou process monitor qui permet aussi de faire un audit de démarrage... merci Mark Russinovich je pense qu'un rootkit doit aussi se cacher de process explorer mais
normallement pas de rootkit revealer ... (merci Mark Russinovich)
par contre Rootkit Revealer n'est pas toujours facile à interpréter
-- Olivier B. MVP Windows Shell/User "le savoir est fait pour être partagé" http://www.benquet.com
merci de ne répondre que dans le newsgroup sinon retirer le "pas_de_spam_" devant mon adresse (adresse rarement relevée)
bonjour Gilles RONSIN,
Dans le news Gilles RONSIN tapote :
A mon avis, il scanne les fichiers de la liste fournie par l'OS (sinon
c'est aussi mon avis
Il y a process explorer qui est un peu mieux que le gestionnaire de
tâche (et qui peut le remplacer) ou process monitor qui permet aussi
de faire un audit de démarrage... merci Mark Russinovich
je pense qu'un rootkit doit aussi se cacher de process explorer mais
normallement pas de rootkit revealer ... (merci Mark Russinovich)
par contre Rootkit Revealer n'est pas toujours facile à interpréter
--
Olivier B.
MVP Windows Shell/User
"le savoir est fait pour être partagé"
http://www.benquet.com
merci de ne répondre que dans le newsgroup
sinon retirer le "pas_de_spam_" devant mon adresse
(adresse rarement relevée)
A mon avis, il scanne les fichiers de la liste fournie par l'OS (sinon c'est aussi mon avis
Il y a process explorer qui est un peu mieux que le gestionnaire de tâche (et qui peut le remplacer) ou process monitor qui permet aussi de faire un audit de démarrage... merci Mark Russinovich je pense qu'un rootkit doit aussi se cacher de process explorer mais
normallement pas de rootkit revealer ... (merci Mark Russinovich)
par contre Rootkit Revealer n'est pas toujours facile à interpréter
-- Olivier B. MVP Windows Shell/User "le savoir est fait pour être partagé" http://www.benquet.com
merci de ne répondre que dans le newsgroup sinon retirer le "pas_de_spam_" devant mon adresse (adresse rarement relevée)
Ypoons
bonjour Ypoons,
heureusement ce genre de Malware n'est pas très répandu mais ça existe j'en ait déjà éradiqué un sur le pc d'un client
depuis dès que je rencontre un PC ayant tout les symptôme d'un virus et que je n'en trouve pas je cherche de ce coté
celui que j'ai éradiqué j'ai fait quelques essai avant et c'est bluffant : tu crée n'importe où sur le disque dans le registre ou ailleurs un fichier portant le même nom et il disparait immédiatement
si le lien de ton msconfig en est un tu peux donc déjà tester ça facilement et rapidement : vu que tu ne vois ce lien que dans msconfig si ce fichier est le rootkit lui même tu crée sur le disque un fichier ayant exactement le même nom que celui que tu as dans msconfig. si après rafraichissement de la fenêtre d'exploration ce fichier a disparu c'est pratiquement à coup sur un rootkit... bien sur cette méthode n'est pas la plus sure car le nom du fichier rootkit peux avoir aussi muté...
je ne me souvient plus trop comment j'étais tombé dessus (cette machine était un vrais nid à malware divers et varié vu que le fils de 19 ans du client passait pas mal de temps sur les sites X avec) mais je me souviens que ça avait été facile. je ne suis pas sur (ça fait un bon moment) mais il me semble que comme toi il apparaissait dans msconfig (ce qui m'a surpris), que j'ai simplement désactivé la ligne dans msconfig et après reboot le rootkit c'était désactivé et le fichier qui était avant introuvable apparaissait alors bien visible sur le disque.
Merci O.B.
Je testerai ça dès que possible (et je reviendrai, tel Arnold Schwarzenegger... ;) )
Amicalement,
-- Ypoons [MVP] Ne vous approchez jamais d'un ordinateur en disant ou même seulement pensant "Je vais faire ça très vite !" Pour m'écrire : http://www.cerbe rmail.com/?EEcGHSD8yU (enlever l'espace) Ne me mettez pas dans votre carnet d'adresse ! Je suis spammé !
bonjour Ypoons,
heureusement ce genre de Malware n'est pas très répandu mais ça existe j'en
ait déjà éradiqué un sur le pc d'un client
depuis dès que je rencontre un PC ayant tout les symptôme d'un virus et que
je n'en trouve pas je cherche de ce coté
celui que j'ai éradiqué j'ai fait quelques essai avant et c'est bluffant :
tu crée n'importe où sur le disque dans le registre ou ailleurs un fichier
portant le même nom et il disparait immédiatement
si le lien de ton msconfig en est un tu peux donc déjà tester ça facilement
et rapidement :
vu que tu ne vois ce lien que dans msconfig si ce fichier est le rootkit lui
même tu crée sur le disque un fichier ayant exactement le même nom que celui
que tu as dans msconfig. si après rafraichissement de la fenêtre
d'exploration ce fichier a disparu c'est pratiquement à coup sur un
rootkit... bien sur cette méthode n'est pas la plus sure car le nom du
fichier rootkit peux avoir aussi muté...
je ne me souvient plus trop comment j'étais tombé dessus (cette machine
était un vrais nid à malware divers et varié vu que le fils de 19 ans du
client passait pas mal de temps sur les sites X avec) mais je me souviens
que ça avait été facile. je ne suis pas sur (ça fait un bon moment) mais il
me semble que comme toi il apparaissait dans msconfig (ce qui m'a surpris),
que j'ai simplement désactivé la ligne dans msconfig et après reboot le
rootkit c'était désactivé et le fichier qui était avant introuvable
apparaissait alors bien visible sur le disque.
Merci O.B.
Je testerai ça dès que possible (et je reviendrai, tel Arnold
Schwarzenegger... ;) )
Amicalement,
--
Ypoons [MVP]
Ne vous approchez jamais d'un ordinateur en disant ou même
seulement pensant "Je vais faire ça très vite !"
Pour m'écrire : http://www.cerbe rmail.com/?EEcGHSD8yU (enlever
l'espace)
Ne me mettez pas dans votre carnet d'adresse ! Je suis spammé !
heureusement ce genre de Malware n'est pas très répandu mais ça existe j'en ait déjà éradiqué un sur le pc d'un client
depuis dès que je rencontre un PC ayant tout les symptôme d'un virus et que je n'en trouve pas je cherche de ce coté
celui que j'ai éradiqué j'ai fait quelques essai avant et c'est bluffant : tu crée n'importe où sur le disque dans le registre ou ailleurs un fichier portant le même nom et il disparait immédiatement
si le lien de ton msconfig en est un tu peux donc déjà tester ça facilement et rapidement : vu que tu ne vois ce lien que dans msconfig si ce fichier est le rootkit lui même tu crée sur le disque un fichier ayant exactement le même nom que celui que tu as dans msconfig. si après rafraichissement de la fenêtre d'exploration ce fichier a disparu c'est pratiquement à coup sur un rootkit... bien sur cette méthode n'est pas la plus sure car le nom du fichier rootkit peux avoir aussi muté...
je ne me souvient plus trop comment j'étais tombé dessus (cette machine était un vrais nid à malware divers et varié vu que le fils de 19 ans du client passait pas mal de temps sur les sites X avec) mais je me souviens que ça avait été facile. je ne suis pas sur (ça fait un bon moment) mais il me semble que comme toi il apparaissait dans msconfig (ce qui m'a surpris), que j'ai simplement désactivé la ligne dans msconfig et après reboot le rootkit c'était désactivé et le fichier qui était avant introuvable apparaissait alors bien visible sur le disque.
Merci O.B.
Je testerai ça dès que possible (et je reviendrai, tel Arnold Schwarzenegger... ;) )
Amicalement,
-- Ypoons [MVP] Ne vous approchez jamais d'un ordinateur en disant ou même seulement pensant "Je vais faire ça très vite !" Pour m'écrire : http://www.cerbe rmail.com/?EEcGHSD8yU (enlever l'espace) Ne me mettez pas dans votre carnet d'adresse ! Je suis spammé !
