Spyware ou rootkit ? (resolu)

La section des versions NT, 2000, et XP de windows : informations, problèmes, questions, avis ou dépannages y trouveront leur place.

Modérateur: Modérateurs

Spyware ou rootkit ? (resolu)

Messagepar lampil » 16 Aoû 2006 13:08

Bonjour,

Je viens de passer quelques heures pour nettoyer un pc Windows 2000.

Les sympthomes etaient: Une page supplementaire s'ouvrait pour proposer, entre autre driveclean ou pour conseiller un site de casino. Il y avait aussi de petites animes (peut-etre flash) qui glissait sur le coin de l'écran (meme sur google).

Aucun anti-spy testé (spybot, adaware, a2free et counterspy) ne l'on détecté. Ni avast (mais c'est pas son job).

Grace au bon conseil du guide du gentil Falkra :love:, J'ai donc testé ICESWORD (excellent d'ailleurs).

Sous la rubrique Startup, j'ai décelé la présence d'un lien sous RUN (regedit local machine, microsoft, windows, run) sur un fichier IEBONWSA.exe.

Fichier qui se trouve dans windows/system32.

A mon étonnement, aucun fichier de ce nom n'était présent, et rien dans la base de registre...

Alors je me dis, peut-etre qu'avec les droits systeme, je peux le trouver... Donc je tape (at 13:31 /interactive "***.exe") la suite de la commande certains connaissent d'autre pas, mais je n'expliquerai pas.

Donc me voila avec les droits systeme. Mais toujours pas de iebonwsa ni en system32 ni en registre...

Donc j'essaye avec le IceSword, je passe sous l'onglet Registre, et la miracle ! je trouve mon inscription et re miracle je trouve mon fichier (.exe mais aussi .dat et autre).

Je supprime tout ca et le probleme etait réglé !

Machine suivante... meme probleme !!!!!!!!!!!! mais cette fois le .exe se nommait autrement...

J'espere que tout cela pourra aider quelqu'un !

Je remerci encore 1000000000000000x Falkra pour son excellent guide !

a bientot

Lampil
lampil
 

Messagepar Achille1er » 16 Aoû 2006 14:00

Règle no 1 du malware, s'auto-protéger.
règle no 2 se faire protéger par un autre malware.
règle no 3 protéger d'autres malwares.
règle no 4 préparer la venue à de nouvelles versions de malwares.
règle no 4 faire ce qui doit être fait...

J'ai vu une cochonerie faire tourner une dizaine de .exe qui se protégeaient mutuellement, pour enlever ça, c'est pratiquement mission impossible.

:evil:

La meilleure façon de ne pas attraper de trucs, c'est de bien choisir ses outils et pas tester n'importe quoi pris sur n'importe quel site. Les mises à jour de bons produits gratuits (genre incrédimail) peuvent-être aussi très risquée.

Ne vous fiez qu'a ce que vous trouvez sur le blog de libellules, il y a rarement mieux ailleurs longtemps. :wink:
Avatar de l’utilisateur
Achille1er
Super Libellulien
Super Libellulien
 
Messages: 2533
Inscription: 30 Mai 2005 07:46
Localisation: Zotrland

Messagepar lampil » 16 Aoû 2006 14:27

Hello,

Pour enlever le type de malware dont tu parles, il faut d'abord installer et mettre a jour anti-virus et divers anti-spy. Puis couper le connection internet, désactiver la restauration systeme et lancer les divers programmes (anti-virus et anti-spy). Redemarrer et relancer le tout. Si l'ordi n'est pas nickel apres ca il faut faire ca en mode sans echec.

Un fois l'ordi clean. le rebrancher a internet surfer un peu et si les problemes réapparaisse il s'agit peut-etre d'une saloperie style rootkit.

ATTENTION LE PC DOIT AVOIR TOUJOURS TOUTES LES MISES A JOUR. (sauf peut-etre le WGA...)

Lampil
lampil
 

Messagepar Falkra » 16 Aoû 2006 16:53

Merci pour ce feedback lampil. :-D
Il n'y a rien de mieux que de savoir que ça sert. Les rootkits, ou plus globalement, des malwares en tous genres (spywares et virus au sens large) adoptant la technologie rootkit se développent, c'est maintenant qu'il faut savoir ce que c'est pour être tranquille demain, et diagnostiquer rapidement les infections "nouvelle génération" : spyware avec technologie rootkit, virus à fichiers rootkit, etc...

Je suis ravi d'avoir pu rendre service dans ce domaine. :-D
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1


Retourner vers Windows NT, 2000, XP

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités