Un virus bizarre

Dans le message de news %2331y4sOCHHA.3916@TK2MSFTNGP06.phx.gbl,
J-Pierre <enlevez-moi-ca.jpberchtold@hotmail.com> a écrit:
|| Bonjour,

Bonsoir,

||
|| Le virus vient de réattaquer.
||
|| A 17h09 et 19h21, Windows Defender enregistre la tâche suspecte.
|| Aux mêmes heures, Bitdefender met irdvxc.exe en quarantaine.
|| Et je retrouve de nouvelles tâches planifiées, j'ai donc refait le
|| ménage.
||
|| En relisant la description de BitDefender, je penche pour une
|| attaque par Internet, car les autres machines du réseau local ne
|| sont pas infectées/attaquées, je cite:
|| The bot/worm installed on a computer searches for other computers in
|| the same network or even in the internet. Once it finds a computer,
|| it sends a malformed TCP packet that will cause the target computer
|| to execute the content of the packet, which is a batch script -
|| detected as Backdoor.BotGet.FtpA.Gen.

Normalement, avec un parefeu bien réglé RIEN de ce qui vient d'Internet (et
peu de ce qui sort) ne devrait atteindre la machine, sauf si on ouvre à
n'importe qui (par exemple avec Kazaa ou eMule). Quel pare-feu utilise ce PC
(avec sa version)?
Il faut aussi mettre à jour avec Windows Update (même les machines refusées
par le test Genuine MS ont droit aux mises à jour de sécurité.

A+

Jacques

||
|| Mais BitDefender ne détecte pas Backdoor.BotGet.FtpA.Gen
||
|| Que faire ????????
||
|| J-Pierre

Bonsoir Jacques,

"Jacques-A" <jacques.anonymous@discussions.microsoft.com> a écrit dans le message de news:
emlCh6OCHHA.3540@TK2MSFTNGP03.phx.gbl...

Dans le message de news %2331y4sOCHHA.3916@TK2MSFTNGP06.phx.gbl,
J-Pierre <enlevez-moi-ca.jpberchtold@hotmail.com> a écrit:
|| Bonjour,

Bonsoir,

||
|| Le virus vient de réattaquer.
||
|| A 17h09 et 19h21, Windows Defender enregistre la tâche suspecte.
|| Aux mêmes heures, Bitdefender met irdvxc.exe en quarantaine.
|| Et je retrouve de nouvelles tâches planifiées, j'ai donc refait le
|| ménage.
||
|| En relisant la description de BitDefender, je penche pour une
|| attaque par Internet, car les autres machines du réseau local ne
|| sont pas infectées/attaquées, je cite:
|| The bot/worm installed on a computer searches for other computers in
|| the same network or even in the internet. Once it finds a computer,
|| it sends a malformed TCP packet that will cause the target computer
|| to execute the content of the packet, which is a batch script -
|| detected as Backdoor.BotGet.FtpA.Gen.

Normalement, avec un parefeu bien réglé RIEN de ce qui vient d'Internet (et peu de ce qui sort) ne devrait atteindre la
machine, sauf si on ouvre à n'importe qui (par exemple avec Kazaa ou eMule). Quel pare-feu utilise ce PC (avec sa version)?
Il faut aussi mettre à jour avec Windows Update (même les machines refusées par le test Genuine MS ont droit aux mises à
jour de sécurité.

BitDefender 9.
Je pense que le pare-feu est bien réglé, il n'y a pas beaucoup de programmes autorisés, il sont tous parfaitement identifiés,
et mon Windows est validé par Genuine Advantage et toutes les MAJ sont installées. Sans y connaître grand-chose, si un paquet
TCP malformé est exécuté par Windows, on peut aussi penser que le pare-feu est court-circuité.

J-Pierre

Dans le message de news %23k1DrmPCHHA.3540@TK2MSFTNGP03.phx.gbl,
J-Pierre <enlevez-moi-ca.jpberchtold@hotmail.com> a écrit:
|| Bonsoir Jacques,
Bonjour J-Pierre,

||
|| "Jacques-A" <jacques.anonymous@discussions.microsoft.com> a écrit
|| dans le message de news: emlCh6OCHHA.3540@TK2MSFTNGP03.phx.gbl...
||| Dans le message de news %2331y4sOCHHA.3916@TK2MSFTNGP06.phx.gbl,
||| J-Pierre <enlevez-moi-ca.jpberchtold@hotmail.com> a écrit:
||||| Bonjour,
|||
||| Bonsoir,
||| ||| ....
||| Normalement, avec un parefeu bien réglé RIEN de ce qui vient
||| d'Internet (et peu de ce qui sort) ne devrait atteindre la machine,
||| sauf si on ouvre à n'importe qui (par exemple avec Kazaa ou eMule).
||| Quel pare-feu utilise ce PC (avec sa version)? Il faut aussi mettre
||| à jour avec Windows Update (même les machines refusées par le test
||| Genuine MS ont droit aux mises à jour de sécurité.
|||
||
|| BitDefender 9.
|| Je pense que le pare-feu est bien réglé, il n'y a pas beaucoup de
|| programmes autorisés, il sont tous parfaitement identifiés, et mon
|| Windows est validé par Genuine Advantage et toutes les MAJ sont
|| installées. Sans y connaître grand-chose, si un paquet TCP malformé
|| est exécuté par Windows, on peut aussi penser que le pare-feu est
|| court-circuité.

Je ne connais pas le pare-feu de BitDefender mais si pour une raison ou une
autre, une vulnérabilité est exploitable sur Windows, il n'y a pas de raison
que le pare-feu d'une maison à priori sérieuse laisse passer le paquet,
qu'il soit bien ou mal formé s'il n'est pas à destination d'un processus
validé. Je pense donc qu'on peut exclure une attaque ciblée qui viendrait
d'Internet à intervalle régulier. Ne reste que le programme piégé qui n'est
pas détecté et qui arrive à générer le trojan. Le problème restera donc
entier tant que ce programme sera actif. Même si c'est fastidieux, il reste
donc à se poser des questions sur tous les process actifs. Un redémarrage
avec enregistrement de la log est-il conforme à ce que voit Spybot?

A+

Jacques

||
|| J-Pierre

Bonjour Jacques,

Ne reste que le programme piégé qui n'est pas détecté et qui arrive à générer le trojan. Le problème restera donc entier
tant que ce programme sera actif. Même si c'est fastidieux, il reste donc à se poser des questions sur tous les process
actifs. Un redémarrage avec enregistrement de la log est-il conforme à ce que voit Spybot?

A+

SpyBot n'a trouvé que 10 cookies traceurs, rien de bien méchant.



"Un redémarrage avec enregistrement de la log".....ça, je ne sais pas faire.....



Tu m'avais aussi suggéré de créer un fichier c:irdvxc.exe en mode sans échec, avec accès seulement pour l'administrateur, je
l'ai fait, puis j'ai rebooté comme utilisateur avec droits d'administrateur, et j'ai pu supprimer le fichier. Dommage, car
normalement, je devrais avoir un message d'erreur quand le trojan veut créer le fichier.



Autre possibilité, trouver dans un des logs de windows ce qui crée une tâche planifiée. Dans l'observateur d'évènement
(système), j'ai trouvé des logs de Windows Defender chaque fois qu'une tâche planifiée est créée, voilà ce que dit le dernier,
mais malheureusement, il me semble qu'il n'y a pas suffisamment d'informations pour identifier le programme fautif. J'ai
également lancé une recherche dans la BDR sur le scan ID, rien.......
Windows Defender Real-Time Protection agent has detected changes. Microsoft recommends you analyze the software that made
these changes for potential risks. You can use information about how these programs operate to choose whether to allow them to
run or remove them from your computer. Allow changes only if you trust the program or the software publisher. Windows Defender
can't undo changes that you allow.

For more information please see the following:

http://go.microsoft.com/fwlink/?linkidt409

Scan ID: {76B6C51E-BC2D-4A4F-ACBF-89D4D9D3BAFB}

User: X1Jean-Pierre

Name: Unknown

ID:

Severity: Not Yet Classified

Category: Not Yet Classified

Path Found: file:C:WINDOWStasksAt3.job;taskscheduler:C:WINDOWStasksAt3.job

Alert Type: Unclassified software

Detection Type:

Pour plus d'informations, consultez le centre Aide et support à l'adresse http://go.microsoft.com/fwlink/events.asp.




Les processus actifs, il n'y en a pas tant que ça (49), et il ne me sera pas fastidieux de faire ce qui est nécessaire pour
repérer le coupable. La question bien sûr est:-) Que faut-il faire ? J'ai bien essayé de comparer ce qu'affichent msconfig et
le gestionnaire des tâches, malheureusement, l'un affiche des noms d'exe, l'autre des noms de services.....

Toujours avec msconfig, j'ai contrôlé les programmes chargés au démarrage, là non plus, rien ne semble anormal....

Là, je viens d'avoir une bonne idée je crois. Je vais contrôler la liste des processus actifs de cette machine avec celle
d'une autre machine XP non infectée, chercher les différences, analyser les propriétés. Comme ça va me prendre un peu sinon
beaucoup de temps, je poste déjà ça.

Merci pour votre aide :-)
J-Pierre

"J-Pierre" <enlevez-moi-ca.jpberchtold@hotmail.com> a écrit dans le message
de news: OL0201aCHHA.3524@TK2MSFTNGP06.phx.gbl...

Bonjour Jacques,

Ne reste que le programme piégé qui n'est pas détecté et qui arrive à
générer le trojan. Le problème restera donc entier tant que ce programme
sera actif. Même si c'est fastidieux, il reste donc à se poser des
questions sur tous les process actifs. Un redémarrage avec enregistrement
de la log est-il conforme à ce que voit Spybot?

A+

SpyBot n'a trouvé que 10 cookies traceurs, rien de bien méchant.

Non, je parlais des tâches avancées "démarrage du système" et "running
processes", pas du résultat du scan.

"Un redémarrage avec enregistrement de la log".....ça, je ne sais pas
faire.....

C'est une des options du basculement en mode sans échec.

Tu m'avais aussi suggéré de créer un fichier c:irdvxc.exe en mode sans
échec, avec accès seulement pour l'administrateur, je l'ai fait, puis j'ai
rebooté comme utilisateur avec droits d'administrateur, et j'ai pu
supprimer le fichier. Dommage, car normalement, je devrais avoir un
message d'erreur quand le trojan veut créer le fichier.

Depuis, j'ai trouvé le "mode d'emploi"
http://uk.trendmicro-europe.com/enterprise/vinfo/encyclopedia.php?LYstr=VMAINDATA&vNav=2&VName=BKDR_RBOT.ERZ
qui demande de trouver le fichier fautif (bien appliquer TOUT ce qui est
demandé y-compris l'arrêt de restauration système mais cela t'a déja été
indiqué sauf erreur). Normalement, dans un scan en ligne, il y a accès à
tout ce qui a été trouvé (en particulier, les noms des fichiers fautifs). Il
faut peut-être chercher sur leur écran mais cela doit y être (ou changer
d'option de nettoyage).

Pour finir, ne pas oublier qu'ici, tous sont bénévoles et que s'il n'y a pas
de réponse indiquant "j'ai eu tel ennui en appliquant la procédure", celui
qui sait risque de ne pas poursuivre sur le fil suivant traitant du même
sujet.

Jacques

Autre possibilité, trouver dans un des logs de windows ce qui crée une
tâche planifiée. Dans l'observateur d'évènement (système), j'ai trouvé des
logs de Windows Defender chaque fois qu'une tâche planifiée est créée,
voilà ce que dit le dernier, mais malheureusement, il me semble qu'il n'y
a pas suffisamment d'informations pour identifier le programme fautif.
J'ai également lancé une recherche dans la BDR sur le scan ID, rien.......
Windows Defender Real-Time Protection agent has detected changes.
Microsoft recommends you analyze the software that made these changes for
potential risks. You can use information about how these programs operate
to choose whether to allow them to run or remove them from your computer.
Allow changes only if you trust the program or the software publisher.
Windows Defender can't undo changes that you allow.

For more information please see the following:

http://go.microsoft.com/fwlink/?linkidt409

Scan ID: {76B6C51E-BC2D-4A4F-ACBF-89D4D9D3BAFB}

User: X1Jean-Pierre

Name: Unknown

ID:

Severity: Not Yet Classified

Category: Not Yet Classified

Path Found:
file:C:WINDOWStasksAt3.job;taskscheduler:C:WINDOWStasksAt3.job

Alert Type: Unclassified software

Detection Type:

Pour plus d'informations, consultez le centre Aide et support à l'adresse
http://go.microsoft.com/fwlink/events.asp.




Les processus actifs, il n'y en a pas tant que ça (49), et il ne me sera
pas fastidieux de faire ce qui est nécessaire pour repérer le coupable. La
question bien sûr est:-) Que faut-il faire ? J'ai bien essayé de comparer
ce qu'affichent msconfig et le gestionnaire des tâches, malheureusement,
l'un affiche des noms d'exe, l'autre des noms de services.....

Toujours avec msconfig, j'ai contrôlé les programmes chargés au démarrage,
là non plus, rien ne semble anormal....

Là, je viens d'avoir une bonne idée je crois. Je vais contrôler la liste
des processus actifs de cette machine avec celle d'une autre machine XP
non infectée, chercher les différences, analyser les propriétés. Comme ça
va me prendre un peu sinon beaucoup de temps, je poste déjà ça.

Merci pour votre aide :-)
J-Pierre

re ;-)

"Jacques-A" a écrit dans le message
news:u3G0MrbCHHA.4372@TK2MSFTNGP03.phx.gbl...

Depuis, j'ai trouvé le "mode d'emploi"
http://uk.trendmicro-europe.com/enterprise/vinfo/encyclopedia.php?LYstr=VMAINDATA&vNav=2&VName=BKDR_RBOT.ERZ
qui demande de trouver le fichier fautif (bien appliquer TOUT ce qui est
demandé y-compris l'arrêt de restauration système mais cela t'a déja été
indiqué sauf erreur). Normalement, dans un scan en ligne, il y a accès à
tout ce qui a été trouvé (en particulier, les noms des fichiers fautifs).
Il faut peut-être chercher sur leur écran mais cela doit y être (ou
changer d'option de nettoyage).

Pour finir, ne pas oublier qu'ici, tous sont bénévoles et que s'il n'y a
pas de réponse indiquant "j'ai eu tel ennui en appliquant la procédure",
celui qui sait risque de ne pas poursuivre sur le fil suivant traitant du
même sujet.

Merci cher Jacques :-)

La piste de WDefender options --» Allowed items ET Software explorer ne
semble pas avoir été exploitée ...

Dommage ;-(

--
« De la discussion, jaillit la lumière.. »
Cdlt@+ à tous j@ckie

Bonsoir,

Depuis, j'ai trouvé le "mode d'emploi"
http://uk.trendmicro-europe.com/enterprise/vinfo/encyclopedia.php?LYstr=VMAINDATA&vNav=2&VName=BKDR_RBOT.ERZ
qui demande de trouver le fichier fautif (bien appliquer TOUT ce qui est demandé y-compris l'arrêt de restauration système
mais cela t'a déja été indiqué sauf erreur). Normalement, dans un scan en ligne, il y a accès à tout ce qui a été trouvé
(en particulier, les noms des fichiers fautifs). Il faut peut-être chercher sur leur écran mais cela doit y être (ou
changer d'option de nettoyage).

J@ckie m'avait déjà conseillé un scan avec trendmicro. Je l'ai fait, et suivi EXACTEMENT toutes leurs instructions, en fait,
celles de la page que tu mentionnes. Je recopie ma réponse:
"A part ça, j'ai tout bien fait comme expliqué par TMicro.
Leur scan en ligne (particulièrement complet) a détecté le virus, comme je n'ai pas leur anti-virus permanent, je n'ai pas pu
(ou pas su) voir les logs, je ne sais pas exactement ce qu'ils ont trouvé, alors j'ai viré ce qu'ils avaient mis en
quarantaine.
Pour les opérations manuelles en mode sans échec, il n'y avait rien dans la BDR."

Pour finir, ne pas oublier qu'ici, tous sont bénévoles et que s'il n'y a pas de réponse indiquant "j'ai eu tel ennui en
appliquant la procédure", celui qui sait risque de ne pas poursuivre sur le fil suivant traitant du même sujet.

Merci cher Jacques :-)

Diable, qu'ai-je donc écrit ou fait qui vous amène à faire ce genre de remarque ? :-)
Si c'est relatif à mon problème pour créer un fichier irdvxc.exe accessible seulement au compte Administrateur, j'ai déjà
répondu, je recopie ma réponse:
"Enfin, j'ai créé mon fichier c:irdvxc.exe en ne donnant les droits qu'à l'administrateur, mais quand je me suis connecté
comme utilisateur du groupe administrateur, j'ai pu le supprimer sans message d'erreur :-("

La piste de WDefender options --» Allowed items ET Software explorer ne semble pas avoir été exploitée ...

Dommage ;-(

Si J@ckie, j'ai essayé d'exploiter cette piste, je te recopie la réponse que j'ai déjà faite:
""Allowed items" permet d'autoriser l'exécution d'un programme, pas de l'empêcher, si j'ai bien compris.
Je viens de contrôler dans les 4 catégories de Software Explorer, programme par programme. Pas de irdvxc.exe. Ce qui me paraît
normal puisque BitDefender le bloque."

Enfin, dernier point, Jacques m'avait répondu (je résume):
"Même si c'est fastidieux, il reste donc à se poser des questions sur tous les process actifs. Un redémarrage avec
enregistrement de la log......est une des options du basculement en mode sans échec."
Pour moi, ce n'est pas fastidieux, ça vaut la peine de le faire.
Mais je fais quoi ? Je redémarre en mode sans échec avec cette option, et après ?
J'attends que le virus se manifeste ?
Quand il s'est manifesté, je cherche quoi dans quel log ?
Bref, j'ai besoin de plus de détails pour appliquer cette solution.

Voilà, voilà, pour résumer:
1-Je ne suis sans doute pas le plus grand expert anti-virus du siècle. Désolé si vos réponses ne me paraissent pas toujours
très claires.
2-Jacques a déjà parfaitement décrit la situation, je le cite: "Ne reste que le programme piégé qui n'est pas détecté et qui
arrive à générer le trojan. Le problème restera donc entier tant que ce programme sera actif". Et en ce sens, les scans de
machine n'apportent rien, car dans ce cas particulier, ils s'attaquent aux conséquences et non pas à la cause.

Merci
J-Pierre

Entre la chaise et le clavier de J-Pierre, viennent de surgir les mots que
voici:
<news:uhp2H5pCHHA.468@TK2MSFTNGP06.phx.gbl>

[snip...]

Enfin, dernier point, Jacques m'avait répondu (je résume):
"Même si c'est fastidieux, il reste donc à se poser des questions sur
tous les process actifs. Un redémarrage avec enregistrement de la
log......est une des options du basculement en mode sans échec." Pour moi,
ce n'est pas fastidieux, ça vaut la peine de le faire.
Mais je fais quoi ? Je redémarre en mode sans échec avec cette
option, et après ? J'attends que le virus se manifeste ?
Quand il s'est manifesté, je cherche quoi dans quel log ?
Bref, j'ai besoin de plus de détails pour appliquer cette solution.

Voilà, voilà, pour résumer:
1-Je ne suis sans doute pas le plus grand expert anti-virus du
siècle. Désolé si vos réponses ne me paraissent pas toujours très
claires. 2-Jacques a déjà parfaitement décrit la situation, je le
cite: "Ne reste que le programme piégé qui n'est pas détecté et qui
arrive à générer le trojan. Le problème restera donc entier tant que
ce programme sera actif". Et en ce sens, les scans de machine
n'apportent rien, car dans ce cas particulier, ils s'attaquent aux
conséquences et non pas à la cause.

Je reste dans le thread ..mais je racourci un peu l'historique vu la
longueur

Avec cross-post et fu2 du coté de fr.comp.securite.virus, c'est quand même
largement plus en charte là-bas que ici ....

Pour chercher ta bébéte ...:

- va là :
http://www.microsoft.com/technet/sysinternals/processesandthreads/processmonitor.mspx
- télécharger Process Monitor ( gratos )
- dézip et lance-le
- va dans le menu "filter" / "filter..."
- ajoute une ligne de filtrage comme suit:

Premiere liste déroulante (column) tu choisi : Path
2° liste ( relation ) tu choisi : contains
3° liste ( value ) tu tape : irdvxc.exe
4° liste ( action ) tu choisi : include

tu clic [Add] et tu vérifie que la ligne qui viens de s'ajouter à la grande
liste est correcte
ça doit ressembler à ça : http://cjoint.com/?lsn2hrqnHr

tu clic OK ...

et tu attend de voir réaparaitre l'indésirable

à ce moment, tu regarde dans processmonitor ..qui à fait quoi ....

tu peut affiner l'affichage en créant un filtre de surlignage dans " filter"
/ "hilight"

"operation" "is" "create file" "include" et clic sur [Add] et [OK]

comme ça tu devrait voir sans trop de difficultés qui à créé ce
#@#{#@#@#{[ de fichier !!

tu va récupérer qqchose qui ressemble à ça : http://cjoint.com/?lsobikiCQK

Dans mon exemple, on voit dans les premières ligne que c'est METAPAD.EXE qui
à crée le fichier en question, t'as plus qu'a trouver qui c'est chez toi.

PS: C'est un exemple, et METAPAD n'est qu'un éditeur de texte avec j'ai crée
moi-même un fichier alakon ..ça ne sera pas lui chez toi.

Bonne chasse.
cross-post et fu2 du coté de fr.comp.securite.virus,

--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça arrive.

Salut Ascadix,

Avec un tel niveau de détails, même moi, j'y suis arrivé.
Process Monitor est embusqué avec sa grosse massue, il guette pour taper sur la tête de la pauvre bête....

C'est bien la première fois de ma vie que je suis impatient de voir un virus se manifester :-)

A+ et merci
J-Pierre

PS: Je me suis abonné à fr.comp.securite.virus que je ne connaissais pas :-)

Question annexe,

Les évènements s'accumulent à toute vitesse (~200 à la seconde), dois-je faire un clear à intervalles réguliers ?

J-Pierre