ROIMOI ERASE

J'ai eu le pb dimanche 22/02/2003 en allant recuperer Internet
Optimizer et un crack pour Webcreator Version 1.0 (vieux CD) de
LMSOFT....
[..]

J'ai eu le pb dimanche 22/02/2003 en allant recuperer Internet
Optimizer et un crack pour Webcreator Version 1.0 (vieux CD) de
LMSOFT....
Je suis équipé avec AVP Kaspersky et Zone Alarme 4.5.
etc etc

J'ai quand même 2 questions sans réponse :
Par où a put provenir cette vacherie ,car je n'ai pas de messagerie
client (OUTLOOK) ?
Pourquoi mon AVP , SPYBOT , et autres outils ne l'ont pas détécté ?

Salut fraternel à tous ceux qui sont dans la colle sur la toile.
Je crois encore à la solidarité.
Bien à Vous.

Bonsoir RILECFE :-)

Eh bien quelle aventure !

Je suis impressionné par votre patience et votre débrouillardise.

A qui le dis-tu, je lisais tout ça avec les yeux biens ronds, il a une

Eh bien quelle aventure !

Je suis impressionné par votre patience et votre débrouillardise.

*Hello Claude LaFrenière* qui nous a dit/ Who told us :

Bonsoir RILECFE :-)

Eh bien quelle aventure !

Je suis impressionné par votre patience et votre débrouillardise.

A qui le dis-tu, je lisais tout ça avec les yeux biens ronds, il a une

patience que je n'ai pas du tout.

Alors, bravo aussi de ma part

En tout cas çà m'effraie tout çà...la solution ne serait elle pas de faire
un backup journalier sur un disque dur branché sur une usb2 et de tout
reinstaller en un clin d'oeil en cas de pepin de ce genre?

J'ai eu le pb dimanche 22/02/2003 en allant recuperer Internet
Optimizer et un crack pour Webcreator Version 1.0 (vieux CD) de
LMSOFT....
Je suis équipé avec AVP Kaspersky et Zone Alarme 4.5. Aucun des deux
n'a réagit. J'ai tout de suite pensé à un virus quand Explorer n'a
plus réagit et ma CPU à 99 %. Après 3 heures de vaines recherches ,
j'ai lancé le scan manuel de AVP. D'habitude 10 minutes. Là 6h53mn à
une vitesse lamentable pour une réponse négative. Je me suis arrété à
3h30.
Lundi soir après le boulot , à 19h00 je me suis lancé dans un
recherche de diagnostique : les outils que j'ai utilisé :
1) REGCLEANER pour vérifier et effacer des clés de registre (Free)
j'ai commencé par virer InternetOptimizer mais je suis pas sur que
c'est lui.
2) SPYBOT comme spyware (Free)
A 23h00 je n'avais toujours rien trouvé
j'ai décider de mettre les moyens :
3) QUICKVIEW PLUS , un utilitaire pour visualiser les fichiers , dll
et autres en format text et Hexadécimal
4) REGMON chez www.sysinternals.com (Free) pour tracer les accès à la
registry
D'abord ne pas clicker ou lancer Explorer.
Positionner le filtre de REGMON avec explore*
lancer la capture , descendre la fenetre REGMON
clicker sur Explore
reouvir la fenetre REGMON
3 secondes suffisent pour avoir une vue du sinistre ,une magnifique
boucle sur
OpenKey HKLMSOFTWAREroimoimurses SUCCESS
EnumValue HKLMSOFTWAREroimoimurses NOMORE
CloseKey HKLMSOFTWAREroimoimurses SUCCESS
OpenKey HKLMSOFTWAREroimoimurses SUCCESS
ect ect pendant des pages et des pages.
Donc c'est bien la boucle !
Pas moyen de la stopper autrement qu'avec un reboot. Je vais voir sur
GOOGLE je trouve et surtout le groupe de discussion. C'est un TROJAN
et je suis pas le seul dans la mouise!!!!!
J'ai utilisé Regcleaner pour enlever ces clés : OK
Je relance Regmon , filtre , start capture
Je lance Explorer : idem : TOUT EST REVENU
Reboot , Relance , je change le filtre de REGMON avec roimoi* et là je
trouve une bardée d'appels murses , murses.dll , murses.exe
Je tue toutes les clés avec REGCLEANER mais il faut supprimer les
murses.dll et autres !!! et là pas de fonction Delete. Essai par le
DOS , rien, pas trouvées.
Je découvre dans SPYBOT en lançant les fonctions avancées , Outils ,
un destructeur. C'est un outil bien , sympa , facile. On peut leur
faire un don , je vais le faire de 30 Euros , c'est le prix d'un
logiciel anti mais payant (voir la polémique sur BOCLEAN)
Je détruit toutes les clés de registre , je broie toutes les
murses.xxx
je vérifie que tout est supprimé. Par mesure de précaution , je reboot
, je lance Explorer . Idem pas de réponse. Je reboot , je relance
Regmon et là oh surprise TOUT EST REVENU comme si je n'avais rien
fait. 4h40 j'arrête.
Mardi 19h00 , un stock de sandwichs et un litre de café !
Je refais toutes les manips , deux fois , toujours sans résultats. Il
y a quelque chose qui m'échappe. J'imprime la trace de REGMON. Les
séquences sont absolument identiques. Je décide de remonter les
opérations de la trace une par une. Quand vous cliquez sur une
opération ,REGMON ouvre une fenetre , lance REGEDIT et vous montre où
se trouve la clé .... Tant pis je les remonte une par une en
commençant par la fin , juste au dessus de la boucle. 4h00 plus tard
je n'ai rien trouvé sauf que les clés que j'ai eliminées avec
REGCLEANER sont recrées et plus fort avec SPYBOT (je n'en dirai jamais
assez de bien) , que j'utilise comme remplaçant de EXPLORER , les
murses.xxx que j'avais broyées se sont toutes recrées. Je n'en crois
pas mes yeux. Je refais tout.Je trouve dans la trace REGMON la
recréation des clés donc des murses.machin (ça m'énerve).
Il est 5h10 du matin. J'arrête.
Mercredi : je demande mon après midi à mon patron (RTT pour une fois
que je peux m'en servir.
Aujourd'hui 14h00. Je refais le point. Si les clés se regénerent c'est
que les programmes correspondants se recréent ! Donc il doit y en
avoir une trace.
Je retourne chez www.sysinternal.com et je descends FILEMON qui trace
les modifications de fichiers .... Je vire tout à nouveau , je reboot
, je pose le filtre sur REGMON Explore* , je lance FILEMON , je pose
le même filtre Explore* et je lance Explore. Coté REGMON c'est
toujours pareil. Coté FILEMON , à la quatrième opération , il y a un
appel à une dll : H877G2341.DLL , 15 lignes plus loin , je vois la
création des murses.machin .... Tiens tiens. J'arrête et je reboot
pour être propre.
La H877G2341.DLL est appelée dans C:WINDOWS. Je lance QUICKVIEW et je
trouve:
DYNAMIC LINK LIBRARY
32bit for Windows 95 and Windows NT

Technical File Information:

Image File Header

Signature: 00004550
Machine: Intel 386
Number of Sections: 0004
Time Date Stamp: 402c421a
Symbols Pointer: 00000000
Number of Symbols: 00000000
Size of Optional Header 00e0
Characteristics: File is executable (i.e. no unresolved external
references).
Line numbers stripped from file.
Local symbols stripped from file.
32 bit word machine.
File is a DLL.

Image Optional Header

Magic: 010b
Linker Version: 6.00
Size of Code: 0000b000
Size of Initialized Data: 00004000
Size of Uninitialized Data: 00000000
Address of Entry Point: 00001ac8
Base of Code: 00001000
Base of Data: 0000c000
Image Base: 11000000
Section Alignment: 00001000
File Alignment: 00001000
Operating System Version: 4.00
Image Version: 1.00
Subsystem Version: 4.00
Reserved1: 00000000
Size of Image: 00010000
Size of Headers: 00001000
Checksum: 00014b58
Subsystem: Image runs in the Windows GUI subsystem.
DLL Characteristics: 0000
Size of Stack Reserve: 00100000
Size of Stack Commit: 00001000
Size of Heap Reserve: 00100000
Size of Heap Commit: 00001000
Loader Flags: 00000000
Size of Data Directory: 00000010
Export Directory Virtual Address: 0000b680
Export Directory Size: 000000a0
Import Directory Virtual Address: 0000ad04
Import Directory Size: 00000028
Resource Directory
Virtual Address: 0000d000
Resource Directory Size: 00000b24
Base Relocation Table
Virtual Address: 0000e000
Base Relocation Table Size: 00000fa8

Export Table

Name: wat.dll (pas trouvée ????)
Characteristics: 00000000
Time Date Stamp: 402c421a
Version: 0.00
Base: 00000001
Number of Functions: 00000004
Number of Names: 00000004

Ordinal Entry Point Name
0000 00003fbe DllCanUnloadNow
0001 00003f92 DllGetClassObject
0002 00003fa8 DllRegisterServer
0003 00003f7c DllUnregisterServer


Import Table

MSVBVM60.DLL
Ordinal Function Name

0000 EVENT_SINK_GetIDsOfNames
0000 __vbaVarTstGt
0000 __vbaVarSub
0000 __vbaStrI2
0000 _CIcos
0000 _adj_fptan
0000 __vbaStrI4
0000 __vbaVarMove
0000 __vbaVarVargNofree
0000 __vbaFreeVar
0000 __vbaLineInputStr
0000 __vbaLenBstr
0000 __vbaStrVarMove
0000 __vbaFreeVarList
0000 _adj_fdiv_m64
0000 EVENT_SINK_Invoke
0000 __vbaFreeObjList


Section Table

Section name: .text
Virtual Size: 0000a720
Virtual Address: 00001000
Size of raw data: 0000b000
Pointer to Raw Data: 00001000
Pointer to Relocations: 00000000
Pointer to Line Numbers: 00000000
Number of Relocations: 0000
Number of Line Numbers: 0000
Characteristics: Section contains code
Section is executable
Section is readable



Section name: .data
Virtual Size: 00000604
Virtual Address: 0000c000
Size of raw data: 00001000
Pointer to Raw Data: 0000c000
Pointer to Relocations: 00000000
Pointer to Line Numbers: 00000000
Number of Relocations: 0000
Number of Line Numbers: 0000
Characteristics: Section contains initialized data
Section is readable
Section is writeable



Section name: .rsrc
Virtual Size: 00000b24
Virtual Address: 0000d000
Size of raw data: 00001000
Pointer to Raw Data: 0000d000
Pointer to Relocations: 00000000
Pointer to Line Numbers: 00000000
Number of Relocations: 0000
Number of Line Numbers: 0000
Characteristics: Section contains initialized data
Section is readable



Section name: .reloc
Virtual Size: 00001120
Virtual Address: 0000e000
Size of raw data: 00002000
Pointer to Raw Data: 0000e000
Pointer to Relocations: 00000000
Pointer to Line Numbers: 00000000
Number of Relocations: 0000
Number of Line Numbers: 0000
Characteristics: Section contains initialized data
Section can be discarded
Section is readable


Header Information

Signature: 5a4d
Last Page Size: 0090
Total Pages in File: 0003
Relocation Items: 0000
Paragraphs in Header: 0004
Minimum Extra Paragraphs: 0000
Maximum Extra Paragraphs: ffff
Initial Stack Segment: 0000
Initial Stack Pointer: 00b8
Complemented Checksum: 0000
Initial Instruction Pointer: 0000
Initial Code Segment: 0000
Relocation Table Offset: 0040
Overlay Number: 0000
Reserved: 0000 0000 0000 0000
0000 0000 0000 0000
0000 0000 0000 0000
0000 0000 0000 0000
Offset to New Header: 000000c0
Memory Needed: 2K

Je jette un coup d'oeil en visualisation HEXA dans le code et je vois
: roimoi , murses , jimmyhelp.CBrowserHelper , jimmyhelp.
Je dois pas être loin.... Je relance REGCLEANER , REGEDIT en cherchant
'jimmy' et je trouve une armée de clés qui pointent les une sur les
autres ......et sur H877H2341.DLL. Je fais une copie de H877H2341.DLL
en G877G2341 et je supprime à nouveau toutes les clés roimoi , murses
, jimmy . Je reboot , je lancer Explore .... pareil. P..... je vais
devenir fou ! Il y encore un truc. Je recharge tout REGMON , FILEMON
avec pour filtre Explore*. Je trouve dans FILEMON l'appel à un
programme csU2.exe qui serait dans mon démarrage (clé RUN). Je lance
SPYBOT fonction avancée , Outils , liste de démarrage : il est bien là
l'enf..... ! Avec ce bel outil SPYBOT , je supprime cette ligne de mon
démarrage. Je regarde avec QUICKVIEW : il a été écrit en Visual Studio
VB98 et c'est lui le PERE qui regénere tout.
Je re-nettoye tout , je reboot , je lance EXPLORE :
CA MARCHE A NOUVEAU . Il est 22h40 j'essaie le panneau de
configuration c'est OK , je passe AVP c'est tout bon 11 minutes !!!!!!
Je m'offre un GRAND bourbon , ce soir je ne conduis pas...
J'ai renommé csU2.exe en copcsU2.exe. Ah la date est bien celle de
dimanche pour H877H2341.DLL idem.
Je sais j'ai été long mais ça fais presque 40 heures que je suis après
....
Mon conseil , dans l'ordre :
Chargez les outils , surtout SPYBOT et si vous avez quelques sous ,
faites leur un don vous ne le regretterez pas.
Avec SPYBOT fonction avancée : liste de démarrage
1) virez les lignes 'bizarres' dans la liste
NsUpdate "C:WindowsNsUpdate.exe UPDATE"
(j'ai un doute connais pas ? je l'avais pas
avant !)
sys "regedit -s sysdll.reg" ????
zIXv2b "C:WINDOWScsU2.exe"

2) passez au déchiqueteur SPYBOT : csU2.exe et H877H2341.DLL
3) avec Regcleaner ou Regedit virez les clés roimoi et les clés dont
voici la liste
HKEY_CLASSES_ROOTCLSID{FE909C6D-E503-4062-A811-8B55B8D95EE8}

HKEY_CLASSES_ROOTCLSID{FE909C6D-E503-4062-A811-8B55B8D95EE8}InprocServer3

[defaut] "C:WINDOWSH877H2341.DLL"
HKEY_CLASSES_ROOTCLSID{FE909C6D-E503-4062-A811-8B55B8D95EE8}ProgID
[defaut] "jimmyhelp.CBrowserHelper"
HKEY_CLASSES_ROOTCLSID{FE909C6D-E503-4062-A811-8B55B8D95EE8}TypeLib
[defaut] "{2862413C-6D86-4644-B1E1-088B975EFDB8}"

HKEY_CLASSES_ROOTTypeLib{2862413C-6D86-4644-B1E1-088B975EFDB8}
HKEY_CLASSES_ROOTTypeLib{2862413C-6D86-4644-B1E1-088B975EFDB8}1.0
[defaut] "jimmyhelp"

HKEY_CLASSES_ROOTTypeLib{2862413C-6D86-4644-B1E1-088B975EFDB8}1.0win32

[defaut] "C:WINDOWSH877H2341.DLL"


HKEY_LOCAL_MACHINESoftwareCLASSESCLSID{FE909C6D-E503-4062-A811-8B55B8D95

[defaut] "jimmyhelp.CBrowserHelper"

HKEY_LOCAL_MACHINESoftwareCLASSESCLSID{FE909C6D-E503-4062-A811-8B55B8D95

Categories{40FC6ED5-2438-11CF-A3DB-080036F12502}

HKEY_LOCAL_MACHINESoftwareCLASSESCLSID{FE909C6D-E503-4062-A811-8B55B8D95

[defaut] "C:WINDOWSH877H2341.DLL"

HKEY_LOCAL_MACHINESoftwareCLASSESCLSID{FE909C6D-E503-4062-A811-8B55B8D95

[defaut] "jimmyhelp.CBrowserHelper"

HKEY_LOCAL_MACHINESoftwareCLASSESCLSID{FE909C6D-E503-4062-A811-8B55B8D95

[defaut] "{2862413C-6D86-4644-B1E1-088B975EFDB8}"


HKEY_LOCAL_MACHINESoftwareCLASSESTypeLib{2862413C-6D86-4644-B1E1-088B975

HKEY_LOCAL_MACHINESoftwareCLASSESTypeLib{2862413C-6D86-4644-B1E1-088B975

[defaut] "jimmyhelp"

HKEY_LOCAL_MACHINESoftwareCLASSESTypeLib{2862413C-6D86-4644-B1E1-088B975

[defaut] "C:WINDOWSH877H2341.DLL"

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
InternetOptimzer ""C:Program FilesInternet
Optimizeroptimize.exe"
NsUpdate "C:WindowsNsUpdate.exe UPDATE"
sys "regedit -s sysdll.reg"
zIXv2b "C:WINDOWScsU2.exe"

Voila : C'est sur ma machine . Je ne sais pas si vous aurez exactement
les mêmes clés et les mêmes dll. Si ça ne marche pas , j'espère que ma
démarche pourra servir à d'autres....

Je suis tolérant mais il y a vraiment des malfaisants.
Trop qui font CHIER les autres en ce bas monde.

J'ai les copies des programmes et images des captures d'écran que je
ne peux pas attacher.
Si vous les voulez ou vous êtes intéressé par voir ce que contiennent
les deux modules pourris , laissez moi votre email pour vous les
envoyer mais faites attention !!!!!!

J'ai quand même 2 questions sans réponse :
Par où a put provenir cette vacherie ,car je n'ai pas de messagerie
client (OUTLOOK) ?
Pourquoi mon AVP , SPYBOT , et autres outils ne l'ont pas détécté ?

Salut fraternel à tous ceux qui sont dans la colle sur la toile.
Je crois encore à la solidarité.
Bien à Vous.

Mouais... Tu sais les solutions trop "lourdes" finissent par être
abandonnées par les utilisateurs après un certain temps.

Cela conciste à lancer Total Uninstall et depuis TUN lancer le
navigateur...À la fin du surf retour à TUN.S'il y a eu des
modifications au système elles ont été repérées par TUN et peuvent
être désintallés.
J'ai testé et ça marche mais un peu lourd et un brin parano...

Bonjour,
Claude LaFrenière écrivait:

Mouais... Tu sais les solutions trop "lourdes" finissent par être
abandonnées par les utilisateurs après un certain temps.

Cela conciste à lancer Total Uninstall et depuis TUN lancer le
navigateur...À la fin du surf retour à TUN.S'il y a eu des
modifications au système elles ont été repérées par TUN et peuvent
être désintallés.
J'ai testé et ça marche mais un peu lourd et un brin parano...

Il y a aussi la fonction standard "Restauration du système" qui
normalement doit remettre les paramètres de la bdr en état, et donc
revenir à une situation ou les virus ou trojans ne se lancent pas au
démarrage...

Attention certains utilitaires récents et complexes sont aussi
embarrasant que les virus...à la moindre action, ils vous demanderont de
la justifier...

--
@:-)
FAQ Windows XP ==> http://a.vouillon.online.fr/

Interessant ceci, alain!
Donc, pour toi une simple restauration à une date anterieur à l'infection
rétablirait le systeme comme si il n'y avait jamais eu de malware??. tu
confirmes celà?
Car si c'est le cas, c'est une revolution dans le domaine de la securité!
( je ne parle pas bien sûr des infections par les virus connus et
généralement indentifiés par les anti_virus et pare feux) mais de toutes
ces petites saloperies qui nourissent tous les forums - de discutions
interminables - quand à la façon de s'en sortir - indemne si possible!).
bien cordialement
daniel

"Alain Vouillon" <emaildansFAQXP@wanadoo.fr> a écrit dans le message de
news:eoM1miD$DHA.2292@TK2MSFTNGP12.phx.gbl...

Bonjour,
Claude LaFrenière écrivait:

Mouais... Tu sais les solutions trop "lourdes" finissent par être
abandonnées par les utilisateurs après un certain temps.

Cela conciste à lancer Total Uninstall et depuis TUN lancer le
navigateur...À la fin du surf retour à TUN.S'il y a eu des
modifications au système elles ont été repérées par TUN et peuvent
être désintallés.
J'ai testé et ça marche mais un peu lourd et un brin parano...

Il y a aussi la fonction standard "Restauration du système" qui
normalement doit remettre les paramètres de la bdr en état, et donc
revenir à une situation ou les virus ou trojans ne se lancent pas au
démarrage...

Attention certains utilitaires récents et complexes sont aussi
embarrasant que les virus...à la moindre action, ils vous demanderont de
la justifier...

--
@:-)
FAQ Windows XP ==> http://a.vouillon.online.fr/