cherche rootkit desespérement !

[Bazalee]

Bonjour,

 

Je me permets de me glisser dans la procédure pour signaler une rubrique d'Assite consacrée aux rootkit :

 

RootKit

http://assiste.forum.free.fr/viewforum.php?f=102

 

Amicalement.

bonjour horus et merci !

 

J'ai lu la page que tu m'as indiqué et je pense qu'il ya en effet possibilité que mon "rootkit" soit en ms-dos.

Hier wowexec a demandé une connexion que j'ai refusé et g supprimer (idem dans dll cache).Je le réinstallerai par SFC après avoir trouver ce qui m'ennuie.

 

"Le processus wowexec.exe (wowexec signifiant Window On Window Execution) est un processus générique de Windows NT/2000/XP servant à fournir le support pour les anciennes applications Windows 16-bits. Le processus winlogon est lancé à partir du service NTVDM"

 

 

 

J'ai donc ressorti ma vieille diskette win98 et ai installé fprot en racine de c:\ avec ntfsdos(sur la disquette) pour y avoir accès. J'obtiens une erreur quand je lance f-prot.exe CauseWay : error 11 Dos reported an error or corrupt file found

Si je fais un scan f-prot d'Xp démarré , il me scan 77 fichiers et ne fait pas tout le disque.

Est-ce normal ou non ? J'ai beau modifier les options en indiquant scan c:\

 

 

regis56,

tu autorises explorer.exe à se connecter au réseau toi ?? ah bon ? et il va .....faire koi sur le réseau ??

enfin dans mon cas c une application sans nom qui détourne explorer que je ne vais certainement pas autoriser.

 

pour inetinfo.exe j'ai trouvé cela :

sur_sophos

 

Troj/ParDrop-A est un cheval de Troie injecteur pour la plate-forme Windows.

 

 

Lorsqu'il est exécuté pour la première fois, Troj/ParDrop-A crée les fichiers suivants (les attributs de ces fichiers sont paramétrés sur lecture seule et cachés) :

 

 

<System>\explore.exe - détecté sous le nom de Troj/ParDrop-A

<Temp>\<random filename>.tmp - détecté sous le nom de Troj/ParDrop-A

<System>\inetinfo.exe - détecté sous le nom de W32/Parite-B

<System>\svids.dll - fichier de données pouvant être supprimé en toute sécurité

 

 

Troj/ParDrop-A tente ensuite de charger le virus W32/Parite-B en exécutant le fichier <System>\inetinfo.exe.

 

 

Pour exécuter le virus W32/Parite-B, Troj/ParDrop-A paramètre aussi l'entrée de registre suivante :

 

 

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

System

<System>\inetinfo.exe

 

en ms-dos je suis allée voir dans le dossier inetsvr, inetinfo.exe n'y ai pas il y a rien

 

 

Voilà où j'en suis ....

 

merci à vous !

Bazalee

[horus agressor]

Si je fais un scan f-prot d'Xp démarré , il me scan 77 fichiers et ne fait pas tout le disque.

Est-ce normal ou non ? J'ai beau modifier les options en indiquant scan c:\

Si c'est bien du scan que tu peux aussi activer via le Poste de travail, clique droit sur C:\, Propriétés, onglet Outils, Vérifier maintenant, cocher les 2 case, OK et redémarrer, et qu'est ce sacn-là qui ne fonctionne pas correctement, alors je ne peux pas t'aider.

Ce scan est sensé :

 

 

Pour les Rootkit, je n'y connais pas grand chose, même si je suis en train d'approffondir un log que je viens de découvrir, il y a une rubrique qui lui est consacrée sur Assiste.Forum.

 

Assiste.Forums Index du Forum -> Contrôleurs d'intégrité -> IceSword

http://assiste.forum.free.fr/viewtopic.php?p=74908#74908

 

IceSword, en français, avec tuto :

 

IceSword

http://www.open-files.com/forum/index.php?showtopic=29383

 

...tu y trouvera peut être des pistes

 

Bon, je dégage de ce post, et je laisse Régis56 poursuivre.

 

Désolé de cette paranthèse.

 

Amicalement.

Modifié le 7 juin 2006 par horus agressor

[horus agressor]

Si c'est bien du scan que tu peux aussi activer via le Poste de travail, clique droit sur C:\, Propriétés, onglet Outils, Vérifier maintenant, cocher les 2 case, OK et redémarrer, et qu'est ce sacn-là qui ne fonctionne pas correctement, alors je ne peux pas t'aider.

Ce scan est sensé :

 

 

Pour les Rootkit, je n'y connais pas grand chose, même si je suis en train d'approffondir un log que je viens de découvrir, il y a une rubrique qui lui est consacrée sur Assiste.Forum.

 

Assiste.Forums Index du Forum -> Contrôleurs d'intégrité -> IceSword

http://assiste.forum.free.fr/viewtopic.php?p=74908#74908

 

IceSword, en français, avec tuto :

 

IceSword

http://www.open-files.com/forum/index.php?showtopic=29383

 

...tu y trouvera peut être des pistes

 

Bon, je dégage de ce post, et je laisse Régis56 poursuivre.

 

Désolé de cette paranthèse.

 

Amicalement.

Voilà ce que je viens de lire en MP, innadmissible, insultant, irrespectueux incroyablement nombriliste et stupide :

Bazalee

scandisk ??, aujourd'hui à 17h43

 

Junior Member

Group Icon

 

Groupe : Membres

Messages : 6

Membre n° 168933

Inscrit : 01/04/2006

 

Bonjour !

 

Je ne comprends pas ce que scandisk a à voir avec un scan de f-prot ??

 

Je sens un léger foutage de gueule désolée de le dire ainsi mais je ne vois que ça

supprime mon thread mon compte ou ce que tu voudras si ça ne te plait pas mais

tu vois vous avez tendance à prendre les gens pour des ignorants de l'informatique .....

Je suis tech en assistance dans un cyber et j'en vois des gens que je dépanne en vrai ...si je viens demander de l'aide sur le forum c'est que j'ai déjà chercher.

 

Ce **** m'en fait voir et loin de moi la parano alors merci de ne pas en rire

 

ma seule soluce est un format low level avec interdiction de reprendre mes docs sur cd je ne vois plus que cela.....

merci quand mm pour l'aide ....

Bazalee pas parano

http://forum.zebulon.fr/index.php?act=Msg&...D=in&MSID=31559

 

ça fou les boules !

 

Je vais rester calme pour une fois, mais pour moi, Bazalee, c'est du balai !

 

On se crève la paillasse à essayer de dépanner en essayant de proposer des solutions, qui, même si elles ne sont pas celles recherchées, ne méritent au moins pas cette loghorrée injurieuse !

 

Incapable de respecter au moins un minimum le temps passé à préparer une réponse, nourrie mais pas élevée la cyber-machin-dépanneuse.

Modifié le 7 juin 2006 par horus agressor

[regis56]

Bonsoir Bazalee bonsoir horus !

 

Edit : Bazalee désolé de n'etre que des passionés d'informatique qui essayons d'aider les autres !

nous c'est pas notre métier !

Alors STP essai de ne pas nous en vouloir si on ne vise pas juste du premier coup !

 

 

Pour explorer je ne lui laisse pas d'acces au réseau mais dans mon parefeu j'ai deux options accés au réseau et accés à la zone sure !

Je voulais dire de le laisser passer pour la zone sure !

 

Je ne connait pas Jetico si tu dis que explorer tente d'avoir acces à internet effectivement il y a un problème !

 

Cependant les différents scan ne trouve rien ???

 

As tu quand même essayé de faire ces scans ?

 

Tu peut tenter un scan en ligne chez kaspersky qui est souvent à jour avant les autres au niveau rootkit

http://www.kaspersky.com/virusscanner

 

Tu peut tenter celui ci aussi

http://www.trendmicro.com/spyware-scan/

 

Après on peut tenter pleins d'autres choses :

Télécharge autoruns ici

http://www.sysinternals.com/Files/Autoruns.zip

 

Dézip dans un dossier à son nom

Double clic sur autoruns.exe

Attend qu'il crée sa liste

Clique sur une des entrées de la liste puis choisit comme options en haut

Vérify code signature et

hide signed microsoft entries

 

Ferme autoruns et relance le

attend qu'il crée sa liste reste sur l'onglet Everything

 

Clic sur file /save/ enregistre le rapport et colle le ici

 

ET

 

-Télécharger datFind.bat (Programme qui va nous servir à faire une liste de tes fichiers et les mettre dans un fichier texte.)

http://virus-protect.net/bat/datFind.bat

Placer datFind.bat dans un répertoire à son nom faire clic droit sur datFind.bat /envoyer vers/Bureau (créer un raccourci)

 

 

-Maintenant on va lister tes fichiers avec datFind.bat (Utiliser le raccourci sur le bureau):

-Un fichier texte apparaît => il se trouve ici: c:\dirdat.txt (range le dans le répertoire ou tu as mis datFind.dat !)

Poste le rapport ici

 

A plus !

Modifié le 7 juin 2006 par regis56

[Bazalee]

Bonjour regis56 !

 

Laisse tomber la nourrie au cyber va formater et c'est tout !

 

Merci pour ton aide quand mm !

 

Bazalee

Ps: ce n'est pas explorer qui demande à sortir là, régis regarde mieux : deuxième édition !

et je suis d'accord avec toi seulement zone de confiance pour explorer pas ailleurs

[regis56]

Bonsoir Bazalee !

 

Si tu veut formater voici un lien qui peut t'aider si besoin !

 

http://www.zebulon.fr/articles/installation-securisee-1.php

 

 

Bonne soirée !