Discussion :

[JACQUEY]

Salut à tous,

a-t-on un moyen de connaitre les nom des process lancé au boot?

Il m'arrive le probleme suivant:
Tout d'abord, j'utilise l'anti virus VIRUSCAN 8 de Mac Afee.

Or à chaque boot de ma machine, l'analyse à l'acces de VIRUSCAN me signale qu'il a supprime deux fichiers qu'il considere comme des virus de type Generic ProcKill.a
situes dans monrepertoire localSettings\temp

un de ces fichier s'appelle toujours nsProcess.dll, l'autre est toujours un fichier programme different.

Mais par contre, lors d'une analyse complete de ma machine par VIRUSCAN, il ne detecte rien.

Que penser?

Merci, d'un conseil.

[Jannus]

Si ton anti-virus supprime les fichiers au démarrage, il semble assez logique qu'il ne les retrouve pas ensuite.
Il est probable qu'un process quelconque les crée lorsque tu éteins le PC.

Par contre, il y a fort à parier que c'est un process en mémoire qui les crée lors de l'arrêt du PC. Il serait bon de le trouver.
Ce qui me semble bizarre c'est que le virus soit détecté au BOOT et pas ensuite alors qu'il semble rester actif ?

Pour voir les process en cours : <CTRL><Alt><Del> (ou <CTRL><Alt><Supr>) - Gestionnaire des tâches - processus

Pour savoir ce qui est lancé au démarrage :
Regedit (pour voir la BdR) et regarder les clef "Run" dans HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion et dans HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

[_solo]

lol

ca fait tres longtemps que les worms et derivees savent se planquer d'un simple S.A.S
Si ton anti-V te le permet fait un scan de la Ram , ou essaie d'utiliser des tools comme Vice blacklight d'F-secure ou RootkitRevealer de sysinternal

juste pour info les rootkits et les malwares en generale sont aujourd'hui capable de se lancer avant presque tout les services , des qu'ils sont en memoire s'efface d'un Disque Dur , et a l'extinction se reecrive sur le DD

[JACQUEY]

Bonjours a tous,

pour toi Guardian,

j'ai utilisé tes conseils pour visualiser les processus actifs, ils sont au nombre de 46
quelques uns sont de l'utisateur "Alain", c'est à dire moi,
les autres sont de system, service local ou service reseau

mais comment trier les normaux et les intrus.

c' est peut-etre tout bete, mais je ne suis pas un expert.

[JACQUEY]

salut a toi _solo,

j'ai essaye de suivre tes conseils.
j'ai telechargé Vice.
puis le l'ai lance et clique sur Scan.
Il m'affiche une tres, tres, longue liste de dll, en majorité, précédée du "pot de colle" et pour certain du "canif"

mais ensuite quoi faire? .......

[Jannus]

Tu compares avec les processus "normaux" pour voir à quoi ils correspondent.

ps : soit prudent quand tu nettoies ton PC

[Heureux-oli]

La meilleure chose à faire avent de suprimer quoi que ce soit, c'est d'en faire une sauvegarde avant.
Faire joujou dan sles processus et la base de registre peut amener à un crash total même en ayant des idées assez précises de ce que l'on fait.

[JACQUEY]

Bonjours guardian,

en suivant tes conseil, j'ai constate la presence d'un processus "ipwin", dans program files, j'ai trouve un repertoire koipwin contenant un setup.exe, ainsi qu'un uninstall.exe
j'ai executé uninstall.exe et aussitot l'analyse a l'acces de Mac Afee m'a indiqué la presence du fichier infecté nsProcess.dll, fichier qu'il a supprimé.
J'ai alors renommé le repertoire koIpwin et j'ai rebooté.
J'ai quand même toujours le même probléme.
Le pense que la suppression de la dll lors de l'execution de uninstall.exe a aborté ce programme.

[JACQUEY]

Bonjours,

Je suis dans l'impasse.

je crois que je vais utiliser la soution extreme de reformatter le disque C.

salut.

[_solo]

je crois que je vais utiliser la soution extreme de reformatter le disque C.

reformater le disque dur n'est formater pas toujours le mbr (et ce meme sicertaines donnees sont reeecrite )

[millie]

reformater le disque dur n'est formater pas toujours le mbr (et ce meme sicertaines donnees sont reeecrite )

Il me semble qu'il y a des virus de boot qui écrivent dans la table des partitions que des secteurs sont défecteurs et peuvent cacher leur code dedans... Ce qui fait qu'ils peuvent résister à un formatage rapide et même un formatage normal si il s'est caché dans une autre partition.

Mais a priori, ce dont il parle n'est pas un vrai virus de boot. C'est un simple virus qui se lance pendant le démarrage de windows.

[Heureux-oli]

Hijackthis permet de supprimer des fichiers lors du démarrage et permet aussi de vérifier les processus en cours.
C'est peut-être une piste à explorer.