Backdoor prorat semble empêcher Norton d'effectuer un scan

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Messagede Vazkor » 07 Avr 2004, 12:09

Il faut ouvrir les fichier win.ini et system.ini pour vérifier le contenu des sections [boot] et [windows]
Ces fichiers ini se trouvent bien dans C:\WINNT de Windows 2000 et ne sont utilisés que par les applications 16 bits.

Je te dis tout de suite que je ne trouve pas ces sections sur mon PC.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9810
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede Sblondel1 » 07 Avr 2004, 12:18

voici le contenu de ces deux fichiers, ces sections ne sont pas présentes non plus...

System.ini :

; for 16-bit app support

[drivers]
wave=mmdrv.dll
timer=timer.drv

[mci]
[driver32]
[386enh]
woafont=app850.FON
EGA80WOA.FON=EGA80850.FON
EGA40WOA.FON=EGA40850.FON
CGA80WOA.FON=CGA80850.FON
CGA40WOA.FON=CGA40850.FON

Win.ini :

; for 16-bit app support
[fonts]
[extensions]
[mci extensions]
[files]
[Mail]
MAPI=1
CMC=1
CMCDLLNAME=mapi.dll
CMCDLLNAME32=mapi32.dll
MAPIX=1
MAPIXVER=1.0.0.1
OLEMessaging=1
[MCI Extensions.BAK]
asf=MPEGVideo2
asx=MPEGVideo2
ivf=MPEGVideo2
m3u=MPEGVideo2
mp2v=MPEGVideo
mp3=MPEGVideo2
mpv2=MPEGVideo
wax=MPEGVideo2
wm=MPEGVideo2
wma=MPEGVideo2
wmv=MPEGVideo2
wmx=MPEGVideo2
wvx=MPEGVideo2
wpl=MPEGVideo

Je vais redémarrer mon PC et vérifier si la BDR est exempte des clé suscitées, et vérifier que Norton remarche normalement, je pense qu'il s'agit de la bonne méthode ?

Encore merci,

Stef.
Sblondel1
 
Messages: 11
Inscription: 06 Avr 2004, 23:26

Messagede Sblondel1 » 07 Avr 2004, 15:11

Des nouvelles du front :

Mon PC vint de me faire un bel écran bleu, alors que je bossai sur dreamweaver !

J' ai vite tout étain, débranché, puis rallumer en coupant physiquement la connexion au net.

Puis j'ai repassé en revu toutes les clés, les fichiers *.ini et les fichiers systèmes : tout ce que j'avais éliminé était à nouveau là !!! Sauf que ce coup ci, j'ai fait une recherche pour chaque fichier, et j'ai trouvé ktd32.atm qui se cachait non pas dans le répertoire system, mais dans winnt, je l'ai virer.

Par contre, en ce qui concerne le fichier main.exe, j'en trouve un, mais à cet emplacement :
C:\ProgramFiles\Fichiers communs\Symantec shared\main.exe
Je ne sais pas si c'est normal, ou si c'est ce fichier qui me sème la zizanie dans Norton... ?

Enfin, en ce qui concerne le fichier Winlogon.exe, il y en a 3, en voici les emplacements :

- C:\Winnt\system32\Winlogon
- C:\Winnt\Servicepack file\i386
- C:\Winnt\$NtUninstallKB824141$ (je crois qu'il s'agit d'un fichier relatif à l'installation d'une mise à jour "windows update", c'est précisément en désactivant mon antivirus pour procéder à une mise à jour que j'ai chopé ce trojan, dans shareazaa, en oubliant de réactiver Norton après l'update de Windows...)
J'ai essayer de virer le winlogon du répertoire system32, mais cela m'a été refusé, le fichier source étant en cours d'utilisation...

Je ne sais plus quoi faire...

Stef.
Sblondel1
 
Messages: 11
Inscription: 06 Avr 2004, 23:26

Messagede pierre » 07 Avr 2004, 19:46

Bonjour Sblondel1

Allez, on y va pour Winlogon

C'est 1 hijacker

Tu ne peut pas détruire le fichier car il est en cours d'utilisation.

1- Tuer les 2 processus suivants
winlogon.exe
winlogon.unpacked.exe


2- Désenregistre les dll suivantes Comment ?
systemroot+\cntrs.dll
systemroot+\csynth.dll
systemroot+\csyntht.dll
systemroot+\vlrs.dll


3- Reboote


4- Localise et détruit les références à Winlogon dans la BDR, dont dans
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\winlogon


5- Détruit les fichiers
systemroot+\cntrs.dll
systemroot+\csynth.dll
systemroot+\csyntht.dll
systemroot+\vlrs.dllwinlogon.exe
winlogon.exe.txt
winlogon.unpacked.exe


6- Restaure tes paramètres de navigation (page de démarrage, page de recherche)
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 28384
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede Vazkor » 07 Avr 2004, 20:45

Bonsoir,

Je confirme que sous Windows 2000, tu as trois Winlogon.exe légitimes (182 Ko) qui se trouvent dans les dossiers:
C:\WINNT\system32
C:\WINNT\system32\dllcache
C:\WINNT\ServicePackFiles\i386.

Il n'y en a aucun dans C:\WINNT!

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9810
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede Sblondel1 » 07 Avr 2004, 23:00

Encore merci,
Je verrai ça demain...
J'espère ne plus avoir bientôt à vous déranger.

Stef.

PS : en tous les cas, bravo pour vos compétences et votre sollicitude.
Sblondel1
 
Messages: 11
Inscription: 06 Avr 2004, 23:26

Messagede Vazkor » 07 Avr 2004, 23:43

Bonjour,

On ne me dérange jamais. Le temps est la seule chose qui ne me manque pas...
Répondre m'oblige à faire des recherches et c'est comme cela que j'entretiens mes connaissances.

Je vous fais profiter de mes modestes connaissances, de mon expérience, mais en même temps je continue à apprendre.

@+

Extrait de l'Assimil roumain:
- Docteur, que faites-vous quand vous n'avez pas de patient?
- Je tue le temps!

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9810
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede Sblondel1 » 08 Avr 2004, 07:37

Je me plonge de suite dans la lecture de l'assimil roumain !
Je n'aurai pas le temps de faire toutes les manip ni ce soir, ni même demain, mais je te tiendrai au courant.
Je voulais juste te dire que Norton ne fonctionne toujours pas normalement de mon côté (mêmes symptômes docteur), et que les fichiers et les clés que je supprime depuis deux jours réapparaissent à chaque fois... (je n'ai trouvé aucun fichier "loader.exe" nulle part sur le disque, serait-ce "Winlogon qui ferait office de "réactivateur" de tout ce binz ?)

Dernière chose, je comprend ton dernier post, sauf le point n°5 : où sont les fichiers suivants (que je doit détruire) :

systemroot+\cntrs.dll
systemroot+\csynth.dll
systemroot+\csyntht.dll
systemroot+\vlrs.dllwinlogon.exe
winlogon.exe.txt
winlogon.unpacked.exe

Merci et à bientôt (je n'ose plus dire merci...)

Stef.
Sblondel1
 
Messages: 11
Inscription: 06 Avr 2004, 23:26

Messagede pierre » 08 Avr 2004, 09:15

Bonjour,

Mon post 07 Avr 2004 07:46 pm dans ce thread

systemroot désigne ton répertoire système. On ne peut pas dire exactement quel répertoire analyser puisque chacun peut installer son système où il veut, donc on utilise une unité logique d'assignation qui est à convertir en l'unité physique d'assignation propre à chaque machine.

Pour savoir où se trouve votre "systemroot"
1- Normalement, c'est c:\windows ou c:\winnt
2- Pour trouver son systemroot, lancer l'explorateur de Windows et, dans la ligne d'adresse, saisir %systemroot% et appuyer sur la touche "entrée". Votre explorateur pointe immédiatement sur votre dossier système (votre "systemroot").
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 28384
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede Vazkor » 10 Avr 2004, 12:03

Bonjour,

Pour compléter ce que dit Pierre, systemroot fait partie des variables système, qui sont enregistrées dans la base de registre.
Elle sont abondament utilisées dans les fichiers *.inf, lors de l'installation du système et des programmes.
%systemroot% insère la valeur de la variable.

On peut les afficher simplement en lançant une Invite de commandes et en tapant set sans paramètres pour ne rien modifier.

Voilà ce que cela donne chez moi:

C:\Documents and Settings\Anonyme.HOME>set
ALLUSERSPROFILE=C:\Documents and Settings\All Users
APPDATA=C:\Documents and Settings\Anonyme.HOME\Application Data
CLASSPATH="C:\Program Files\Java\j2re1.4.2_01\lib\ext\QTJava.zip"
CNVPATH=D:\Program Files\Systran\Cnv
CommonProgramFiles=C:\Program Files\Fichiers communs
COMPUTERNAME=HOME
ComSpec=C:\WINNT\system32\cmd.exe
HOMEDRIVE=C:
HOMEPATH=\Documents and Settings\Anonyme.HOME
LOGONSERVER=\\HOME
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Os2LibPath=C:\WINNT\system32\os2\dll
Path=C:\WINNT\system32;C:\WINNT;C:\WINNT\System32\Wbem;D:\Program Files\UltraEdit
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 6 Stepping 2, AuthenticAMD
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0602
ProgramFiles=C:\Program Files
PROMPT=$P$G
QTJAVA="C:\Program Files\Java\j2re1.4.2_01\lib\ext\QTJava.zip"
SystemDrive=C:
SystemRoot=C:\WINNT
TEMP=H:\Temp
TMP=H:\Temp
USERDOMAIN=HOME
USERNAME=Anonyme
USERPROFILE=C:\Documents and Settings\Anonyme.HOME
windir=C:\WINNT
Avatar de l’utilisateur
Vazkor
 
Messages: 9810
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

PrécédenteSuivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 44 invités