Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Sujet de LadyHunter

Apollo

Par Apollo
dans Analyses et éradication malwares

 Partager

Messages recommandés

Mark Godlike Member

Mark

Posté(e)
Posté(e)

Bonjour LadyHunter :-)

 

Mon script visait à retirer la valeur pourrie associée à Userinit (c'est réussi) ; je ne touche pas au fichier Userinit.exe

Oui je ciblais le dossier aussi. Là on voit des choses que l'on ne voyait pas avant, alors j'ai espoir qu'on en viendra à bout.

 

Petit problème par contre : l'outil Virus Removal Tool (de Kaspersky) est toujours là et actif. G Data est toujours là également... As-tu tenté leur désinstallation ? J'attends ton retour là-dessus avant de poursuivre, c'est-à-dire ta confirmation que les deux sont désinstallés ; si problèmes, fais signe.

 

@++

 

Mark

Mark Godlike Member

Mark

Posté(e)
Posté(e)

Virus Removal Tool est un outil qui ne se met pas à jour ; la base de définitions virales est statique. Il s'agit d'un outil jetable, pas à garder. En ce moment, il fait tourner des pilotes qui ne font que nous nuire ; ces pilotes font partie de l'antivirus de Kaspersky et tournent avec l'outil VRT, mais ne te sont d'aucune utilité.

 

Il faut le désinstaller - maintenant.

 

J'attends ton retour là-dessus.

 

Note : si tu me dis "oui-oui c'est fait" et que l'outil est toujours là, ben on perd notre temps ici, tout simplement. Ton choix ;)

 

@+

Apollo Devil Member !

Apollo

Posté(e)
  • Auteur
Posté(e)

Salut,

 

Si le fichier unins.exe ou uninstall.exe n'est pas trouvé dans le répertoire de virus removal tool, le "remover" général de toutes les versions de Kaspersky devrait désinstaller le VRT également.

 

http://support.kaspersky.com/downloads/utils/kavremover.exe

 

Il était pourtant expliqué clairement dans le tuto que VRT demandait lui-même à être désinstallé à la fin de son boulot. (à cause des services qu'il installe entre autres).

 

++

Mark Godlike Member

Mark

Posté(e)
Posté(e)

Merci Apollo ;)

 

LadyHunter doit aussi bien voir le message de désinstallation (VRT) qui apparaît à chaque démarrage de l'ordi :-)

 

Ok LH, tu es têtue et moi aussi, alors je t'explique en détails :

 

- Apollo a accepté de prendre ton sujet en charge, malgré ton XP qui est modifié (probablement illégal, je me trompe ?). Normalement c'est hors charte et les sujets sont fermés sur-le-champ. Ici sur Zeb, il y a des bénévoles qui acceptent de nettoyer ces machines avec système illégal une seule fois, dans le but de remettre la machine en état, de prévenir le spam provenant des machines infectées et ensuite on prévient le membre des risques. On conseille aussi fortement de mettre un système légitime, car il n'y aura plus d'aide sur nos forums si retour avec ce système tel quel. Point barre.

 

- J'ai accepté de prendre le relai simplement pour poursuivre le travail d'Apollo. Mon but étant de nettoyer ta machine, qui est profondément infectée et très en retard avec les mises à jour (tu le sais) ; plusieurs infections permettent le contrôle à distance des machines et ceux qui contrôlent peuvent faire n'importe quoi, y compris l'utilisation des machines infectées pour faire circuler d'autres infections, du matériel illégal voire de la pornographie, etc... Je préfère nettoyer ça (une fois) et ensuite mettre l'internaute au courant de la situation. Libre à toi de mettre un système légitime ou non, mais l'aide sur ce système cesse après la désinfection ici.

 

- L'outil VRT : il fait tourner des modules de l'antivirus complet sans t'offrir sa protection. Des pilotes de type "Kernel Guard" qui peuvent interférer avec nos outils de désinfection. La machine est infectée (pourrie) en profondeur et il faut éviter les interférences. Voilà pourquoi tu dois désinstaller l'outil. Tu veux le remettre après, sachant qu'il ne te protège pas ? Libre à toi. Mais si tu veux poursuivre la désinfection, il faut le virer maintenant. Je veux bien terminer la désinfection, si possible, mais pas avec VRT qui roule en arrière plan. Je t'avais également demandé de désactiver Outpost avant de lancer ComboFix, ce qui n'a pas été fait.

 

=============

 

Pour conclure : fais-moi signe lorsque VRT sera désinstallé. Merci...

 

@+

 

Mark

LadyHunter Member

LadyHunter

Posté(e)
Posté(e) (modifié)

Mark,

 

pour VRT, aucun processus ne tourne et aucun service n'est actif (normal puisqu'il est desinstalle, seul son dossier est encore present). Alors, je me demande bien ou peuvent se trouver ses modules... ? Donc pas d'interferences, ce qui est effectivement pertinent d'eviter pour une desinfection. Et je ne vais pas le garder indefiniment, je sais tres bien que sa vocation n'est pas de me proteger :-).

 

Quant a Outpost, rassures-toi, il est desactive puisque le vers l'a tue. L'icone est simplement encore presente dans mon systray, et il demeure aussi un processus, qu'en effet, j'ai oublie d'arreter sur le coup, mais il est totalement inactif, donc desactive malgre ce que pretend ComboFix qui me dit aussi que GData est actif alors que ce n'est pas le cas non plus, et que pour ce dernier, je n'ai aucunes traces nulle part, d'autant plus que j'ai meme exclusivement utilise un nettoyeur.

 

Je compte, evidemment, mettre tout ca au propre apres la desinfection, mais chaque chose en son temps.

Modifié par LadyHunter
Mark Godlike Member

Mark

Posté(e)
Posté(e)

Salut LH ;)

 

Chaque chose en son temps, je suis d'accord.

 

Pour VRT, voici ce qui tournait lors du dernier passage de ComboFix :

Processus lancé au démarrage via "Startup Faster" :

 

c:\docs and sets\AnneGel\Menu Démarrer\Programmes\Démarrage\StartupFaster

setup_9.0.0.722_19.02.2011_20-12.lnk - d:\virus removal tool\setup_9.0.0.722_19.02.2011_20-12\startup.exe [2011-2-19 72208]

StartupFaster.ini

 

Pilotes de VRT lancés donc actifs ("R" signifie "lancé") :

 

R0 71140782;71140782 Boot Guard Driver;c:\windows\system32\drivers\71140782.sys [19/02/2011 20:47 37392]

R0 88026492;88026492 Boot Guard Driver;c:\windows\system32\drivers\88026492.sys [18/02/2011 15:15 37392]

R1 71140781;71140781;c:\windows\system32\drivers\71140781.sys [19/02/2011 20:47 128016]

R1 88026491;88026491;c:\windows\system32\drivers\88026491.sys [18/02/2011 15:15 128016]

R1 setup_9.0.0.722_17.02.2011_18-13drv;setup_9.0.0.722_17.02.2011_18-13drv;c:\windows\system32\drivers\8802649.sys [18/02/2011 15:15 315408]

R1 setup_9.0.0.722_19.02.2011_20-12drv;setup_9.0.0.722_19.02.2011_20-12drv;c:\windows\system32\drivers\7114078.sys [19/02/2011 20:47 315408][2011-2-20 353]

Ça fait du monde, et de l'interférence qui peut bouziller les tentatives de désinfection. Nos outils sont sensibles à ce genre de modules qui tournent en profondeur.

 

Écoute... je vais te faire quelques commentaires qui s'inspirent de la logique et rien d'autre, alors j'espère que ça passera pour ce que c'est :

 

Tes stratégies ne fonctionnent pas présentement et je t'explique :

 

> XP modifié et très en retard dans les mises à jour (probablement 3-4 ans derrière...). Les mises à jour de sécurité permettent de sécuriser XP et plusieurs bestioles sautent littéralement sur les systèmes pas à jour (pas juste XP).

> Tu as confirmé à Apollo que tu étais adepte des cracks et autres. Les risques associés à ce genre de comportement sont non seulement réels, mais très élevés quand on connait les vecteurs d'infections.

> Tu avais deux antivirus, pensant peut-être que deux valent mieux qu'un. Ce n'est pas le cas. Deux antivirus actifs diminuent la protection antivirale de la machine car ils compétitionnent pour le même boulot et entrent souvent en conflit.

> Tu as Acronis, qui devrait te permettre de te sortir de ce genre de pétrin, mais ce n'est pas le cas ici, on dirait. Remettre une image propre avec ce logiciel, c'est rapide et très efficace lorsque tout est planifié. SyncBack est sûrement intéressant aussi (je ne le connais pas), mais dès qu'on sauvegarde des trucs infectés, c'est une solution qui devient dangereuse car tu peux aisément remettre des infections et rebelotte.

 

Alors permets-toi de revoir ta stratégie avec VRT qui, à mes yeux, ne t'est d'aucune utilité en ce moment. VRT est un scanneur sur demande qui ne se met pas à jour. Là ta machine est toujours infectée et il y a des trucs qui reviennent ; pour les virer une fois pour toute, il faut laisser les outils de nettoyages (autres que VRT) respirer librement, sans interférence.

 

Je fais du progrès ? ;)

 

@++

LadyHunter Member

LadyHunter

Posté(e)
Posté(e) (modifié)

c:\docs and sets\AnneGel\Menu Démarrer\Programmes\Démarrage\StartupFaster

setup_9.0.0.722_19.02.2011_20-12.lnk - d:\virus removal tool\setup_9.0.0.722_19.02.2011_20-12\startup.exe [2011-2-19 72208]

StartupFaster.ini

 

Ca date du 19.02... je l'avais vire entre temps... il ne se lance plus au demarrage depuis...

 

Pour les MAJ, je ne les fait jamais, et cela me regarde. Je gere ma securite autrement.

 

Et je n'avais pas deux antivirus, j'ai essaye d'installer GData a partir de l'infection.

 

Concernant SynBack, je n'ai fait aucune sauvegarde depuis mon infection, je ne suis pas stupide :-). Quant a mon image, j'en ai une, mais que de mon systeme, et certainement pas de ma partition contenant 200go de donnees ! Puis elle date de trop longtemps.

 

Soit tu me laisses tomber avec VRT soit on laisse tomber tout court et je me debrouille.

 

PS : L'infection ne "revient" pas... elle se propage puisqu'il s'agit d'un ver. Donc a chaque utilisation d'un logiciel non infecte, boom, contamination.

 

PS2 : Il faut trouver la source de propagation du virus qui genere ce satane fichier rdphiapq.exe, j'vois pas en quoi la seule presence du dossier VRT va gener dans cette demarche ! Donc soit tu connais un logiciel capable de remonter le fil du virus soit tu connais la marche a suivre en passant par plusieurs logiciels ou en le faisant manuellement soit t'es depasse et c'est pas grave, on laisse tomber. Telle est la reelle logique.

Modifié par LadyHunter
Mark Godlike Member

Mark

Posté(e)
Posté(e)

Pour VRT, je devrai te croire sur parole. Voilà la réalité des interventions à distance sur forums ; il doit y avoir une certaine confiance mutuelle sinon ça ne peut pas marcher. Je n'imposerai jamais à quiconque de me faire confiance aveuglément, mais je vise un minimum, quand même.

 

Pour les MAJ, je ne les fait jamais, et cela me regarde. Je gere ma securite autrement.

Là je te demanderais de m'expliquer, car je ne vois pas du tout. Laisse parler ta logique, car la mienne ne s'y retrouve pas. Tu as (avais) même VMWare qui tournait, que je connais bien car je l'utilise ici. En principe, une machine virtuelle peut servir à lancer ou examiner des trucs "louches" tout en évitant d'infecter la machine hôte. Ça fonctionne pour toi ?

 

Et je n'avais pas deux antivirus, j'ai essaye d'installer GData a partir de l'infection.
D'accord, et merci pour la précision.

 

Concernant SynBack, je n'ai fait aucune sauvegarde depuis mon infection, je ne suis pas stupide :-). Quant a mon image, j'en ai une, mais que de mon systeme, et certainement pas de ma partition contenant 200go de donnees ! Puis elle date de trop longtemps.
Dommage pour l'image d'Acronis qui est ancienne, surtout avec ce que tu as présentement (infections). Pour SyncBack : bien compris ;)

 

Soit tu me laisses tomber avec VRT soit on laisse tomber tout court et je me debrouille.
Je vais supposer / croire qu'il ne se lance plus au démarrage, mais je sais qu'il se lance au démarrage lorsque présent. Mais bon... Je suis prêt à tenter le nettoyage à nouveau et si ça interfère ou plante, tant pis.

 

PS : L'infection ne "revient" pas... elle se propage puisqu'il s'agit d'un ver. Donc a chaque utilisation d'un logiciel non infecte, boom, contamination.

 

PS2 : Il faut trouver la source de propagation du virus qui genere ce satane fichier rdphiapq.exe, j'vois pas en quoi la seule presence du dossier VRT va gener dans cette demarche ! Donc soit tu connais un logiciel capable de remonter le fil du virus soit tu connais la marche a suivre en passant par plusieurs logiciels ou en le faisant manuellement soit t'es depasse et c'est pas grave, on laisse tomber. Telle est la reelle logique.

Dépassé ? Peut-être bien, mais pas nécessairement côté technique ;)

 

J'ai la distincte impression de monologuer, alors voici mon choix : je repasse un peu plus tard avec une nouvelle manip :-)

 

 

@+

 

Mark

Invité
Ce sujet ne peut plus recevoir de nouvelles réponses.
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...