Discussion :

[SteelBox]

Bonjour, suite à une attaque d'un virus(avec camouflage de clé dans la base de registre et désactivation antivirus-parefeu), j'ai décidé de me protéger un peu plus :
1. J'aimerais donc savoir comment killer un processus critique (le genre de processus comme services.exe rangés dans c:\windows et qui sont en fait des virus). C'est énervant, on ne peut jamais les killer que ce soit avec le gestionnaire de tâche ou d'autres outils comme taskkill sous DOS.
2. Comment lister les services de windows ? j'ai remarqué qu'il était possible qu'un virus puisse faire qu'un service windows n'apparaisse pas dans la liste des processus, j'aimerais donc pouvoir lister moi même les services windows...(c'est la même chose pour les clés de la base de registre il me semble).

Je ne m'attends pas à des réponses complètes, mais si vous pouviez, ne serait ce, que m'orientez sur la bonne voie...

Merci

[Eric Sigoillot]

Le moyen le plus efficace pour se débarrasser d'un programme chargé en méoire, c'est de l'éliminer à la source : le supprimer.
Pour ça, comme Windows le charge au démarrage, il faut le suppriler en dehors, en démarrant, par exemple, sur une disquette de démarrage.

A+

[SteelBox]

Oui, mais le problème c'est que même quand on a identifier l'exe, encore faut il savoir comment il est lancé, ce qui n'est pas facile quand le virus est assez "développé" pour cacher les entrées dans la base de registre par exemple...
C pour ca que j'aimerais savoir si l'on ne eput pas killer un processus en étant sous windows ? A la limite une méthode pas très propre fairait l'affaire (comme l'ouverture du processus en debug pour ensuite faire quelque chose qui le fasse planter à coup sur...)
Merci

[portu]

En effet, le mieux est de démarrer en mode sans échec (sous disquette, c'est chaud si le systeme est en NTFS).
Ensuite , faire un petit tour dans la base de registre dans les clés

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run et HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Le truc pour les détecter c'est de voir leur emplacement, leur nom (si emplacement autre que C:\windows\ ou c:\windows\system32, faut se méfier, pour le nom, si c'est un nom d'un service , c'est pas du tout normal, du genre Svchost,ISass).

Supprimer la clé quand tu es sur que c'est une saloperie et bien sûr supprimer l'exe auquel se rapporte la clé.

[portu]

Bein, dans xp, tu as la commande TaskKill /PID xxx /F
/PID est le "Handle" du process qui peut être récuperé par la commande TaskList et /F Force l'arret du process.

[SteelBox]

Merci pour vos idées Hdd34 et portu, mais j'ai déjà essayé. Le dernier virus en date démarrait aussi en mode sans échec, ce que je n'ai pas réussit à comprendre. En plus, j'ai voulu vite tout enlever car il sembalit assez destructeur...la preuve j'ai perdu une partie de mes données...

PS: Si vous voulez, j'ai l'exe. il a été envoyé à un éditeur d'antivirus qui va se charger de l'affaire...

[Aurelien.Regat-Barrel]

C'est pas le meilleur forum je pense mais bon passons.
Je crois que sysinternals a un outils qui sait tuer les process SYSTEM et autre (pour se faire, il doit surement acquérir le droit de debug :
http://support.microsoft.com/default.aspx?scid=kb;fr;131065
POur lister les process au démarrage, exécute msconfig.exe
Il liste les process au démarrage et tu peux les virer. Mais j'ai déjà vu un process qui faisait autrement que les clé Run et consors.
Le mieux, c'est de faire en sorte qu'un virus ne puisse pas écrire dans c:\Windows, ou infecter un exe. N'importe quel utilisateur de Linux te dira que travailler en root c'est mal, mais tout le monde bosse en admin sous Windows. Avec XP tu as cette belle chose qui est le fast user switching, en 2 clic tu passes de ton compte au compte admin. C'est ce que je fais : là je suis sous mon compte utilisateur limité, et quand ça pose problème (malheuresement c'est assez fréquent que des applis écrivent dans leur répertoire d'installation), je bascule que le compte admin et met les droits sur les fichiers concernés. Pour installer un rootkit, il faut des droits spéciaux, qu'un utilisateur non privilégié n'a pas. Mets ton virus de côté, crés toi un compte limité, et exécute ton virus, pour voir...

[SteelBox]

Ok merci HW, je vais faire ce que tu m'as dit. En effet, il me semble que pour passer en mode debug, il faut que l'utilisateur soit admin. Par contre, si le virus passe en ring0, c'est foutu, il pourra faire ce qu'il veut et c'est pour ca que je veux me faire une panoplie d'utilitaire de désinfection, notamment des outils capable de lire dans les fichiers de la base de registre ou lister les services windows ou encore killer n'importe quel processus...

PS : Connais tu le nom de l'utilitaire de sysinternals dont tu as parlé ?

[Aurelien.Regat-Barrel]

c'est pas évident de passer en ring0, même en damin. La voie normale c'est le driver, sinon avec le privilege debug on peut aussi je crois (faille), mais un non admin ne l'a pas par défaut.

[SteelBox]

Je ne donnerai pas de lien mais y'a bien une faille sous xp pour passer en ring0...
Merci pour sysinternals, le site est vraiment très intéressant