Virus dans le secteur de Boot [Résolu]

JACQUEY · 26/10/2006, 16h07

Salut à tous,

a-t-on un moyen de connaitre les nom des process lancé au boot?

Il m'arrive le probleme suivant:
Tout d'abord, j'utilise l'anti virus VIRUSCAN 8 de Mac Afee.

Or à chaque boot de ma machine, l'analyse à l'acces de VIRUSCAN me signale qu'il a supprime deux fichiers qu'il considere comme des virus de type Generic ProcKill.a
situes dans monrepertoire localSettings\temp

un de ces fichier s'appelle toujours nsProcess.dll, l'autre est toujours un fichier programme different.

Mais par contre, lors d'une analyse complete de ma machine par VIRUSCAN, il ne detecte rien.

Que penser?

Merci, d'un conseil.

Jannus · 26/10/2006, 16h52

Si ton anti-virus supprime les fichiers au démarrage, il semble assez logique qu'il ne les retrouve pas ensuite.

Il est probable qu'un process quelconque les crée lorsque tu éteins le PC.

Par contre, il y a fort à parier que c'est un process en mémoire qui les crée lors de l'arrêt du PC. Il serait bon de le trouver.
Ce qui me semble bizarre c'est que le virus soit détecté au BOOT et pas ensuite alors qu'il semble rester actif ?

Pour voir les process en cours : <CTRL><Alt><Del> (ou <CTRL><Alt><Supr>) - Gestionnaire des tâches - processus

Pour savoir ce qui est lancé au démarrage :
Regedit (pour voir la BdR) et regarder les clef "Run" dans HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion et dans HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

_solo · 26/10/2006, 21h10

lol

ca fait tres longtemps que les worms et derivees savent se planquer d'un simple S.A.S
Si ton anti-V te le permet fait un scan de la Ram , ou essaie d'utiliser des tools comme Vice blacklight d'F-secure ou RootkitRevealer de sysinternal

juste pour info les rootkits et les malwares en generale sont aujourd'hui capable de se lancer avant presque tout les services , des qu'ils sont en memoire s'efface d'un Disque Dur , et a l'extinction se reecrive sur le DD

JACQUEY · 28/10/2006, 15h30

Bonjours a tous,

pour toi Guardian,

j'ai utilisé tes conseils pour visualiser les processus actifs, ils sont au nombre de 46
quelques uns sont de l'utisateur "Alain", c'est à dire moi,
les autres sont de system, service local ou service reseau

mais comment trier les normaux et les intrus.

c' est peut-etre tout bete, mais je ne suis pas un expert.

JACQUEY · 28/10/2006, 15h35

salut a toi _solo,

j'ai essaye de suivre tes conseils.
j'ai telechargé Vice.
puis le l'ai lance et clique sur Scan.
Il m'affiche une tres, tres, longue liste de dll, en majorité, précédée du "pot de colle" et pour certain du "canif"

mais ensuite quoi faire? .......

Jannus · 28/10/2006, 17h29

Tu compares avec les processus "normaux" pour voir à quoi ils correspondent.

ps : soit prudent quand tu nettoies ton PC

Heureux-oli · 28/10/2006, 19h12

La meilleure chose à faire avent de suprimer quoi que ce soit, c'est d'en faire une sauvegarde avant.
Faire joujou dan sles processus et la base de registre peut amener à un crash total même en ayant des idées assez précises de ce que l'on fait.

JACQUEY · 29/10/2006, 17h53

Bonjours guardian,

en suivant tes conseil, j'ai constate la presence d'un processus "ipwin", dans program files, j'ai trouve un repertoire koipwin contenant un setup.exe, ainsi qu'un uninstall.exe
j'ai executé uninstall.exe et aussitot l'analyse a l'acces de Mac Afee m'a indiqué la presence du fichier infecté nsProcess.dll, fichier qu'il a supprimé.
J'ai alors renommé le repertoire koIpwin et j'ai rebooté.
J'ai quand même toujours le même probléme.
Le pense que la suppression de la dll lors de l'execution de uninstall.exe a aborté ce programme.

JACQUEY · 05/11/2006, 06h31

Bonjours,

Je suis dans l'impasse.

je crois que je vais utiliser la soution extreme de reformatter le disque C.

salut.

_solo · 06/11/2006, 13h11

Citation:

Envoyé par JACQUEY

je crois que je vais utiliser la soution extreme de reformatter le disque C.

reformater le disque dur n'est formater pas toujours le mbr (et ce meme sicertaines donnees sont reeecrite )

millie · 07/11/2006, 22h09

Citation:

Envoyé par _solo

reformater le disque dur n'est formater pas toujours le mbr (et ce meme sicertaines donnees sont reeecrite )

Il me semble qu'il y a des virus de boot qui écrivent dans la table des partitions que des secteurs sont défecteurs et peuvent cacher leur code dedans... Ce qui fait qu'ils peuvent résister à un formatage rapide

et même un formatage normal si il s'est caché dans une autre partition.

Mais a priori, ce dont il parle n'est pas un vrai virus de boot. C'est un simple virus qui se lance pendant le démarrage de windows.

Heureux-oli · 08/11/2006, 08h20

Hijackthis permet de supprimer des fichiers lors du démarrage et permet aussi de vérifier les processus en cours.
C'est peut-être une piste à explorer.

26/10/2006, 16h07	#1
JACQUEY Invité régulier Inscription : juin 2002 Messages : 36 Détails du profil Informations forums : Inscription : juin 2002 Messages : 36 Points : 9 Points : 9	Virus dans le secteur de Boot Salut à tous, a-t-on un moyen de connaitre les nom des process lancé au boot? Il m'arrive le probleme suivant: Tout d'abord, j'utilise l'anti virus VIRUSCAN 8 de Mac Afee. Or à chaque boot de ma machine, l'analyse à l'acces de VIRUSCAN me signale qu'il a supprime deux fichiers qu'il considere comme des virus de type Generic ProcKill.a situes dans monrepertoire localSettings\temp un de ces fichier s'appelle toujours nsProcess.dll, l'autre est toujours un fichier programme different. Mais par contre, lors d'une analyse complete de ma machine par VIRUSCAN, il ne detecte rien. Que penser? Merci, d'un conseil.
	00

26/10/2006, 21h10	#3
_solo Membre Expert Inscription : juin 2006 Messages : 889 Détails du profil Informations forums : Inscription : juin 2006 Messages : 889 Points : 1 084 Points : 1 084	lol ca fait tres longtemps que les worms et derivees savent se planquer d'un simple S.A.S Si ton anti-V te le permet fait un scan de la Ram , ou essaie d'utiliser des tools comme Vice blacklight d'F-secure ou RootkitRevealer de sysinternal juste pour info les rootkits et les malwares en generale sont aujourd'hui capable de se lancer avant presque tout les services , des qu'ils sont en memoire s'efface d'un Disque Dur , et a l'extinction se reecrive sur le DD __________________ l'ignorance est une maladie qui se soigne free gary
	00

28/10/2006, 15h30	#4
JACQUEY Invité régulier Inscription : juin 2002 Messages : 36 Détails du profil Informations forums : Inscription : juin 2002 Messages : 36 Points : 9 Points : 9	virus dans le secteur de boot Bonjours a tous, pour toi Guardian, j'ai utilisé tes conseils pour visualiser les processus actifs, ils sont au nombre de 46 quelques uns sont de l'utisateur "Alain", c'est à dire moi, les autres sont de system, service local ou service reseau mais comment trier les normaux et les intrus. c' est peut-etre tout bete, mais je ne suis pas un expert.
	00

28/10/2006, 15h35	#5
JACQUEY Invité régulier Inscription : juin 2002 Messages : 36 Détails du profil Informations forums : Inscription : juin 2002 Messages : 36 Points : 9 Points : 9	virus dans le secteur de boot salut a toi _solo, j'ai essaye de suivre tes conseils. j'ai telechargé Vice. puis le l'ai lance et clique sur Scan. Il m'affiche une tres, tres, longue liste de dll, en majorité, précédée du "pot de colle" et pour certain du "canif" mais ensuite quoi faire? .......
	00

28/10/2006, 19h12	#7
Heureux-oli Responsable Word Olivier Lebeau Contrôleur d'industrie Inscription : février 2006 Messages : 17 347 Détails du profil Informations personnelles : Nom : Olivier Lebeau Âge : 47 Localisation : Belgique Informations professionnelles : Activité : Contrôleur d'industrie Secteur : Aéronautique - Marine - Espace - Armement Informations forums : Inscription : février 2006 Messages : 17 347 Points : 29 258 Points : 29 258	La meilleure chose à faire avent de suprimer quoi que ce soit, c'est d'en faire une sauvegarde avant. Faire joujou dan sles processus et la base de registre peut amener à un crash total même en ayant des idées assez précises de ce que l'on fait. __________________ J'ai pas encore de décodeur, alors, postez en clair ! Comment mettre une balise de code ? Débutez en VBA Mes articles Dans un MP, vous pouvez me dire que je suis beau, ... mais si c'est une question technique je ne la lis pas ! Vous êtes prévenus !
	00

26/10/2006, 16h52	#2
Jannus Expert Confirmé Sénior Inscription : décembre 2004 Messages : 19 671 Détails du profil Informations forums : Inscription : décembre 2004 Messages : 19 671 Points : 17 664 Points : 17 664	Si ton anti-virus supprime les fichiers au démarrage, il semble assez logique qu'il ne les retrouve pas ensuite. Il est probable qu'un process quelconque les crée lorsque tu éteins le PC. Par contre, il y a fort à parier que c'est un process en mémoire qui les crée lors de l'arrêt du PC. Il serait bon de le trouver. Ce qui me semble bizarre c'est que le virus soit détecté au BOOT et pas ensuite alors qu'il semble rester actif ? Pour voir les process en cours : <CTRL><Alt><Del> (ou <CTRL><Alt><Supr>) - Gestionnaire des tâches - processus Pour savoir ce qui est lancé au démarrage : Regedit (pour voir la BdR) et regarder les clef "Run" dans HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion et dans HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
	00

28/10/2006, 17h29	#6
Jannus Expert Confirmé Sénior Inscription : décembre 2004 Messages : 19 671 Détails du profil Informations forums : Inscription : décembre 2004 Messages : 19 671 Points : 17 664 Points : 17 664	Tu compares avec les processus "normaux" pour voir à quoi ils correspondent. ps : soit prudent quand tu nettoies ton PC
	00

29/10/2006, 17h53	#8
JACQUEY Invité régulier Inscription : juin 2002 Messages : 36 Détails du profil Informations forums : Inscription : juin 2002 Messages : 36 Points : 9 Points : 9	Virus dans le sectur de boot Bonjours guardian, en suivant tes conseil, j'ai constate la presence d'un processus "ipwin", dans program files, j'ai trouve un repertoire koipwin contenant un setup.exe, ainsi qu'un uninstall.exe j'ai executé uninstall.exe et aussitot l'analyse a l'acces de Mac Afee m'a indiqué la presence du fichier infecté nsProcess.dll, fichier qu'il a supprimé. J'ai alors renommé le repertoire koIpwin et j'ai rebooté. J'ai quand même toujours le même probléme. Le pense que la suppression de la dll lors de l'execution de uninstall.exe a aborté ce programme.
	00

05/11/2006, 06h31	#9
JACQUEY Invité régulier Inscription : juin 2002 Messages : 36 Détails du profil Informations forums : Inscription : juin 2002 Messages : 36 Points : 9 Points : 9	Virus dans le secteur de Boot Bonjours, Je suis dans l'impasse. je crois que je vais utiliser la soution extreme de reformatter le disque C. salut.
	00

08/11/2006, 08h20	#12
Heureux-oli Responsable Word Olivier Lebeau Contrôleur d'industrie Inscription : février 2006 Messages : 17 347 Détails du profil Informations personnelles : Nom : Olivier Lebeau Âge : 47 Localisation : Belgique Informations professionnelles : Activité : Contrôleur d'industrie Secteur : Aéronautique - Marine - Espace - Armement Informations forums : Inscription : février 2006 Messages : 17 347 Points : 29 258 Points : 29 258	Hijackthis permet de supprimer des fichiers lors du démarrage et permet aussi de vérifier les processus en cours. C'est peut-être une piste à explorer. __________________ J'ai pas encore de décodeur, alors, postez en clair ! Comment mettre une balise de code ? Débutez en VBA Mes articles Dans un MP, vous pouvez me dire que je suis beau, ... mais si c'est une question technique je ne la lis pas ! Vous êtes prévenus !
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email