> Bonjour.
> J'attendais un fichier .doc et il s'est avᅵrᅵ que c'ᅵtait un fichier
> .scr, mais je m'en suis aperᅵu trop tard, j'ai cliquᅵ, j'ai vu l'icone du
> centre de sᅵcuritᅵ s'afficher en anomalie, et depuis c'est la pagaille :
> chaque fois que je lance un programme, une fen^^etre "Exportation de
> votre clᅵ de signature privᅵe" s'affiche, dans laquelle "Une application
> demande l'accᅵs ᅵ un ᅵlᅵment protᅵgᅵ". Quand je clique sur "Dᅵtail", ᅵa
> me donne le chemin du programme que je veux ouvrir.
> En outre, le systᅵme est fortement ralenti.
> Je suis en train de passer MalwareBytes, AVG 8.5 Free et je ferai
> examiner un log de Hijack quand je me reconnecterai, mais est-ce que
> d'ores et dᅵjᅵ on peut m'expliquer ce qui se passe, et quel genre de
> cochonnerie j'ai attrapᅵe (je m'aperᅵois aussi que la touche accent
> circonflexe a un comportement ᅵtrange -- ᅵa rappelle de bien vieux
> souvenirs de virus) ?
> Si ᅵa s'avᅵre trop lourd, je suis pr^^et (ahem) ᅵ rᅵinstaller tout (j'y
> pensais), mais je me demande si ᅵa va bien se passer, car au dᅵpart j'ai
> un XP SP1, et je crois avoir lu qu'il n'est plus "serviced" : est-ce que
> ᅵa signifie que je ne pourrai pas bᅵnᅵficier des updates ?
> Je repasserai (si faire se peut...) avec les rᅵsultats des scans, mais si
> on peut dᅵjᅵ m'orienter, je prendrai volontiers ; merci d'avance pour
> toute info...
Le double ^^, c'est ce bon vie
--
Jacquouille la Fripouille
Pᅵrigord, meitat chen, meitat porc.ux Bagle ou Beagle.
Secuser.com a l'outil adᅵquat FxBeagle :
http://secuser.com/telechargement/desinfection.htm#Bagle
Je reprends :
Le double ^^, c'est ce bon virus Bagle ou Beagle.
Secuser.com a l'outil adᅵquat FxBeagle :
http://secuser.com/telechargement/desinfection.htm#Bagle
--
...et �a ne rajeunit personne, hein, Jacquouille ?
H�las, je crains que �a ne soit pas aussi simple, vu que :
1� je peux pas lancer FxBeagle.exe : �a me donne une bo�te de dialogue qui
beugle ceci :
Runtime Error!
Program: C:\(...)\FxBeagle.exe
R6034
An application has made an attempt to load the C runtime incorrectly.
Please contact the application's support team for more information.
et je suis oblig� de killer le process via le Gestionnaire des t�ches.
2� je pense pas que B(e)agle explique qu'� *chaque* fois que je veux lancer une
appli, *n'importe laquelle*, j'ai cette bo�te de dialogue "Exportation de votre
cl� de signature priv�e" / "Une application demande l'acc�s � un �l�ment
prot�g�". �a commence d�s le changement de Windows, il ouvre sa bo^^ite pour
n'importe quel programme... :-(
3� enfin et pire, HiJackThis a trouv� �a :
> F2 - REG:system.ini:
> UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,
Il pr�cise :
> Cette inscription n'est affich�e qu'� partir de la version 1.98 de HijackThis.
> Non dangereux si rien ne se trouve apr�s le signe "," (virgule).
mais il ne dit pas *quelle* virgule, la premi�re (...\userinit.exe,C:\...) ou la
seconde (...\twext.exe,) ? En tout cas, j'ai beau cocher la case et cliquer
"Fixer objet", tout s'efface, et quand je refais "Scan" la ligne est revenue...
:-(
4� AVG Anti-Rootkit (et encore, l'ancienne version gratuite), avait trouv� la
m^^eme chose, mais apr�s un reboot il ne voit plus rien, pourtant tous les
symptomes persistent !
Une autre id�e, est�p�parpiti� ?!
--
a.
> process via le Gestionnaire des t�ches.
>
> 2� je pense pas que B(e)agle explique qu'� *chaque* fois que je veux lancer
> une appli, *n'importe laquelle*, j'ai cette bo�te de dialogue "Exportation de
> votre
> cl� de signature priv�e" / "Une application demande l'acc�s � un �l�ment
> prot�g�". �a commence d�s le changement de Windows, il ouvre sa bo^^ite pour
> n'importe quel programme... :-(
>
> 3� enfin et pire, HiJackThis a trouv� �a :
>> F2 - REG:system.ini:
>> UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,
> Il pr�cise :
>> Cette inscription n'est affich�e qu'� partir de la version 1.98 de
>> HijackThis.
>> Non dangereux si rien ne se trouve apr�s le signe "," (virgule).
> mais il ne dit pas *quelle* virgule, la premi�re (...\userinit.exe,C:\...) ou
> la seconde (...\twext.exe,) ? En tout cas, j'ai beau cocher la case et cliquer
> "Fixer objet", tout s'efface, et quand je refais "Scan" la ligne est
> revenue... :-(
>
> 4� AVG Anti-Rootkit (et encore, l'ancienne version gratuite), avait trouv� la
> m^^eme chose, mais apr�s un reboot il ne voit plus rien, pourtant tous les
> symptomes persistent !
>
> Une autre id�e, est�p�parpiti� ?!
des pistes :
- vire la ligne C:\WINDOWS\system32\twext.exe, a la main dans le system.ini, si
elle revient, c'est que tu dois fouiller (l� en fait t'es pas sur de ce qui a
ete fait si j'ai bien compris)
- cesse d'utiliser ce windows, surtout sur le net.
- Scan en interne par un piege a rootkit usermode. :
F-Secure Blacklight
RootkitRevealer
Windows Malicious Software Removal Tool
ProcessGuard
Avira Anti Rootkit
- Tente gmer ou carrement combofix
- scane AV profond par un cd ou un systeme propre distinct.
- va sur un forum de desinfection comme Zebulon ou Malekal (faut courber
l'echine par contre) et demande une prise en charge en commencant par le HJT
complet.
--
Cordialement,
Az Sam.
> (...)
> - va sur un forum de desinfection comme Zebulon ou Malekal (faut courber
> l'echine par contre) et demande une prise en charge en commencant par le HJT
> complet.
Qu'est-ce que tu entends pae "courber l'�chine" ? Parce l'erreur n'est pas
humaine ?
Merci encore, merci d'avance pour ces pr�cisions.
--
a.
>> - cesse d'utiliser ce windows, surtout sur le net.
> Qu'est-ce que tu entends par "ce windows" ? XP ? Ma machine ? MS ?
"Le" windows sur lequel tu as executer ce .scr
> Qu'est-ce que tu entends pae "courber l'�chine" ? Parce l'erreur n'est pas
> humaine ?
disons qu'ils ne font pas toujours dans le comprehensif
> Merci encore, merci d'avance pour ces pr�cisions.
De rien. Tiens nous au courant. ;-)
--
Cordialement,
Az Sam.
L� je pense qu'on se posera la question de savoir "pourquoi un SP0 ?"...
Les SP ne font pas que stabiliser l'OS, mais apportent �galement des
corrections de failles
Ensuite Baggle s'attrape avec des cracks et c'est l� que ca va coincer.
Bagle a �volu�... Il utilise des techniques de rootkit et ce n'est pas
en passant des programmes au petit bonheur la chance (m�thode ludo) que
tu vas t'en d�barasser facilement du fait des variantes.
>
>> Merci encore, merci d'avance pour ces pr�cisions.
>
> De rien. Tiens nous au courant. ;-)
Pour info :
http://forum.malekal.com/viewtopic.php?f=33&t=4442
http://www.malekal.com/tutorial_FindyKill.php
http://forum.malekal.com/bagle-beagle-trojan-tooso-r-t4442.html
> L� je pense qu'on se posera la question de savoir "pourquoi un SP0 ?"...
>
> Les SP ne font pas que stabiliser l'OS, mais apportent �galement des
> corrections de failles
>
> Ensuite Baggle s'attrape avec des cracks et c'est l� que ca va coincer.
tu veux dire que si on choppe baggle faut pas venir demand� de prise en charge ?
;-)
> Bagle a �volu�... Il utilise des techniques de rootkit et ce n'est pas en
> passant des programmes au petit bonheur la chance (m�thode ludo) que tu vas
> t'en d�barasser facilement du fait des variantes.
s'il est rootkit� il faudra qu'un programme lui donne l'indice.
en quoi choisir l'un plutot que l'autre, ou meme les autres si l'un reste
negatif, serait une recherche au petit bonheur ?
c'ets bien pour cela que des multi AV existent.
ce n'est pas toujours le standard hjt qui le montrera. Ca ne marche que quand le
malware contenait tout un tas de betises, si c'est un rootkit bien foutu il
restera furtif.
Par contre si c'est un rootkit kernel, avec quoi le verra t il ? quels outils ?
> http://forum.malekal.com/viewtopic.php?f=33&t=4442
>
> http://www.malekal.com/tutorial_FindyKill.php
>
> http://forum.malekal.com/bagle-beagle-trojan-tooso-r-t4442.html
dans ce sujet du 15 Ao� 2007, je lis : "Avast! est loin de ce que l'on a fait de
mieux en mati�re de protection, "
Je comprendrais jamais...
et dans le dernier post du sujet datant du 21 Oct 2008 on peut lire que ce sont
les AV qui le voit.
Mais dans le cas present le dropper n'a pas �t� vu, donc pas bloqu�. (si dropper
et rootkit il y a ...)
--
Cordialement,
Az Sam.
> Le double ^^, c'est ce bon virus Bagle ou Beagle.
> Secuser.com a l'outil adᅵquat FxBeagle :
> http://secuser.com/telechargement/desinfection.htm#Bagle
Non, le double ^^ est le signe d'un intercepteur de frappe de clavier et
il n'en manque pas...
--
Roland Garcia
Heu... :-)
Le baggle s'attrape exclusivement avec les cracks.
Le probl�me c'est qu'il y a un grand nombre d'abrutis qui venaient se
faire d�sinfecter, puis on les revoyait r�guli�rement (sous divers
pseudos)avec les toujours memes infections dont la cause �tait la meme.
En fait, ils partaient du principe que meme si leurs protections �taient
inefficaces (ils �taient sous Avast pour la majorit� d'entre eux ou avec
des AV crack�s ou un Windows tomb� du camion)ce n'�tait pas grave, car
il suffisait de venir sur le forum pour repartir tout propre.
En plus comme certaines infections �taient un peu complexes � virer,
certains ralaient ou s'�nervaient du fait des manips � effectuer ou
parce que cela n'allait pas assez vite pour eux (normal quand on se
pointe � 1h du matin tous les helpeurs ne sont pas pr�sents)
>
>> Bagle a �volu�... Il utilise des techniques de rootkit et ce n'est pas
>> en passant des programmes au petit bonheur la chance (m�thode ludo)
>> que tu vas t'en d�barasser facilement du fait des variantes.
>
> s'il est rootkit� il faudra qu'un programme lui donne l'indice.
> en quoi choisir l'un plutot que l'autre, ou meme les autres si l'un
> reste negatif, serait une recherche au petit bonheur ?
> c'ets bien pour cela que des multi AV existent.
Les AV ne sont pas tr�s dou�s pour ce type de d�tection, il faut des
outils adapt�s � l'infection
>
> ce n'est pas toujours le standard hjt qui le montrera. Ca ne marche que
> quand le malware contenait tout un tas de betises, si c'est un rootkit
> bien foutu il restera furtif.
Tout a fait et du reste il n'y a aucun outil de d�tection pour les
rootkits qui soit efficace � 100%
Pour arriver � d�terminer l'infection il y a d'autres indices, de type
comportemental par ex ou des outils qui n'ont rien � voir avec la
d�tection d'infection (quelques outils de sysinternals, wireshark etc etc)
Perso, je pars du principe qu'un OS compromis au niveau du kernel
devrait etre r�install� (formatage et r�installation) mais bon...
> Par contre si c'est un rootkit kernel, avec quoi le verra t il ? quels
> outils ?
Ce type d'infection veut toujours communiquer vers l'ext�rieur
c'est une de ses failles
Ensuite il y a le comportement du PC, mais l� il faut un peu
d'exp�rience pour en arriver � classifier l'infection pr�sente meme si
on n'arrive pas � la trouver
>
>> http://forum.malekal.com/viewtopic.php?f=33&t=4442
>>
>> http://www.malekal.com/tutorial_FindyKill.php
>>
>> http://forum.malekal.com/bagle-beagle-trojan-tooso-r-t4442.html
>
> dans ce sujet du 15 Ao� 2007, je lis : "Avast! est loin de ce que l'on a
> fait de mieux en mati�re de protection, "
> Je comprendrais jamais...
Avast dans l'absolu n'est pas mauvais du tout, il serait meme tr�s bon
pour la d�tection
Son gros probl�me c'est le labo qui ne suit pas pour int�grer les
nouvelles infections (et meme pour certaines (dont les infections MSN)
dont on a vu parfois plus d'un mois et demi de d�calage
Ensuite la d�sinfection n'est pas son fort
>
> et dans le dernier post du sujet datant du 21 Oct 2008 on peut lire que
> ce sont les AV qui le voit.
> Mais dans le cas present le dropper n'a pas �t� vu, donc pas bloqu�. (si
> dropper et rootkit il y a ...)
Cela a toujours �t� le probl�me entre le dropper et le payload...
>Valeur(s) du Registre infect�e(s): 1
>El�ment(s) de donn�es du Registre infect�(s): 2
>Dossier(s) infect�(s): 1
>Fichier(s) infect�(s): 7
(...)
>Valeur(s) du Registre infect�e(s):
>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID
>(Malware.Trace) -> No action taken.
>El�ment(s) de donn�es du Registre infect�(s):
>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
>NT\CurrentVersion\Winlogon\Userinit (Backdoor.Bot) -> Data:
>c:\windows\system32\twext.exe -> No action taken.
>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
>NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad:
>(C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\twext.exe,) Good:
>(Userinit.exe) -> No action taken.
>Dossier(s) infect�(s):
>C:\WINDOWS\system32\twain_32 (Backdoor.Bot) -> No action taken.
>Fichier(s) infect�(s):
>c:\WINDOWS\system32\twain_32\local.ds (Backdoor.Bot) -> No action taken.
>c:\WINDOWS\system32\twain_32\local.d_ (Backdoor.Bot) -> No action taken.
>c:\WINDOWS\system32\twain_32\user.ds (Backdoor.Bot) -> No action taken.
>c:\WINDOWS\system32\twain_32\user.ds.cla (Backdoor.Bot) -> No action taken.
>c:\WINDOWS\system32\twain_32\user.ds.cl_ (Backdoor.Bot) -> No action taken.
>c:\WINDOWS\system32\twain_32\user.d_ (Backdoor.Bot) -> No action taken.
>C:\WINDOWS\system32\twext.exe (Backdoor.Bot) -> No action taken.
Avant lui, AVG Anti-rootkit avait trouv� quatre infections aux m�mes endroits,
toutes li�es � twext.exe.
Ensuite, apr�s que j'aie pass� MalwareByte, AVG a encore trouv� �a :
>"C:\WINDOWS\system32\vzbjfwc.dat";"Cheval de Troie : NaviPromo.AA";"Infect�"
...En tout cas, je ne suis plus emb�t�, apparemment.
--
a.
Bonjour,
> Or donc : apparemment MalwareByte en a eu la plus grande partie. Pour info, un
> log ci-dessous (je sais pas bien pourquoi il renvoie "-> No action taken." ; si
> j'ai bien suivi, ce log est celui �crit au chargement, alors que le log en mode
> sans �chec contenait plut�t "Action on reboot", ou quelque chose comme �a) :
Je suppose que c'est ainsi que tu as proc�d�, mais il est utile de
rappeler que pour utiliser MalwareBytes avec un maximum d'efficacit�, il
faut :
- t�l�charger la derni�re mise � jour de la base de donn�es ;
- rebooter en mode sans �chec sans prise en compte du r�seau ;
- passer Malwarebytes.
En mode normal, MalwareBytes d�tecte bien les probl�mes, mais peut dans
certains cas ne pas �tre en mesure de les corriger correctement.
--
Eric
>> tu veux dire que si on choppe baggle faut pas venir demand� de prise en
>> charge ? ;-)
>
>
> Heu... :-)
ah d'accord.. Je ne manquerais pas de le ressortir concernant le Forum Malekal
alors ;-)
non je plaisante..
Mais c'est vrai que parfois, a lire certaine reaction de "helpeur" on se demande
en quoi ils sont une "aide".
> Les AV ne sont pas tr�s dou�s pour ce type de d�tection, il faut des outils
> adapt�s � l'infection
absolument d'ou ma reaction dans le fil baggle du forum malekal qui releve la
nouvelle forme rootkit�e de baggle par des AV...
Il y a qomme une contradiction
Et pour connaitre l'outil adapt�, il faut deja connaitre l'infection .
> Tout a fait et du reste il n'y a aucun outil de d�tection pour les rootkits
> qui soit efficace � 100%
ca me rassure de trouver un point commun meme pour un lieu devenu commun . ;-)
> Pour arriver � d�terminer l'infection il y a d'autres indices, de type
> comportemental par ex ou des outils qui n'ont rien � voir avec la d�tection
> d'infection (quelques outils de sysinternals, wireshark etc etc)
d'accord , dont ceux que je donnais en piste,
Puis je esperer que cela ne soit pas une "recherche au petit bonheur la chance"
?.
> Perso, je pars du principe qu'un OS compromis au niveau du kernel devrait etre
> r�install� (formatage et r�installation) mais bon...
moi aussi.
Sauf que les outils anti rootkit vont eventuellement montrer des rootkit
user-mode, pas les autres.
sauf a comparer une base systeme "propre" avec l'actuelle comment determine
qu'il y a ait un rootkit kernel dedans..
> Ce type d'infection veut toujours communiquer vers l'ext�rieur
> c'est une de ses failles
quand ca spam ou zombifie activement oui.
mais quand ca ne fait que transmettre quelques contenus, rapidement, ca va etre
plus dur.
si il faut sniffer et analyser toutes les trames sur de longues periodes, c'est
un sacre temps perdu il en passe des choses sur un reseau, meme sans rien faire
.
> Ensuite il y a le comportement du PC, mais l� il faut un peu d'exp�rience pour
> en arriver � classifier l'infection pr�sente meme si on n'arrive pas � la
> trouver
et je dois dire que c'est ce que j'attends des forum specialises de
desinfection.. C'est quand meme pas souvent le cas.
Les helpeurs ont beau etre formes, c'est insuffisant et ils se contentent ,
comme tout support finalement, de suivre une procedure standardis�e.
Or une telle recherche demande justement de sortir des sentiers battus.
>> dans ce sujet du 15 Ao� 2007, je lis : "Avast! est loin de ce que l'on a fait
>> de mieux en mati�re de protection, "
>> Je comprendrais jamais...
>
>
> Avast dans l'absolu n'est pas mauvais du tout, il serait meme tr�s bon pour la
> d�tection
> Son gros probl�me c'est le labo qui ne suit pas pour int�grer les nouvelles
> infections (et meme pour certaines (dont les infections MSN) dont on a vu
> parfois plus d'un mois et demi de d�calage
>
> Ensuite la d�sinfection n'est pas son fort
et "protection" dans ce cas l�, ca signifie quoi ? detection ? desinfection ?
mise a jour ?
non, je pense que cette phrase a �t� oubliee d'etre corrig�e tout simplement.
surtout que juste au dessus on peut lire :
"nous vous recommandons d'abandonner Avast! pour Antivir."
:-))
Il est aussi utile de rappeler, donc, que ce programme est fichtrement efficace,
pour l'exp�rience que j'en ai !
--
a.
Tu n'as pas bien compris ma m�thode
mais ce n'est pas un scoop... Alors je
lui donne le lien de "ma m�thode"
qui fonctionne tr�s bien :
http://inforadio.free.fr/articles.php?lng=fr&pg=58
Cordialement,
Ludovic.
Je ne vois nul part dans ce lien la m�thode pour se d�barasser de baggle
Mais tu es dans un forum "public" mon grand, pas chez toi ou sur ta
messagerie perso