-= Formation de base : Base de Registres et Dos =-

[ipl_001]

Bonjour à tous,

 

J'ai annoncé que j'allais lancer une discussion... mais je ne sais plus trop pourquoi je disais çà !

 

LOL

 

On verra bien ! Cà me reviendra !

 

J'étais si content de ce que j'écrivais ( http://forum.zebulon.fr/index.php?act=ST&f...=40#entry543922 ) que çà m'a donné l'idée !

 

Je reproduis une partie du post :

Les choses évoluent sans cesse et les certitudes sont à réviser et adapter !

 

Il y a peu, j'aurais dit que tout malware est visible dans le rapport HijackThis...

HijackThis est un programme merveilleux qui n'est plus tenu à jour par Merijn (qui sature et s'adonne à d'autres loisirs).

Les pirates veulent exploiter un secteur où ils ont beaucoup d'argent à gagner (les malwares peuvent rapporter très gros) et mènent des recherches continuelles !

 

Il y a actuellement de nouvelles techniques d'activation qui passent à côté des éléments surveillés par HJT (les pirates connaissent HJT mieux que quiconque puisque c'est leur principal ennemi), on le voit avec les nouveaux malwares qui donnent de plus en plus de mal et on est ramené à la période d'avant HJT où on y allait à l'aveuglette en essayant 36 trucs !

Je ressens de plus en plus le besoin de rejoindre les forces anti-malwares pour me tenir au courant et être plus efficace !

 

 

 

Mes "croyances actuelles"

Un malware arrive par :

- un module sur le disque et dans la base de registres qui peut éventuellement, télécharger des programmes

et/ou

- une faille dans le système qui permet d'intervenir de l'extérieur

et/ou

- un/des port(s) ouvert(s) préalablement par une attaque de malware (partiellement nettoyée) qui permet une intervention extérieure

 

Attention : Les malwares sont très mal connus... un éditeur antivirus est pris par le temps (il faut qu'il supplante la concurrence en parlant le premier) et sort ses défenses à la hâte en n'étudiant que partiellement les agissements d'un malware si bien que même réparé, un système ayant été infecté comporte encore des séquelles !

Ce ne sont pas les grands effets de manche visibles de tous qu'il faut prendre en compte dans la description d'un malware mais les petites lignes qui parlent des ports ouverts !!!

J'écrivais ceci dans une discussion aux prises avec swizzor qui nous donne du fil à retordre !

 

 

 

---édition : j'ai peut-être mieux exprimé la chose dans http://forum.zebulon.fr/index.php?act=ST&f...t=0#entry544167

Bonsoir Morko, megataupe, bonsoir à tous,

 

...

Ce que je disais dans d'autres discussions :

 

Infection =

 

-1- fichier(s) sur disque dur + activation dans base de registres (+ processus) visibles dans HijackThis -> examiner log HJT

 

-2- fichier(s) sur disque dur + activation dans base de registres (+ processus) invisibles dans HijackThis -> effectuer plusieurs scans AV et collecter les indices (passer les antidotes classiques ; rechercher sur Google, rechercher disque et BdR)

 

-3- faille dans le système -> vérifier FireWall ; effectuer Windows Update sur http://windowsupdate.microsoft.com/

 

-4- intrusion par port ouvert par un ancien malware -> vérifier FireWall ; installer ZebProtect sur http://telechargement.zebulon.fr/123-zeb-protect.html

 

Rien de visible dans rapport HJT, effectuer opérations -3- et -4-

Tester en enlevant le câble de connexion à l'Internet.

 

Vérifier les protections.

[ipl_001]

Rebonjour à tous,

 

Si j'en crois mes visites sur de nombreux forums, je ne suis pas le seul à souffrir !

 

 

 

Il est bien loin le temps où HijackThis était capable d'enlever merveilleusement tous les malwares !

 

Cà a d'abord été la nécessité de finasser pour supprimer les fichiers à la main...

 

Egalement, stopper les processus qui génaient... travail en mode sans échec pour ne pas être perturbé... employer des outils spécialisés pour les O10, les O15, les O20, etc.

 

Maintenant, voici que les malwares sont invisibles dans le rapport HijackThis !!! voici que les malwares sont là également en mode sans échec !

 

 

 

-> "WinIK.sys, malware en mode sans échec" - http://forum.zebulon.fr/index.php?showtopic=71506

 

-> "WinIK, Impossible de le detruire" (65 posts, 1138 lectures) - http://forum.zebulon.fr/index.php?showtopic=71434

 

-> "le cheval de troie swizzor.co qui revient" (54 posts, 739 lectures) - http://forum.zebulon.fr/index.php?showtopic=71474

 

 

 

Je trouve qu'on en est ramené aux temps de l'avant HijackThis lorsque le nettoyage était un art et qu'on essayait un peu tout et n'importe quoi !

 

Dans les discussions ci-dessus, je nageais et j'employais les techniques de base qui ne sont pas connues de tous et c'est ce dont je voudrais parler dans cette discussion :

- recherche / nettoyage base de registres

- recherche / nettoyage disque dur

 

... mais c'est l'heure (passée) de Julien Lepers ! Je reviens...

[S.Birkoff]

Re-Bonjour ipl,

 

J'ai justement suivi ton post precedent avec swizzor et j'ai aussi lu celui sur RKR. D'apres ce que j'ai lu et compris, tu disais ceci :

 

- HJT est pris de vitesse et il faut inventer de nouvelles méthodes

 

- lorsqu'on n'a pas encore ces nouveaux outils, il est important de repartir des connaissances de base (qu'on oublie lorsqu'on applique des méthodes)... ce sont ces bases dont je vais parler... Stonangel a écrit qu'il avait besoin de quelques explications

Ces connaissances de base permettent de raisonner et de trouver des pistes.

 

Et la discussion que tu souhaitais lancer avait été lancer par ceci :

Je vais lancer une discussion pour regrouper les forces vives du forum et préparer un certain nombre de briques pour pouvoir revenir aux bases !

 

Donc, si j'ai tout compris, il faut que tous les "helpers" du forum se reunissent pour :

 

- débattre de la prise de vitesse de Hijackthis par les nouveaux malware qui comme tu le dis connaissent la bete par coeur.

 

- trouver de nouvelles méthodes ou outils capables de lutter efficacement contre ces nouveaux malwares rendant de plus en plus souvent Hijackthis obsolète ( ou du moins pas aussi fulgurant qu'avant...).

 

Moi j'adhere à cela, car il faut être réaliste : HJT n'a plus evoluer depuis un bout de temps ( ce n'est pas une critique evidemment), tandis que les malwares ne cessent de s'"ameliorer".

Et comme ipl le dis, on se roit revenu à l'avant HJT ( ou notre capacité à eradiquer les malwares était.....coment dire....moins....foudroyante qu'au temps de l'apogée de HJt ou un simple fix de lignes et quelques fichiers supprimé manuellement faisait le bonheur des internautes infectés ( et le notre aussi ).

 

Voilà j'ai donné mon point de vue, je part donc en vacances

S.B

[ipl_001]

... bon, 18h56, c'est vraiment tard pour Julien Lepers, il me semblait bien que je traînais !...

 

Dans un premier temps, je voudrais aborder le sujet de la base de registres : la recherche dans la BdR et la création de fichiers .REG

 

Tesgaz a un excellent article sur la base de registres où tout est expliqué !

(je me souviens lui avoir écrit que je comptais sur lui pour un article -sur un autre forum- et justement, il avait çà en tête !)

- http://www.zebulon.fr/articles/base-de-registre-1.php

- http://speedweb1.free.fr/frames2.php?page=outils2

Je me bornerai donc a répéter ce qu'il a écrit en vous invitant simplement à poser des questions pour éclairer les points mal compris s'il y en a !

 

Une page sur mon site -> http://gerard.melone.free.fr/IT/IT-Resources5.html#5

 

et aussi, des liens vers des pages merveilleuses -> http://gerard.melone.free.fr/IT/IT-Resources5.html#502

 

 

 

Sommaire :

Généralités sur la base de registres

Premières recherches dans la base de registres

-1- déroulement manuel de l'arborescence

-2- fonction Rechercher

Exportation d'une clé de la Base de registres

Rétablissement d'une clé de la Base de registres

Structure d'un fichier .REG

Création, Modification, Suppression d'une clé, valeur, donnée de la BdR

-1- manuellement

-2- fichier .REG

Autres recherches dans la Base de registres

-1- RegSrch de Bill James

-2- RegSearch de Bobbi Flekman

-3- RegSeeker de Thibaud Djian

-4- RegQuery, standard Windows

-5- RegKey, standard Windows

-6- Go to reg key de flrman1

Fichiers .INF et .VBS

Fichiers de restauration de parties de la Base de registres

Exemple illustré de nettoyage de la Base de registres

 

 

 

Généralités sur la base de registres

Dans ce premier paragraphe, nous allons rester simple et nous intéresser à l'association des fichiers .EXE

Il arrive que des malwares (le premier d'entre eux ayant été swen) nous déglinguent cette association...

 

La méthode normale qui consiste à aller dans les Options des dossiers / onglet Types de fichiers n'est d'aucune utilité ici car cette extension système n'y est pas modifiable ; il faut passer par la base de registres, çà tombe bien !

 

Démarrer / Exécuter / taper RegEdit et cliquer sur OK

Windows XP mémorise le dernier accès à la BdR... allons en haut à gauche sur Poste de travail et regroupons les branches de manière à voir :

(dans leur laïus, les connaisseurs ont leurs raccourcis)

Poste de travail

- HKEY_CLASSES_ROOT ou HKCR

- HKEY_CURRENT_USER ou HKCU

- HKEY_LOCAL_MACHINE ou HKLM

- HKEY_USERS ou HKU

- HKEY_CURRENT_CONFIG ou HKCC

 

Simplifions un peu :

La base de registres est un fichier constitué au login (et modifiée dynamiquement lors du branchement d'un unité PnP par exemple) ; elle est constituée en mémoire et correspond à plusieurs fichiers du disque.

- HKCR correspond à HKLM\Software\Classes

- HKCU est un sous-ensemble de HKU (pour l'utilisateur qui s'est loggué)

- HKCC correspond à HKLM\CONFIG

et donc, finalement, la BdR se réduit, grossièrement, à :

- HKLM description du matériel et des softs

- HKU description des utilisateurs et, en particulier .DEFAULT pour la phase avant login

Mais les branches isolées HKCR, HKCU dans l'affichage, ont leur utilité, ne serait-ce que pour la clarté !

 

RegEdit (Registry Editor) présente un affichage avec :

- un volet sur la gauche qui contient l'arborescence des "Clés" et leurs sous-clés (un peu comme les dossiers et les sous-dossiers de l'Explorateur Windows)

- une grande partie sur la droite contient les "Valeurs" (colonne Nom) auxquelles sont associés un type et une "Donnée".

(on retrouvera ces termes dans la fonction Recherche)

 

 

 

Premières recherches dans la base de registres

-1- déroulement manuel de l'arborescence

Allons en haut à gauche du volet de gauche sur Poste de travail et regroupons les branches de manière à voir :

Poste de travail

- HKCR

- HKCU

- HKLM

- HKU

- HKCC

--- cliquer sur le "+" devant HKCR, les sous-clés s'affichent, il s'agit entre autres, de "*" puis des extensions

--- rechercher .EXE et sélectionner cette sous-clé, les valeurs s'affichent et notamment "(par défaut)" et sa donnée de type chaîne de caractères "exefile"

--- sélectionner à nouveau .EXE

--- mettre le doigt sur la lettre "E" du clavier et appuyer 2 fois sur la touche Page Suivante pour y trouver la clé "exefile"

--- positionner le curseur (la zone en inversion vidéo) sur exefile

--- appuyer sur la droite "Flèche droite" qui ouvre l'arborescence

--- descendre sur Shell avec la Flèche bas

--- Flèche droite pour ouvrir l'arborescence et descendre sur Open

--- Flèche droite et descendre sur Command

--- regarder sur la barre d'état (en bas de l'écran) qui contient l'adresse "Poste de travail\HKCR\exefile\Shell\Open\command"

--- clic droit sur Command et observer le menu contextuel et en particulier les options "Copier le nom de la clé" et "Exporter" ; cliquer sur une partie vide de l'écran pour enlever le menu contextuel

--- la sous-clé ...\Command contient la valeur (par défaut) et sa donnée ""%1" %*" ; c'est elle qui est parfois, altérée par les malwares

--- double-cliquer sur "(par défaut)" permet de mieux voir la donnée, de la copier, de la modifier, etc. ; cliquer sur Annuler pour quitter la boîte de dialogue Edition de la valeur.

 

-2- Fonction Rechercher

Allons en haut à gauche du volet de gauche sur Poste de travail et regroupons les branches de manière à voir :

Poste de travail

- HKCR

- HKCU

- HKLM

- HKU

- HKCC

--- Ctrl-F ouvre la fonction Rechercher (ou menu Edition / Rechercher)

--- remarquer les cases à cocher Clés, Valeurs et Données qui permettent d'effectuer la recherche dans certaines parties seulement

--- dans la zone Rechercher : taper exefile et [Entrée]

--- le curseur s'arrête sur la valeur "(par défaut)" de la clé (regarder dans la barre d'état) HKEY_CLASSES_ROOT\.exe

--- [F3] pour poursuivre la recherche

--- le curseur se positionne sur la clé HKEY_CLASSES_ROOT\exefile

--- avec les flèches droite et bas, descendre sur la clé HKEY_CLASSES_ROOT\exefile\shell\open\command pour voir la valeur "(par défaut)" et sa donnée "%1" %*

 

 

 

Exportation d'une clé de la BdR

La première chose à faire lorsqu'on prend des risques avec une clé/valeur/donnée de la BdR, est de sauvegarder les parties à toucher de manière à pouvoir rétablir les choses si çà s'avérait une bien mauvaise idée de les avoir altérées !

 

La sauvegarde d'une clé et de son contenu s'obtient par la fonction "Exportation"

 

--- Positionnons le curseur sur la clé HKEY_CLASSES_ROOT\exefile ainsi qu'expliqué dans le paragraphe précédent

--- clic droit sur Command de la clé HKEY_CLASSES_ROOT\exefile\shell\open\command pour faire apparaître le menu contextuel / Exporter

----- Enregistrer dans : Bureau

----- Nom de fichier : Exefile

----- Type de fichier : Fichiers d'enregistrement (*.reg)

----- cliquer sur Enregistrer

Le fichier Exefile.reg est sur le bureau.

 

Il y a cette même fonction dans le menu Fichier / Exporter

Il n'est pas possible de sauvegarder la totalité de la base de registre en Exportant à partir de "Poste de travail" (taille importante, parties inaccessibles, etc.).

Le double-clic correspond, en standard, à la fusion.

Clic-droit / Modifier ou Editer correspond à l'édition (pour visualiser ou modifier).

Par le passé, pour éviter le clic trop facile de certains de mes utilisateurs, j'avais l'habitude d'inverser les options de manière à obtenir l'Edition par défaut c'est à dire en gras.

 

 

 

Rétablissement d'une clé de la BdR

Considérons le fichier exefile.reg que nous avons créé au paragraphe précédent.

Ce fichier Exefile est exactement sous la forme correspondant au rétablissement des informations de Command dans la base de registres.

Un double-clic activerait la fonction "Fusionner"... boîte dialogue affichant un message "Voulez-vous vraiment ajouter les informations contenues dans Exefile au registre ?" ; la validation serait suivie d'un message de confirmation.

 

 

 

Structure d'un fichier .REG

Considérons le fichier exefile.reg que nous avons créé au paragraphe "Exportation d'une clé de la BdR".

un fichier .REG est un fichier de modification de la base de registres.

 

clic droit sur le fichier Exefile.reg / Modifier

le contenu du fichier s'ouvre dans le bloc-notes

Windows Registry Editor Version 5.00

 

[HKEY_CLASSES_ROOT\exefile\shell\open\command]

@="\"%1\" %*"

 

Nous remarquons :

- l'entête "Windows Registry Editor Version 5.00" qui indique le format des données

(l'entête est REGEDIT4 pour le format de la v.4, aussi accepté par les versions plus récentes).

- une ligne vierge avant la clé

- les crochets [] qui encadrent une "clé"

- le nom de la valeur qui précède le signe "=" (ici @ correpond à "(par défaut)")

- la donnée qui suit le signe "="

- la ligne vierge en fin de fichier.

Certains logiciels affichent de manière erronée, un chemin du genre \\... il s'agit d'un bug et la bonne notation doit être rétablie pour restaurer cette clé.

 

 

 

Création, modification, suppression d'une clé, valeur, donnée dans la BdR

-1- manuellement

Positionnons le curseur sur la clé HKEY_CLASSES_ROOT\exefile (voir paragraphe "Premières recherches -2- Fonction Rechercher" ci-dessus)

clic droit / Nouveau ; les options proposées visibles ici permettent de créer une Clé ou des valeurs de divers types

clic droit / Renommer permet de modifier le nom de la sous-clé (de même que la touche [F2])

clic droit / Supprimer permet de supprimer la clé (de même que la touche "Suppr")

 

Cliquons sur une partie vide du panneau de droite / clic droit / Nouveau / etc.

 

Positionnons le curseur sur la valeur "(par défaut)" / clic droit / etc. pour modifier la donnée ou supprimer la valeur

Positionnons le curseur sur la valeur "(par défaut)" / double clic / etc.

 

-2- fichier .REG

Considérons un fichier OpenAs.REG qui traîne sur mon disque dur. C'est un fichier que j'utilisais avec Windows 98 pour ajouter systématiquement dans le menu contextuel de chaque fichier pour otenir l'option Ouvrir avec et m'éviter de mettre le doigt sur Ctrl ! LOL ! C'est inutile avec XP !

REGEDIT4

 

[HKEY_CLASSES_ROOT\*\shell\openas\command]

@="C:\WINDOWS\rundll32.exe shell32.dll,OpenAs_RunDLL %1"

 

J'y vois :

- l'entête REGEDIT4 qui est celle du format des fichiers .Reg de Win98 mais qui fonctionne sans problème avec W2K et XP

- @= qui correspond à la valeur (par défaut)... Vous n'imaginiez tout de même pas que les Américains allaient lire comme vous "(par défaut)" !!! Vous n'imaginiez pas non plus qu'il y avait une base de registres différente pour chaque langue !!! Il y a la valeur "@" qui est dans la BdR et qui est interprétée différemment selon la langue !

 

Ce fichier (avec ses 2 lignes utiles) :

- crée, si nécessaire, les sous clés "openas" et "command"

- crée la valeur "(par défaut)" et lui attache la valeur indiquée

 

Règles :

- pour créer une sous-clé, ajouter une ligne indiquant l'arborescence complète : il y aura création de chacune des sous-clés nécessaires (si les sous-clés existent, il n'y aura rien de spécial à leur sujet)

- on ne modifie (on ne renomme) pas une sous-clé (on crée la nouvelle et on supprime l'ancienne)

- pour supprimer une sous-clé, on insère le signe "-" comme ceci :

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]

(suppression de la sous-clé Domains, de ses sous-clés et de ses valeurs sans toucher aux sous-clés mères)

Le fichier

REGEDIT4

 

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains]

 

supprime la sous clé Domains, ses sous-clés et ses valeurs et recrée la sous-clé c'est dire que cet enchaînement vide les contenu de ses valeurs !

 

Pour toucher à une valeur et/ou une donnée, on doit bien sûr, indiquer la clé d'abord

- pour créer une valeur, ajouter une ligne valeur, son type et sa donnée

- on ne renomme pas une valeur (on supprime l'ancienne et on crée la nouvelle)

- pour modifier une donnée attachée à une valeur, on indique la nouvelle donnée

- pour supprimer une valeur, on insère le signe "-" comme ceci :

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search]

"SearchAssistant"=-

Le nom de la valeur, les signes "=-" (égale moins)

- la suppression de toutes les valeurs d'une sous-clé a été vue plus haut.

 

Le fichier

Windows Registry Editor Version 5.00

 

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK]

 

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK]

 

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK]

 

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK]

 

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK]

 

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK]

 

supprime les 5 clés mises en place par WinIK et leurs sous-clés (la liste avait indiqué tout un tas de sous-clés qu'il était inutile d'insérer dans le fichier REG http://forum.zebulon.fr/index.php?act=ST&f...=0#entry543056) !

 

 

 

Autres recherches dans la BdR

Plus haut dans ce chapitre, nous avons vu 2 modes de recherches :

- déroulement de la hiérarchie, manuellement - ceci sert si vous connaissez le chemin de l'élément recherché mais pas top si vous voulez effectuer plusieurs recherches

- fonction Recherche de RegEdit - ceci est pratique si vous connaissez un mot clé mais pas l'idéal si le critère de recherche est trop court (résultats inadéquats), si vous recherchez dans de nombreuses clés ou si vous faites faire cette recherche sur un forum !

 

D'autres outils sont souhaitables, surtout sur un forum, de manière à obtenir le résultat complet en peu de manipulations de la part d'un novice :

- fichier texte contenant toutes les branches correspondant à un critère de recherche

- fichier texte contenant toutes les sous-clés attachées au critère de recherche

 

-1- RegSrch de Bill James

Recherche à partir d'un mot-clé, de toutes les clés/valeurs dans lesquelles il est présent. Un fichier VBS de 3.254 octets ! Simple et net !!!

Je veux savoir où se cache ce WinIK qui empoisonne le système et est invisible par HijackThis ( http://forum.zebulon.fr/index.php?showtopic=71434 ) :

Télécharge RegSrch.zip (Registry Search de Bill James) -> http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip

Dézippe le sur le bureau et double-clique sur regsrch.vbs

(si tu as une protection, enlève la s'il te plaît)

Dans la boîte de dialogue qui s'ouvre, entre :

winIK

Clique sur 'OK'

Tu recevras un message disant que la recherche est terminée, clique sur 'OK'

Enregistre le contenu de la fenêtre Wordpad sur le disque pour le mettre dans ton prochain post.

et voici le résultat :

REGEDIT4

; RegSrch.vbs © Bill James

 

; Registry search results for string "winik" 28/07/2005 20:28:06

 

; NOTE: This file will be deleted when you close WordPad.

; You must manually save this file to a new location if you want to refer to it again later.

; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

 

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000]

"Service"="WinIK"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000]

"DeviceDesc"="WinIK"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000\Control]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK\0000\Control]

"ActiveService"="WinIK"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK]

"DisplayName"="WinIK"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK\Security]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK\Enum]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIK\Enum]

"0"="Root\\LEGACY_WINIK\\0000"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000]

"Service"="WinIK"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000]

"DeviceDesc"="WinIK"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK]

"DisplayName"="WinIK"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK\Security]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000]

"Service"="WinIK"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000]

"DeviceDesc"="WinIK"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000\Control]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK\0000\Control]

"ActiveService"="WinIK"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK]

"DisplayName"="WinIK"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK\Security]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK\Enum]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK\Enum]

"0"="Root\\LEGACY_WINIK\\0000"

 

[HKEY_USERS\S-1-5-21-3634374741-3681855003-3820325642-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]

"h"="C:\\WINDOWS\\system32\\drivers\\winik.sys"

 

[HKEY_USERS\S-1-5-21-3634374741-3681855003-3820325642-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\sys]

"a"="C:\\WINDOWS\\system32\\drivers\\winik.sys"

 

... facile de créer un fichier .reg pour nettoyer tout çà !

 

-2- RegSearch de Bobbi Flekman

Recherche à partir de un à cinq mot-clés, de toutes les clés/valeurs dans lesquelles ils sont présents.

Je n'ai que quelques pistes disparates : un nom de malware swizzor, des noms de fichier StaF.exe, Sta9.exe, Sta12.exe (des noms plus longs auraient été recherchés différemment)... Je veux trouver tout ce qui pourrait traîner dans la BdR et démolir tout çà ( http://forum.zebulon.fr/index.php?showtopic=71474 ) :

Télécharge RegSearch.exe (Registry Search de mon ami Bobbi Flekman) -> http://www.bleepingcomputer.com/files/misc/regsearch.zip

- dézippe dans un répertoire dédié tel que C:\Program Files

- double clique sur RegSearch.exe

- copie colle swizzor dans la première ligne de la zone de recherche

- copie colle STAF.exe dans la deuxième ligne de la zone de recherche

- copie colle STA9.exe dans la troisième ligne de la zone de recherche

- copie colle STA12.exe dans la quatrième ligne de la zone de recherche

- clique sur OK

- après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées

- le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch

- copie-colle le contenu de la fenêtre dans un post, ici

- ferme le bloc-notes

- ferme RegSearch par Cancel

... résultat, pas de çà chez moi mais chez punkie93250, je ne sais pas encore !

REGEDIT4

 

; Registry Search by Bobbi Flekman

; Version: 1.0.1.4

 

; Results at 29/07/2005 21:19:17 for strings:

;  'swizzor'

;  'staf.exe'

;  'sta9.exe'

;  'sta12.exe'

; Strings excluded from search:

;  (None)

; Search in:

;  Registry Keys  Registry Values  Registry Data

;  HKEY_LOCAL_MACHINE  HKEY_USERS

 

 

; End Of The Log...

 

Je veux savoir ce qui n'a pas été supprimé lors de la désinstallation de Norton AntiVirus... si tant est que ces éradications sont ardues ! Hop, un coup de Registry Search avec Symantec et Norton comme clés de recherche !

etc.

 

-3- RegSeeker de Thibaud Djian

Un moyen facile de trouver une information dans la base de registres est d'utiliser RegSeeker de Thibaud Djian.

http://www.hoverdesk.net/freeware.htm

Cliquer sur Rechercher... / entrer l'élément dans la zone / cliquer sur "Chercher"

Facile aussi de supprimer ou autres.

 

-4- RegQuery, standard Windows

RegQuery utilise la commande REG et l'opérateur QUERY de la console Windows.

Recherche de tout ce qui est attaché à une clé déterminée.

Outil de Registre de la console pour Windows - version 3.0

Copyright © Microsoft Corp. 1981-2001. Tous droits réservés

 

REG Opération [liste_paramètres]

  Opération  [ QUERY  | ADD    | DELETE  | COPY    |

              SAVE    | LOAD  | UNLOAD  | RESTORE |

              COMPARE | EXPORT | IMPORT ]

 

Code de retour : (à l'exception de REG COMPARE)

  0 - Réussite

  1 - Échec

 

Pour obtenir de l'aide sur un type d'opération spécifique :

  REG Opération /?

 

REG QUERY Nom_de_clé [/v Nom_de_valeur | /ve] [/s]

 

  Nom_de_clé    [\\Machine\]Clé_complète

    Nom_d'ordinateur  Nom de l'ordinateur distant - si ce paramètre est omis, l'ordinateur actif est pris par défaut

            Seuls HKLM et HKU sont disponibles sur les ordinateurs distants

    Clé_complète  au format ROOTKEY\Sous-clé

    ROOTKEY  [ HKLM | HKCU | HKCR | HKU | HKCC ]

    Sous-clé  Nom complet d'une clé de Registre sous la clé racine (ROOTKEY) sélectionnée

  /v  Interroge une clé de Registre spécifique

        Nom_de_valeur  - Nom, sous la clé sélectionnée, à interroger

        si ce paramètre est omis, toutes les valeurs sous la clé sont interrogées

  /ve interroger la valeur par défaut ou le nom de valeur vide <aucun nom>

  /s  interroge toutes les sous-clés et valeurs

 

Exemples :

  REG QUERY HKLM\Software\Microsoft\ResKit /v Version

    Affiche la valeur de la valeur de Registre Version

 

  REG QUERY HKLM\Software\Microsoft\ResKit\NT\Setup /s

    Affiche toutes les sous-clés et valeurs sous la clé de Registre Setup

 

Je veux connaître ce qui se trouve dans Winlogon\Notify, endroit où se cachent des malwares particulièrement coriaces, je constitue le fichier personnalisé RegQuery.bat, je zippe et j'uploade :

reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify" >RegQuery.txt

notepad RegQuery.txt

Bien sûr, je peux enchaîner plusieurs recherches dans le même fichier (en prenant garde de ne pas écraser RegQuery.txt) !

 

... la suite est plus bas, (coupure due à mes ennuis avec les balises Quote)... http://forum.zebulon.fr/index.php?act=ST&f...t=0#entry544553

[megataupe]

Il est clair que nous sommes tous d'accord pour considérer qu'HijackThis n'est plus le "sésame" du nettoyage d'un PC infecté, même si son utilisation reste indispensable pour vérifier ce qui est "visiblement" actif et à supposer nocif.

 

Sans doute, devrons nous porter plus d'attention à l'examen des processus actifs et surtout des ports ouverts (forcément utilisés par les trojans pour communiquer) et, il apparaît que dans ce domaine nous avons pas mal d'excellents outils à notre disposition : ceux cités par Tesgaz notamment, auxquels j'ajouterai l'excellent CurrPorts qui est disponible en français : http://softrads.etrad.net/

[ipl_001]

Bonsoir megataupe,

 

Hélas, de nos jours, les malwares ne sont plus visbles dans le rapport HijackThis ni dans la liste des processus (du moins la liste standard de Windows)

 

Je dirais à vue de nez, que le rapport HijackThis nous montre la réalité dans 80-90 % des cas et qu'il y a 10-20 % de cas vicieux où les conseillers sont tentés de répondre "il n'y a rien d'infectieux dans la système" lorsque la réponse devrait devenir "je ne vois rien d'infectieux dans le rapport HijackThis" !

 

Bien sûr, vous l'aurez deviné, ces 10-20 % vont s'accroître car les pirates apprennent très vite et la technique des WinIX et swizzor va être diffusée !

[megataupe]

T'inquiéte IPL, nous allons nous forger les moyens de déloger ces crapules (le mieux serait de les empêcher d'entrer avec Zebprotect 2 ) mais, ça passera très certainement aussi par une lecture attentive des ports ouverts sur le PC infecté si je m'en référe au post de Punkie notamment :

 

je me demande si ce netait pas a cause de mes ports ouverts que swizzor arrivait ?

[ipl_001]

Merci de me rassurer, megataupe !

 

Les capacités de Zebulon sont certes, importantes mais il ne faudra pas oublier non plus de profiter des travaux des autres équipes de la lutte anti-malware en commençant par les grands forums US (souvent membres de l'ASAP) sur lesquels sévissent les meilleurs experts du monde entier... je ne veux pas dire que les meilleurs sont Américains... les Hollandais, les Allemands, les Anglais, les Danois, etc. sont très impliqués et ont joint leurs forces à celles des équipes Américaines !

 

-> http://gerard.melone.free.fr/IT/IT-HJT.html#HJT6

 

Merijn est Hollandais

Tony Klein est Hollandais

Bobbi Flekman est Hollandais

ChrisRLG est Anglais

Paul Collins (PacMan) est Anglais

Matze est Allemand

Seeker est Allemand

FBJ est Danois

Nick est Autrichien

[O.Fournier]

B'Soir les couche-tard, B'Jour les lève-tôt,

 

Ne le prends pas mal Gérard, mais tes réflexions publiques sont assez maladroites. C'est sûr qu'on n'est pas les seuls à suivre les évolutions négatives et malsaines dans de nombreux domaines, dont évidemment celui du Web est caricatural.

 

Me semble bien que toute cette discussion devrait plutôt se faire ailleurs, un peu plus loin par ici entre participants Zebulon.

 

La lutte anti-malwares ne peut pas être envisagée naïvement à découvert ... pas plus que la lutte anti-terroristes. Le "Meilleur des Mondes" n'est pas pour demain.

[ipl_001]

Bonjour Olivier,

 

Merci pour ton message !

Je t'écoute soigneusement car nous nous cottoyons depuis bien longtemps, sous plein de cieux (CCM, Computing, Zeb, PCA) et tes posts sont importants pour moi malgré tes quelques dérives et folies bien sympathiques !

 

Je l'ai relu plusieurs fois... je ne crois pas donner beaucoup d'armes à des gens mal intentionnés (un bon livre leur en apprendrait bien plus).

Par contre, je crois pouvoir informer (sinon former) les membres de Zebulon qui n'ont pas le temps et qui n'iront pas acheter un "RegEdit pour les nuls !" malgré les bonnes résolutions !

 

Je ne parle pas ici de clés réservées ou "confidentielles" mais de "briques" comme je le disais dans une autres discussion (que rapporte S.Birkoff ci-dessus) qui peuvent permettent de mettre le pied à l'étrier pour aller plus loin !

 

Si je me trompe, insiste !

Passe une excellente journée !