[OK] Encore un nouvel élément

Modérateur: Modérateurs et Modératrices

[OK] Encore un nouvel élément

Messagede Badcantal » 30 Avr 2007, 15:49

Bonjour,

Ce coup ci j'ai rien installé de nouveau et sous Spybot S&D j'ai une nouvelle entrée dans la liste de démarrage:

Located: HK_LM:Run,
command:
file:

Pas de valeur ni de ligne de commande ? C'est quoi ?

Merci et a suivre,

Patrick
Badcantal
 
Messages: 120
Inscription: 13 Sep 2006, 19:41

Messagede Vazkor » 30 Avr 2007, 17:54

Salut,

Il n'y a pas à hésiter.

Cette entrée ne servant probablement à rien, puisque ton ordinateur fonctionne, tu la supprimes avec Spybot S&D (méthode prudente, puisqu'il crée un sauvegarde) ou tu vas éditer la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run avec regedit (méthode kamikaze).

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9808
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede Badcantal » 30 Avr 2007, 22:07

Bonsoir,

J'avais posté dans le sous forum PacMan startup list car la liste indique une possibilité d'ajout par le ver AGOBOT-KU. J'ai suivi le lien qui dirige sur le site de SOPHOS mais dans la base de registre je n'ai pas les entrées suivantes:

Locate the HKEY_LOCAL_MACHINE entries:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
"" = system32.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
"" = system32.exe

Ce ne doit donc pas être cela. J'ai uniquement: (par défaut) REG_SZ et rien sous "données"

AVG AS n'a rien détecté.
OK je le bloque avec Spybot.

Merci,

Patrick
Badcantal
 
Messages: 120
Inscription: 13 Sep 2006, 19:41

Messagede Vazkor » 01 Mai 2007, 04:18

Bonjour Patrick,

Dans ta clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run tu n'as donc qu'une seule entrée (par défaut) dont la valeur a été modifiée en ... rien du tout.

Mais il se pourrait que ce soit quelque chose que regedit ne peut pas afficher. Je dois vérifier quelque chose à propos des AppInit_DLLs (si mes quelques neurones encore en ordre de marche ne me trompent pas) où en utilisant un code spécial on rend la suite invisible dans un log HijackThis et dans regedit.

C'est étonnant que tu n'aies rien d'autre dans la clé. C'est bien la première fois que je rencontre le cas...

On dit toujours de ne pas modifier une clé de la BDR si on n'est pas sûr de son coup mais on peut en créer une non officielle et s'amuser à voir ce que cela donne.
J'ai créé un clé RunNon avec deux sous-clés et des Valeurs chaîne. Voilà ce que cela donne quand je l'exporte, avec en bleu ce que je vois à droite dans regedit et mes commentaires en rouge.


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunNon]
(par défaut) | REG_SZ |(valeur non définie)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunNon\Nouvelle clé #1]
(par défaut) | REG_SZ | (valeur non définie)
"Nouvelle valeur #1"="" Nouvelle valeur #1 | REG_SZ | (je ne lui ai pas attribué de valeur)
"Nouvelle valeur #2"="2" Nouvelle valeur #2 | Reg_SZ | 2 (je lui ai attribué la valeur 2)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunNon\Nouvelle clé
#1\Nouvelle clé #2]
@="" (par défaut) | REG_SZ |
Cette entrée n'a pas de données parce que je lui ai donné la valeur 1 puis j'ai effacé le 1 sans rentrer autre chose.

Si je veux la Supprimer, je ne peux pas et elle reprend la forme classique :
(par défaut) | REG_SZ |(valeur non définie)

Idem si je le fais avec le fichier reg ci-dessous

Code: Tout sélectionner
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunNon\Nouvelle clé #1\Nouvelle clé #2]
@=-



On remarque qu'une entrée (par défaut) REG_SZ (non définie) est créée automatiquement dès qu'on créée une Nouvelle clé et qu'elle n'apparaît pas dans le script reg créé quand on exporte un fichier du registre.
Mais une entrée (par défaut) REG_SZ sans valeur attribuée apparaît comme @=""

Pour supprimer mes entrées bidons, un petit reg (nom de la clé principale avec un [- au début) :
Code: Tout sélectionner
Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunNon]




@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9808
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede Vazkor » 01 Mai 2007, 05:23

Salut,

J'avais la puce à l'oreille en pensant à ces AppInit_DLLs, j'ai donc voulu vérifier une hypothèse.

Bingo !
La même technique de dissimulation de valeur de clé peut s'appliquer à d'autres clés en utilisant un caractère NULL (00 hexa).

Je recrée une Nouvelle clé #1 dans HKLM\...\CurrentVersion et je veux modifier la valeur par défaut en mode binaire.
Je dois passer par regedt32 sous Windows 2000 Pro, parce que son regedit ne le permet pas.

Dans Edition chaîne, je tape "pasbo" ce qui donne 70006100730062006F000000 en hexadécimal
"pasbo" est visible dans regedt32 et dans regedit.

Je reviens dans regedt32 et j'ajoute 4 zéros en mode binaire-hexadécimal devant ce code hexa, qui devient 000070006100730062006F000000
regedt32 montre un caractère non affichage (barre verticale épaisse) devant pasbo.
Mais je ne vois plus rien dans regedit.

J'exporte la clé et je vois seulement @="" comme donnée !

Conclusion, une clé peut paraître vide dans regedit alors qu'elle ne l'est pas.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9808
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede pierre » 01 Mai 2007, 07:06

Bonjour,

J'ai eu exactement le même réflex que Vazkor dès lecture du début de ce fil.
Il faut regarder le contenu de cette clé
J'ai fais un papier très détaillé sur AppInit_DLLs et le camouflage d'objets lancés au démarrage de Windows. L'avantage de AppInit_DLLs est que cela est relancé en cours de fonctionnement de l'ordinateur et pas seulement au démarrage de celui-ci, assurant du même coup la crapule de meilleures chances d'exécution de sa crapulerie.
Par contre, AppInit_DLLs est géré par Windows pour une liste d'entrées (plusieurs entrées) tandis que les autres clés n'en contiennent qu'une seule. Si le contenu est camouflé, on pense que la clé est vide et on peut être tenté de la laisser en place.

Lire la technique (applicable partout) de camouflage dans AppInit_DLLs
http://assiste.com.free.fr/p/abc/c/anti ... _dlls.html

Cordialement
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 27534
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede Badcantal » 01 Mai 2007, 10:06

Bonjour,

Merci beaucoup pour ces renseignements, mais malheureusement mon niveau ne me permet pas de suivre ... je suis complètement largué. Je vais lire les différents liens pour essayer de comprendre.
Depuis que j'ai décoché la ligne avec Spybot S&D, je constate:
1. Que dans la BDR il y a maintenant:
(par défaut) | REG_SZ |(valeur non définie)
Il n'y a donc plus "" sous "données"
2. Sous AVG AS (Analyse >> démarrage automatique):
Il n'y a plus l'application avec l'icone d'un dossier et dont le chemin d'accès était vide.

Pour les AppInit_DLLs j'ai: AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

A suivre,

Patrick
Badcantal
 
Messages: 120
Inscription: 13 Sep 2006, 19:41

Messagede Vazkor » 01 Mai 2007, 15:05

Salut,

Ce que j'avais oublié de dire c'est que si l'on fusille la clé, alors elle est complètement vide (valeur non définie).

Mais on m'a fait travailler le jour de la Fête du Travail. Réparation d'une porte de garde-robe (OK) et autopsie d'un lave-vaisselle (RIP) bon pour la casse.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9808
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede nickW » 01 Mai 2007, 16:39

Bonjour,

Badcantal a écrit:Pour les AppInit_DLLs j'ai: AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll


Clé légitime ... pour ceux qui utilisent Kaspersky Anti-Virus
http://www.castlecops.com/o20list-142.html

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Badcantal » 02 Mai 2007, 23:14

Bonsoir,

Désolé mais même après lecture du papier, j'ai bien peur de rester complètement largué.
Ai je quelque chose à faire de plus que le blocage avec Spybot S&D déjà réalisé ?

Merci encore pour votre aide.

A+
Patrick
Badcantal
 
Messages: 120
Inscription: 13 Sep 2006, 19:41

Suivante

Retourner vers Windows (toutes versions) et moi

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 7 invités