[Résolu] virus/vers/trojans envoyés à mon insu

[BaK]

Cool c'est propre!

Encore un énorme merci pour ton aide nardino!

 

Que faire des fichiers mis en quarantaine par Antivir? Et de ceux renommés en .VIR?

 

***

 

Ok pour mettre java à jour, JRE 6.20 et 6.21 ok pour win2k

 

***

 

Tu peux désinstaller les programmes suivants par Ajout/suppression des programmes.

AVG Anti-Spyware 7.5 > programme abandonné par l'éditeur avec jumelé avec l'antivirus

Grisoft\AVG7 > Programme obsolète également et remplacer par Antivir

Spybot Search and Destroy > hélas devenu obsolète également remplacé par Antivir qui intègre un antimalware.

Je les avais déjà désinstallés depuis "Ajout/suppression des programmes", ils n'y sont plus.

Il reste visiblement des traces dans la BdR:

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\!AVG Anti-Spyware]

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe /minimized []

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVG7_CC]

C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP []

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]

C:\Program Files\Spybot\TeaTimer.exe []

Les 3 dossiers indiqués ci-dessus dans C:\Program Files\ n'existent pas.

 

Puis-je me rendre dans la BdR pour faire le ménage?

 

A+ pour une ou deux autres questions

[nardino]

Bonsoir

 

Dans un blocnote ( Tous les programmes-Accessoires) tu copies-colles ce qui est ci-dessous.

Dans Format, veille à bien retirer la coche devant Retour à la ligne automatique.

Fais un retour chariot ( Entrée) après la dernière ligne.

Windows Registry Editor Version 5.00

 

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\!AVG Anti-Spyware]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVG7_CC]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]

 

Dans Fichier, Enregistrer sous, Tous les fichiers, sur le bureau tu enregistres sous le nom fix.reg

Si le fichier obtenu est appelé fix.reg.txt, tu le renommes en supprimant .txt à la fin

 

Ensuite tu cliques droit sur ce fichier, tu choisis Fusionner et tu acceptes.

Un message t'avertira de la bonne exécution du fix.

L'icône du fichier : http://i28.servimg.com/u/f28/11/05/93/83/iconer10.jpg

 

@+

[BaK]

Hello

 

Merci pour la manip, nettoyage de la BdR fait!

Et Java désinstallé et remis à jour avec la version 6.21. Ca m'a ajouté les entrées suivantes, je vais checker ce que ça fait:

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle - C:\Program Files\Java\jre6\bin\jqs.exe

 

 

======Registry dump======

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]

Java Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2010-07-11 41760]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]

JQSIEStartDetectorImpl Class - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2010-07-11 79648]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]

JQSIEStartDetectorImpl Class - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2010-07-11 79648]

 

"SunJavaUpdateSched"=C:\Program Files\Common Files\Java\Java Update\jusched.exe [2010-05-14 248552]

 

 

======List of files/folders created in the last 1 months======

 

2010-07-11 14:49:28 ----D---- C:\Program Files\Common Files\Java

2010-07-11 14:49:28 ----D---- C:\Documents and Settings\All Users\Application Data\Sun

2010-07-11 14:48:21 ----A---- C:\WINNT\system32\javaws.exe

2010-07-11 14:48:21 ----A---- C:\WINNT\system32\javaw.exe

2010-07-11 14:48:21 ----A---- C:\WINNT\system32\java.exe

2010-07-11 14:48:21 ----A---- C:\WINNT\system32\deployJava1.dll

 

 

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

 

R2 JavaQuickStarterService;Java Quick Starter; C:\Program Files\Java\jre6\bin\jqs.exe [2010-07-11 153376]

 

Je remarque déjà dans msconfig que jusched.exe ajouté au démarrage. Utile pour la sécurité je pense.

Au passage, ces 2 entrées sont-elles indispensable? Mise à jour de Flash je crois:

O4 - HKLM\..\Run: [iSUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start

 

 

Et pour mes questions:

1) Antivir aurait-il détecté qqch s'il avait été présent lorsque j'ai ajouté ces fichiers infectés à mon système (téléchargements)? Si oui, à quel moment?

2) La plupart des trojans étaient contenus dans des fichiers exécutable .EXE. Que s'est-il passé quand j'ai lancé un de ces .EXE? Qqch s'est-il p. ex. installé ailleurs?

3) Aurais-je pu remarquer la présence de trojans à l'aide de TCPVIEW ou un firewall est-il nécessaire à leur détection?

4) Antivir a aussi détecté des trojans dans des fichiers compressés. Ces trojans étaient-ils aussi actifs dans leur état compressé?

5) Aurais-je obtenu les mêmes résultats d'analyse avec un scan en ligne (Secura, Kaspersky, ...)?

6) Comment l'ajout de l'extension .VIR au .EXE malsain rend-il le trojan impuissant?

7) L'utilisation d'un compte à droits restreints aurait-il été bénéfique dans ma situation plutôt que d'être admin?

 

Voilà c'est tout! Pour aujourd'hui en tout cas!

 

A+

Modifié le 11 juillet 2010 par BaK

[nardino]

Bonsoir,

 

Pour la recherche de mise à jour de Java tu peux la conserver sans problème.

Antivir aurait pu détecté certains fichiers vraisemblablement.

Le but de ces exe vérolés est de se lancer discrètement.

Tant qu'ils sont compressés il ne sont pas offensifs

Une analyse en ligne aurait pu détecté mais certaines ne corrigent pas toujours les découvertes.

Le fait de renomme une exe en exe.VIR rend le fichier inoffensif car c'est l'extension donc les trois derniers caractères qui déterminent un fichier.

Un compte à droit restreint aurait certainement limité l'infection.

 

@+

Modifié le 11 juillet 2010 par nardino

[BaK]

Hello nardino,

Merci pour tes réponses!

Quelques unes méritent un approfondissement, n'hésite pas à rentrer un peu plus dans les détails je devrais arriver à suivre

 

Antivir aurait pu détecté certains fichiers vraisemblablement.

Au moment du téléchargement? Au lancement du .exe? Lors d'un scan du système?

 

Le but de ces exe vérolés est de se lancer discrètement.

Hmm, c'est-à-dire?

 

Le fait de renomme une exe en exe.VIR rend le fichier inoffensif car c'est l'extension donc les trois derniers caractères qui déterminent un fichier.

J'en déduis qu'il faut avoir lancé le .exe pour activer le trojan, c'est juste?

 

***

 

J'ai obtenu des précisions de mon FAI:

Merci pour votre feed-back. Nous avons reçu des informations que votre infrastructure avait une "open DNS Reslolver". Sur la page thinkbroadband :: Open DNS Resolver Check

vous trouvez une test.

Nous vous recommandons pour faire une update de la Firmware de voter Router ou bloquer le port 53 dans le pare-feux.

 

Je me suis alors rendu sur la page de test thinkbroadband, et voilà le résultat:

Warning! We detected your IP address as xx.xx.xx.xxx and found an open DNS resolver running.

 

This may be either running on your computer or on your broadband router. It is advisable that you don't run a resolver which can be queried from the Internet. It is possible that you could be vulnerable to a DNS poisoning attack. More details are available in the CERT Advisory or you can carry out a more detailed test at doxpara.com or dns-oarc.net.

 

This result does not mean you are vulnerable, but is is possible that you may be. In any case, we would advise you not to run an open resolver on your broadband connection.

 

Un ptit coup de main me serait à nouveau salutaire...

[nardino]

Bonsoir,

 

C'est selon les infections, cela peut être à chacun de ces niveaux.

Certaines ne sont pas détectées lors du chargement mais seulement le fichier installé ensuite.

Le scan à postériori est souvent le plus efficace.

Il peut y avoir plusieurs exe, celui qui installe le malware, celui qui en résulte et qui collecte les infos par exemple.

Le renommer en VIR le rend inoffensif puisque cette extension n'est plus un exécutable et que Windows ne prend en compte que ce qui est derrière le dernier point pour savoir à quel type de fichier il a affaire.

Une autre extension parfois utilisée est .old car elle permet aussi de bloquer une fichier sans le détruire ou perdre son extension.

 

Pour les problèmes de routeur c'est en dehors de mes compétences dans le cas précis.

Comme il est précisé il faut aller sur le site Netgear pour charger une mise à jour éventuelle du firmware.

C'est possible par l'interface du routeur dans Routeur Upgrade

Ce qui est étonnant est que les ports sont bloqués par défaut en Entrée.

En revache si l'infection est installée elle peut ouvrir un port, ici le 53 .

En supprimant l'infection on doit refermer le port, je pense.

 

@+

[BaK]

Cool, merci pour ces précisions!

 

Comme il est précisé il faut aller sur le site Netgear pour charger une mise à jour éventuelle du firmware.

C'est fait.

 

et maintenant le test thinkbroadband m'indique:

Success! We detected your IP address as xx.xx.xx.xxx and did not find an open DNS resolver running.

 

Ce qui m'étonne c'est qu'avant la désinfection j'avais checké TCPView et rien ne montrait qu'il se passait qqch sur le port 53:

 

Je vais de ce pas parcourir la doc de mon routeur, et s'il n'est pas suffisant pour filtrer malgré son appellation 'firewall', j'en ajouterai un de manière software.

 

Je repasse ici si j'ai des news!

 

Encore merci nardino, a+

[nardino]

Bonsoir,

Si tu n'as plus d'autres soucis ou questions, passe ta question en résolu.

@+

[BaK]

Je vais encore approfondir la question, mais ça fera l'objet d'un autre post plus général.

 

++