[virus] (gromozon?)Fermé

Question

Bonjour,

Je dispose d'un portable DELL, sou windows XP et je subis une attaque d'un trojan. J'utilise quotidienement avast, mais depuis l'attaque, j'ai fait tourner kaspersky, ad-aware SE, spy hunter, ainsi que le kit anti gromozon de prevx. Celui-ci me l'a detecté, m'annonce qu'il l'a supprimé, mais les autres antivirus détectent des trojans tous les jours. De plus, impossible réexecuter le kit, ni de télécharger quoi que ce soit qui permette de tuer le rootkit. Je joins mon rapport hijack.

Logfile of HijackThis v1.99.1
Scan saved at 18:37:22, on 24/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\basfipm.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Raxco\PerfectDisk\PDSched.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier\SuperCopier.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Program Files\Apoint\Apntex.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Documents and Settings\Toi et moi\Bureau\Antonin\Applications\Anthony\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.dell.com/fr-fr?c=fr&l=fr&s=gen&redirect=1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
pjpi142_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin
pjpi142_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: IntelWireless - C:\Program Files\Intel\Wireless\Bin\LgNotify.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Broadcom ASF IP monitoring service v6.0.4 (BAsfIpM) - Broadcom Corp. - C:\WINDOWS\system32\basfipm.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe


Merci d'avance

Kristopher · Answer

Bonsoir,

1/ Garde un seul antivirus !

2/ Télécharge Blacklight  (de F-Secure) ici : 
https://www.f-secure.com/en 

Clique en bas sur "I ACCEPT" puis sur "Download Blacklight Beta graphical user interface version".

Sauvegarde le programme sur ton Bureau. 

Double-clique sur "blbeta.exe" et clique sur "I accept the agreement". Puis clique sur "Scan" et attends un peu… Ensuite clique sur "Next". 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les "xxxxxxx" sont des chiffres). 

Copie et colle le contenu de ce rapport dans ta prochaine réponse.

a+

Qc001 · Answer

Bonjour à tous,

rayleigh: ton ordi est infecté par la bestiole la plus coriace qui existe à l'heure actuelle :-(

L'outil de Prevx ne fonctionne que sur bécanes anglos, malheureusement. Avec les nouvelles variantes, l'outil est bloqué dans plus de 50% des cas, de toute façon. Symantec a son outil également, mais il n'est pas terrible, et pas de succès sur bécanes Françaises, que je sache.

Faut formater...

:-(

afideg · Answer

Bonjour à tous Que penser de Dr.Web qui est un AntiVirus + AntiSpywares + AntiMalwares < https://www.drweb.fr/ >; telechargement :< ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe >? Il ne recherche et DETRUIT pas seulement les virus mais aussi les malwares et adwares. ( paraît-il ) Merci

afideg · Answer

Pour info Gromozon alias LinkOptimizer •- Une analyse assez détaillée : < https://tier3.bufox.it/wp-signup.php?new=pcalsicuro.phpsoft.it > •- Des commentaires intéressants ici: -Le Cheval de Troie Haxdoor fait des petits < https://www.silicon.fr/ > -Intel : virus et codes malicieux appartiendront au passé < https://www.silicon.fr/ > •- Pour les spécialistes ( que je ne suis pas ): Certains sites sont à rajouter dans votre fichier hosts pour tenter de l'éviter: 127.0.0.1 gromozon.com 127.0.0.1 xearl.com 127.0.0.1 td8eau9td.com 127.0.0.1 mioctad.com 127.0.0.1 mufxggfi.com 127.0.0.1 uv97vqm3.com 127.0.0.1 coeds.com* 127.0.0.1 lah3bum9.com* 127.0.0.1 cvoesdjd.com* Certaines adresses sont à bloquer dans votre pare-feu: (IP Ranges) 195.225.176.0 - 195.225.179.255 85.255.112.0 - 85.255.127.255 66.230.175.0 - 66.230.175.255 Si tu veux tenter une dernière manip, deux adresses proposent des nettoyages: ..... mais sans aucune garantie de réussite! < http://www.suspectfile.com/forum/viewtopic.php?t=170 > < https://www.2-spyware.com/gromozon-and-linkoptimizer-removal-guide-2 > Bonne journée.

Qc001 · Answer

Salut afideg :-)

Dr.Web est un tool puissant, effectivement. Il me fait penser à KAV, qui cible également plusieurs malwares, y compris des trojans. Bémol : beaucoup de faux positifs, et nous devons garder l'oeil ouvert pour ceux-ci...

Pour Gromozon (LinkOptimizer) : le pdf nous décrit les premières variantes. Depuis, les codeurs suivent les développements et adaptent la bête afin d'éviter détection/suppression. Un vrai monstre...

rayleigh · Answer

Bonjour,

Merci de votre coup de main.

Encore une petite question. Mon PC tourne normalement (pas de surutilisation du processeur comme j'avais avant etc.). Est-ce que ça vaut le coup d'attendre un outil performant qui détruise la bête, ou bien je formate directement sans me poser de questions ?

Autrement, quelle protection adopter pour éviter ce genre de problèmes à l'avenir ?

Merci

Qc001 · Answer

Bonsoir rayleigh ;

Tes questions sont tout à fait pertinentes. Je vais répondre de mon mieux :-)

Cette infection est protégée par un rootkit très bien codé, et installe plusieurs fichés extrêmement bien cachés. Le (les) codeur est astucieux et surveille... Nous avons déjà eu quelques évolutions depuis sa sortie, ce qui rend les choses plus difficiles pour nous (et vous). Si ton ordi semble mieux maintenant, ça ne veut pas dire qu'il est propre, et nous ne savons pas exactement quel type d'emprise l'infection a sur l'ordi hôte. Surveillance et vole d'infos personnelles par contrôle à distance - possible. Face à une telle incertitude, je me dois de te suggérer un formatage. Tu peux sauvegarder des données importantes par contre. Si tu as des fichiers téléchargés par P2P (peer-to-peer) ou des cracks, je te conseilles fortement de tous les larguer avant le formatage.

À tout le moins, je peux te laisser quelques liens, si tu veux tenter de débusquer ce truc une toute dernière fois. Ceci comprend le tout dernier tool de Prevx (au cas où ce n'est pas celui que tu as essayé..), celui de Symantec (rien à perdre...) et un outil anti-malware du genre Ewido qui se nomme SUPERAntispyware ; ce dernier serait capable de dépister quelques fichiers associés à Gromozon (à moins qu'il ne soit ciblé à son tour !). Méthode conseillée : passe l'outil de Symantec (en mode Sans Échec impérativement), puis SUPERAntispyware (tuto par Malekal_morte - Merci !), puis l'outil de Prevx.

https://www.broadcom.com/support/security-center

https://www.malekal.com/tutoriel-et-guide-superantispyware/

http://aknow.prevx.com/zeroL/FixGrom.exe

Voilà :-)

Pour ce qui est de la prévention maintenant... De bonnes habitudes de surf sont toujours #1. Utiliser un navigateur autre que IE (quoique le nouveau IE version 7 soit prometteur..) tel FireFox (avec "No Script" et "AdBlock"), ou Opera. Un bon parefeu, antivirus et Windows à jour. Il y a une foule d'outils et de progs disponibles pour la prévention, mais tout cela dépend du propriétaire :-) (tel un fichier Hosts, SpywareBlaster, prog anti-malware avec boucliers, etc..).

Ne mise pas trop sur la désinfection, mais tu peux essayer ces quelques outils.

Dis-nous ce qu'il en résulte ;-)

@+

Regis59 · Answer

Salut

On ne vas pas abandonner aussi facilement quand meme lol

C'est possible d avoir le contenu de ton fichier host?

Ainsi que:
Telecharge ceci
https://www.silentrunners.org/Silent%20Runners.vbs 
Execute le,atends quelques minutes, il va creer ensuite un dossier juste a coté de silent runner sous format texte, copie/colle ce qu il te donnera

Je ne sais pas ce que j y trouverais, peut etre rien mais j'exploite toutes les solutions etant donné que je ne connais pas trop cette bestiole.

A+

Qc001 · Answer

Salut Quentin :-)

Je n'abandonne jamais facilement... :-P

Ce machin est horrible... et je me rends compte avec le temps que, parfois, donner l'heure juste au visiteur peut être pénible pour tout le monde. Les bénévoles en Sécu se disent souvent "allergiques" au formatage, et j'ai longtemps prononcé ces mots sans conditions ! Mais fait savoir plier devant certaines bêtes, et ce dans le but d'aider le visiteur (toujours..). L'acharnement thérapeutique a sa place par moments, mais il est également important de guider le visiteur vers la solution idéale pour lui/elle, selon le cas qui est présenté. Risques de rouler avec une bécane compromise par un rootkit introuvable, de servir de machine à attaques DDoS, de spammer, d'infecter les autres, etc... Pour ne pas parler du temps énorme qui peut être investi par le bénévole, qui veut tout tenter..

Bon j'arrête là !! lol...

Voyons voir ce que rayleigh trouvera ;-)

rayleigh · Answer

Bonsoir, D'abord, merci à vous tous pour vos conseils...même s'ils ne fonctionnent pas ! J'ai fait la manip proposée par Qc001, et je n'ai pas réussit à executer les programmes proposés (j'avais en plus dû les télécharger depuis un autre PC parce que le mien m'annoncait que les serveurs n'éxistaient pas). Voici le contenu de mon fichier host # Copyright (c) 1993-1999 Microsoft Corp. # # Ceci est un exemple de fichier HOSTS utilisé par Microsoft TCP/IP # pour Windows. # # Ce fichier contient les correspondances des adresses IP aux noms d'hôtes. # Chaque entrée doit être sur une ligne propre. L'adresse IP doit être placée # dans la première colonne, suivie par le nom d'hôte correspondant. L'adresse # IP et le nom d'hôte doivent être séparés par au moins un espace. # # De plus, des commentaires (tels que celui-ci) peuvent être insérés sur des # lignes propres ou après le nom d'ordinateur. Ils sont indiqué par le # symbole '#'. # # Par exemple : # # 102.54.94.97 rhino.acme.com # serveur source # 38.25.63.10 x.acme.com # hôte client x 127.0.0.1 localhost Et voici le rapport de silent runners "Silent Runners.vbs", revision 49, https://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "SuperCopier.exe" = "C:\Program Files\SuperCopier\SuperCopier.exe" ["SFX TEAM"] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "Apoint" = "C:\Program Files\Apoint\Apoint.exe" ["Alps Electric Co., Ltd."] "SunJavaUpdateSched" = "C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe" [null data] "ATIPTA" = "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."] "(Default)" = "(empty string)" [file not found] "IntelWireless" = "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless" ["Intel Corporation"] "Dell QuickSet" = "C:\Program Files\Dell\QuickSet\quickset.exe" [empty string] "avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [null data] "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "AcroIEHlprObj Class" \InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration" -> {HKLM...CLSID} = "Extension Affichage Panorama du Panneau de configuration" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler" -> {HKLM...CLSID} = "Outlook File Icon Extension" \InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office10\OLKFSTUB.DLL" [MS] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office10\msohev.dll" [MS] "{472083B0-C522-11CF-8763-00608CC02F24}" = "avast" -> {HKLM...CLSID} = "avast" \InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data] "{FA010552-4A27-4cb1-A1BB-3E2D697F1639}" = "SpySubtract Shell Extension" -> {HKLM...CLSID} = "SpySubtract Shell Extension" \InProcServer32\(Default) = "c:\Program Files\interMute\SpySubtract\sshook.dll" ["InterMute, Inc."] "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" = "TuneUp Shredder Shell Context Menu Extension" -> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension" \InProcServer32\(Default) = ""C:\Program Files\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ <> "{FA010552-4A27-4cb1-A1BB-3E2D697F1639}" = "SpySubtract Shell Extension" -> {HKLM...CLSID} = "SpySubtract Shell Extension" \InProcServer32\(Default) = "c:\Program Files\interMute\SpySubtract\sshook.dll" ["InterMute, Inc."] HKLM\System\CurrentControlSet\Control\Session Manager\ <> "BootExecute" = "PDBoot.exe" ["Raxco Software, Inc."]|"autocheck autochk *" HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ <> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."] <> IntelWireless\DLLName = "C:\Program Files\Intel\Wireless\Bin\LgNotify.dll" ["Intel Corporation"] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}" -> {HKLM...CLSID} = "avast" \InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"] TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" -> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension" \InProcServer32\(Default) = ""C:\Program Files\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" -> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension" \InProcServer32\(Default) = ""C:\Program Files\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}" -> {HKLM...CLSID} = "avast" \InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Documents and Settings\Toi et moi\Local Settings\Application Data\Microsoft\Wallpaper1.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS] Startup items in "Toi et moi" & "All Users" startup folders: ------------------------------------------------------------ C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage "Digital Line Detect" -> shortcut to: "C:\Program Files\Digital Line Detect\DLG.exe" ["BVRP Software"] Enabled Scheduled Tasks: ------------------------ "Maintenance en 1 clic" -> launches: "C:\Program Files\TuneUp Utilities 2006\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Console Java (Sun)" "CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}" {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Program Files\Messenger\msmsgs.exe" [MS] Miscellaneous IE Hijack Points ------------------------------ C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings") Added lines (compared with English-language version): [Strings]: SAFESITE_VALUE="https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fhome.microsoft.com%2fintl%2ffr%2f%3f" Missing lines (compared with English-language version): [Strings]: 1 line HKLM\Software\Microsoft\Internet Explorer\AboutURLs\ <> "TuneUp" = "file://C|/Documents and Settings/All Users/Application Data/TuneUp Software/Common/base.css" [file not found] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."] avast! Antivirus, avast! Antivirus, ""C:\Program Files\Alwil Software\Avast4\ashServ.exe"" [null data] avast! iAVS4 Control Service, aswUpdSv, ""C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe"" [null data] avast! Mail Scanner, avast! Mail Scanner, ""C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"] avast! Web Scanner, avast! Web Scanner, ""C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"] Broadcom ASF IP monitoring service v6.0.4, BAsfIpM, "C:\WINDOWS\system32\basfipm.exe" ["Broadcom Corp."] EvtEng, EvtEng, "C:\Program Files\Intel\Wireless\Bin\EvtEng.exe" ["Intel Corporation"] Machine Debug Manager, MDM, ""C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe"" [MS] NICCONFIGSVC, NICCONFIGSVC, "C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe" ["Dell Inc."] PDScheduler, PDSched, ""C:\Program Files\Raxco\PerfectDisk\PDSched.exe"" ["Raxco Software, Inc."] RegSrvc, RegSrvc, "C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe" ["Intel Corporation"] Spectrum24 Event Monitor, S24EventMonitor, "C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe" ["Intel Corporation "] WLANKEEPER, WLANKEEPER, "C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe" ["Intel® Corporation"] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS] ---------- <>: Suspicious data at a malware launch point. <>: Suspicious data at a browser hijack point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + The search for DESKTOP.INI DLL launch points on all local fixed drives took 41 seconds. ---------- (total run time: 107 seconds) Voilà tout. Dans tous les cas, je formatte demain, donc si vous voyez une solution avant, je suis preneur. En tout cas, merci pour l'aide. Rayleigh

Kristopher · Answer

Bonsoir tout le monde,

Rayleigh, avant de formater, essaie encore ceci stp. :

1/ Télécharge CounterSpy ici :

https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/31393.html 

2/ Mets le programme à jour, scanne en mode Full System (par défaut) et supprime ce qu'il trouve (+ vide la quarantaine s’il y a des fichiers). 

3/ Après avoir installé CounterSpy, tu vas dans :
"System Tools" -> "My PC Checkup" -> "Start" -> Tu sélectionnes tout -> "Continue" (ça équivaut à la vaccination de Spybot mais en + balaise).

Et j'espère que cela va supprimer tous les malwares :)

Tiens moi au jus.

Courage, Kristopher

rayleigh · Answer

C'est fait.
 
Il m'a trouvé un seul malware (virtumonde), et un cookie suspect.

Le problème n'est pas vraiment résolu, car mon PC ne réussit pas à se connecter aux sites fournissant des programmes permettant de détruire gromozon...:-(

Rayleigh

did71 · Answer

Bonsoir à tous,

salut Qc001,

Je rejoins Qc001, pour l'instant, cette bête est indestructible et le formatage est la meilleure solution!

Tu n'auras pas accès aux sites car ta bête les bloque!

a+

Séb08 · Answer

slt tous,

Bonne galère ça ! ;-)

Regis59 · Answer

Bonjour a tous,

Le formatage n'est un combat de gagné pour moi lol (et pour d autres c est le cas aussi je pense lol)

Tu formates finalement?

A+

afideg · Answer

Bonjour à tous

D'accord, sa destruction pose problème.
Et on peut admettre que ce "gromozon" puisse empêcher de se connecter aux sites fournissant des programmes permettant de le détruire ( il lui suffirait donc de connaître la liste de ces sites - why not - ).
On peut aussi imaginer qu'il bloque malgré tout , les programmes permettant de le détruire ( il lui suffirait donc de connaître la liste de ces programmes - why not - ).

Mais je voudrais pouvoir imaginer que l'on puisse cependant le rendre lisible/visible ( dans le sens où il aurait commis l'audace de nous narguer - why not - ).

Ne pourrait-on plancher sur la meilleure méthode pour y arriver; à partir de quoi on pourrait laisser libre cours à notre imagination pour le détruire.

Merci

Regis59 · Answer

Salut

Bha pour les programmes, ils exitent?
S'il ne peut pas se connecter, on lui envoie soit par email soit par un lien ci-joint.

A+

Rayleigh · Answer

Bonjour,

En fait, même si je recupère les programmes dont vous parlez, je ne peux pas les faire tourner (la bête les bloque). 

Je finis de récuperer toutes mes données, et je formatte derrière.

Merci à vous tous pour votre aide.

Rayleigh

Lyonnais92 · Answer

Bonjour à tous,

Si l'idée est d'accumuler le maximum d'infos sur la bête avant qu'elle ne soit détruite dans le formatage, il serait bien d'avoir aussi, si tant est que elle le permette, le scan en ligne (ou pas en ligne) de Kapersky.

Et on pourra remercier, même si cela lui laisse un goût amer, raylegh de sa contribution à un problème dont je sens qu'il n'a pas fini de nous faire parler.

@+

Regis59 · Answer

Salut Lyonnais,

Il me semble qu il n a pas possibilité de se connecter sur un scanner online.

A+

Regis59 · Answer

Re,

Apparemment je suis sur une piste trouvé sur Zebulon, on peut essayer?

a+

afideg · Answer

Bonjour Régis59 et Lyonnais92

D'accord Régis
Mais il y a les ScanOnline "avec remove" et ceux "sans remove".
Peut-être va-t-on y voir une différence de "comportement de la bête" ?
Dans le cas contraire, tant pis !
Merci d'avance pour l'essai.

Regis59 · Answer

Salut Afideg,

Apparemment, d'apres ce que j ai lu rapidement, il y a possibilité de le supprimer !
Pour cela, faudrait tester quelques programmes...

J'aimerais commencer par 2 programmes pour nos informations...

1- Ad aware et scanner son pc avec et copier coller le rapport

2- Spy Sweeper:
Télécharge SpySweeper (de Webroot) de ce lien (version d'essai de 14 jours) : https://www.webroot.com/fr/fr

Clique sur "Télécharger la version test".
Installe le programme. Une fois installé, il se lancera.
L'option de le mettre à jour s'affichera; clic Yes.
Lorsque les mises à jour seront installées, clic Options sur la gauche.

Clic sur l'onglet Sweep Options.

Sous What to Sweep, coche les options suivantes:
-Sweep Memory
-Sweep Registry
-Sweep Cookies
-Sweep All User Accounts
-Enable Direct Disk Sweeping
-Sweep Contents of Compressed Files
-Sweep for Rootkits

DÉCOCHE Do not Sweep System Restore Folder.
Clic Sweep Now sur la gauche.
Clic sur Start.
Quand le scan est terminé, clic sur Next.

Assure-toi que tous les items sont cochés, puis clic sur Next.
Tous les items cochés seront éliminés.

Si Spy Sweeper veut redémarrer pour terminer le nettoyage : ACCEPTE.
Clic Session Log au haut - à droite, et copie tout ce qu'il y a dans la fenêtre.
Clic sur l'onglet Summary, puis clic sur Finish.
Colle le contenu du "Session Log" dans ta prochaine réponse.

---> Après s'en suivra des tools et peut etre gmer...

Merci de te joindre avec nous pour cette lutte impitoyable des malwares d'Internet.

Lyonnais92 · Answer

Re,

Pour comprendre une partie des problèmes et des enjeux, la référence de la traduction de l'article de Marco GIULIANI cité par Afideg au post 5

http://xp.net.free.fr/articles/gromozon.php

On peut voir en particulier la 2ème partie, Analyse des techniques d'infection.

Le point crucial est le rootkit, comme déjà signalé, surtout quand il utilise les "ADS" des fichiers NTFS.

@+

did71 · Answer

Bonjour à tous,

L'outil de Prevx (FixGrom.exe) n'a pas fonctionné! Les seuls cas où j'ai vu la bête "mourrir", le fix avait fonctionné.

En espèrant que Spy Sweeper nous montre quelque chose.

a+

Qc001 · Answer

Salut afideg, tout le monde ;

J'aimerais juste clarifier quelques trucs.

SedebugPrivilege est enlevé par une infection Look2Me active, effectivement. Look2Me n'est pas le seul à le faire par contre, et la preuve est ici : pas de Look2Me sur la bécane de Rayleigh.

Si certains programmes tournent et d'autres pas, ben vous constatez le travail ingénieux du codeur... Les progs qui ne font pas mal peuvent tourner ;-)

Pour Dr.Web CureIt : pas de mal à essayer sur une bécane prête pour le formatage, même si celui-ci est risqué. Un helper qui veut le prescrire régulièrement doit assumer une partie des risques, et bien avertir le visiteur et surveiller pour les faux-positifs.

L'article de Marco GIULIANI a été réalisé suite à la sortie de ce rootkit, qui a bien évolué depuis. Il bosse chez Prevx celui-là.

J'aurais aimé pouvoir en faire plus, mais bon...j'ai assez lu sur cette bête...

Rayleigh : tu as bien bossé, et tu peux en être fier (fière).

@+

afideg · Answer

Salut Qc001 

Merci pour tes interventions précises et précieuses sur CCM.

À propos de SedebugPrivilege

Ce que je disais ( ni plus ni moins - merci cependant d'avoir ajouté ce commentaire intéressant - ) c'est que,
 lorsque BlackLight ne peut être exécuter et qu'il s'affiche le message d'erreur suivant : « F-Secure could not acquire necessary privileges (SeDebugPrivilege) .........» , 
on peut tenter d'exécuter Look2Me-Destroyer.exe, qui précisément termine son rapport ainsi : "Restoring SeDebugPrivilege for Administrateurs - Succeeded" ). 

Donc, et puisque tu ajoutes pertinemment « Look2Me n'est pas le seul à le faire par contre », 
serait-il possible d'en déduire que Look2Me-Destroyer.exe ne restaurera les privilèges ( qui empêchent BlackLight de s'accomplir ) que pour autant que ces privilèges aient été la conséquence exclusive du seul Look2Me ?

Merci

Qc001 · Answer

Resalut afideg ;-)

Tes questions sont tout à fait pertinentes. J'aurais pu être un peu plus complet dans mes remarques. Voici donc quelques notions supplémentaires :

Oui, Look2Me-Destroyer et  l2mfix (avec option #2) peuvent restaurer le SeDebugPrivilege. Par contre, si l'infection qui enlève ces privilèges est toujours active, les privilèges seront enlevés à nouveau au prochain démarrage. Bémol : passer un outil puissant tels Look2Me-Destroyer ou l2mfix (option #2) sur une bécane comporte toujours certains risques, surtout si Look2Me n'est pas présent, alors moi je préfère ne pas faire tourner ces outils juste pour les privilèges. Dans certains cas rares, SedeBug a été retiré par une éradication de Look2Me faite par un outil autre que les deux mentionnés précédemment (avec Spy Sweeper par exemple...), qui ne restaure pas les privilèges.

Je conseille plutôt l'utilisation d'un outil plus gentil dans ces cas-là : VX2Finder (de Option^Explicit). C'est un outil qui ne sert plus, mais il demeure disponible. Faut juste le lancer et cliquer sur le bouton "Restore Policy", puis redémarrer. Sans danger.

Pour terminer : BlackLight n'a vu ce rootkit qu'une seule fois depuis que je surveille les développements. Les nouvelles variantes se cachent beaucoup mieux :-(

Voilà..

Bonne soirée toutes/tous :-)

rayleigh · Answer

Désolé pour vous, mais j'ai formaté cet aprèm.

Je reste disponible si vous voulez des infos sur ce qui m'est arrivé.

Encore une question, mais est-ce normal qu'il y ait un bout de mon disque dur (100 Mo) qui soient en amont de C: et que je ne puisse pas le regrouper. Le bios-je crois que ça s'appelle comme ça- m'annoncait que C: était la première partition).

A bientôt

Rayleigh

Kristopher · Answer

Bonsoir,

Quel dommage... J'en connais qui seront sûrement très déçu :(

Pourtant, ça commençait bien : CounterSpy a éradiqué "Virtumonde" et je suis presque certain que Spy Sweeper aurait très probablement trouvé d'autres malwares...

Si non, je pensais à un dernier logiciel, antispyware pour être précis, un dénommé Spyware Doctor qui semble le plus judicieux pour cette infection exactement qui se comporte à l'instar d'un rootkit.

Or cet antispyware est le plus efficace de tous pour l'éradication des rootkits justement !

Voir test récent : https://www.pcworld.com/article/126885/article.html 

Je cite : "Spyware Doctor... was the only tested product to detect 100 percent of active rootkits." - interrésant non ? ;)

Bonne soirée à tous,
Kristopher

afideg · Answer

Salut Rayleigh

Heureux pour toi , tant pis pour la recherche.

Mais quelque chose m'intrigue. 

Tu annonçais: « J'utilise quotidiennement avast, mais depuis l'attaque, j'ai fait tourner kaspersky »

Sur ton log HJT, tu avais notamment :
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe 
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) 
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) 
Et aussi O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
que tu as supprimé ultérieurement.

Mais je suppose que Avast n'avait pas été (re)paramétré uniquement pour mail et web, lors de l'installation de KAS AVP . 

En effet , si tel était le cas, il s'agirait de rendre à Avast toutes ses fonctions.

Je me réfère à ceci dans mon raisonnement : 
«  installer AVG anti-virus et Avast, AVG anti-virus pour le résident -  plus léger et plus fiable ( il n'y a que lui qui détecte les virus en train de contaminer mon PC ) - et Avast pour mail et web -où il est beaucoup plus performant - »


Peux-tu me confirmer si tu as, ou comment tu gères la fonction de Firewall ( via routeur ? ) ?

En effet, je me permets de rappeler les conseils de Qc001 au #  9- « Pour ce qui est de la prévention maintenant... 
De bonnes habitudes de surf sont toujours numero1. 
Utiliser un navigateur autre que IE (quoique le nouveau IE version 7 soit prometteur..) tel FireFox (avec "No Script" et "AdBlock"), ou Opera. 
Un bon parefeu, antivirus et Windows à jour. 
Il y a une foule d'outils et de progs disponibles pour la prévention, mais tout cela dépend du propriétaire :-) (tel un fichier Hosts, SpywareBlaster, prog anti-malware avec boucliers, etc..).» 

Merci pour ta collaboration .
à+..

did71 · Answer

bonsoir à tous,

le formatage ne fait plaisir à aucun helper mais dans ce cas, c'était vraiment recommandé!

CounterSpy a trouvé virtumonde mais pas gromozon, et s'il ne l'a pas détecté , c'est qu'il y avait une raison, il ne peut pas détruire gromozon!

Pour afideg, utiliser firefox avec No Script, me semble la meilleure solution pour l'instant!

a+

afideg · Answer

Bonsoir did71

Mon message précédent était ni plus ni moins une recommandation de précautions pour Rayleigh; qui ne possède pas FireFox je crois.

J'aimerais recevoir sa réponse quand il aura repris ses habitudes avec son PC.

Je ne comprends pas ceci « Pour afideg, utiliser firefox avec No Script, me semble la meilleure solution pour l'instant !  »; dois-je l'interprêter comme une recommandation de "barrière contre ce qu'on appelle gromozon"?
Dans ce cas, cette recommandation va bien au-delà de afideg.
Merci à toi  .  ;)

PS: Ne sait-on pas paramétrer ce " NoScript " quelque part , même en l'absence de FireFox ?? Donne -moi la procédure SVP ? ( j'ai Kis6 )
Bonne nuit.

did71 · Answer

bonsoir afideg,

oui, c'est une recommandation, pour l'instant, les personnes infectés par gromozon utilisent IE (ou des dérivés genre MyIE)!

avec firefox et Noscript, pas d'infections!

Noscript est un plug in de firefox et seulement destiné à firefox!

a+

Qc001 · Answer

C'est encore moi... le grand méchant :-P

rayleigh : si certains sont déçus, c'est la vie. Et c'est ta bécane. J'assumerai les retombées, s'il le faut ;-)

Pour ce 100Mo d'espace : je sais pas ! Faudrait demander dans le forum "Windows" je crois, ou peut-être quelqu'un qui passe par ici saura.. Est-ce un espace configuré par quelqu'un,  prévu pour Linux ?
====================

Pour Kristopher : j'ai de la difficulté avec ces tests genre PCMag qui ne donnent aucuns détails sur les "rootkits" détectés, etc.. "Détectés" c'est une chose, mais que fait-il avec l'éradication ? Cette page a été mise à jour en Août, alors que Gromozon et pe386 n'existaient pas. Faudrait juste le tester ? Propose-le à ton prochain visiteur "rootkitté" ; je pense à de petits rootkits tous simples à la Egdaccess, ou bien Haxdoor ou bien HackerDefender. Plusieurs ont fait tourner Gromozon en essais, et lui ont balancé l'arsenal au complet. Si Spyware Doctor pouvait quoique que ce soit contre ce monstre, nous en aurions entendu parler (à tout le moins je l'espère !!). SUPERAntispyware est un petit nouveau dans l'arène, et très agressif dans ses détections. Faudrait juste tester...

Counterspy est un dérivé de Windows Defender (clone de MS Anti-spyware/Giant à l'époque). Très bien pour nous lorsque nous avons des bécanes 98/ME à désinfecter (l'un des rares à tourner sous ces vieux OSs). Il détecte Virtumonde, mais nepeut rien faire avec ; Vundo est très coriace (aucun outil commercial ne peut l'enlever).

Dommage pour le formatage ? Bien évidemment...mais pas un drame.

Bon weekend tout le monde :-)

Lyonnais92 · Answer

Bonsoir,

J'ai un peu de scrupules à intervenir sur ce post, bien conscient de mes lacunes en matière de lutte anti malware par rapport aux autres intervenants.

Mon premier souci est d'essayer en apprendre un peu plus sur le sujet. A la suite d'Afideg, j'ai fait des recherches sur Google. J'ai aussi lu les informations fournies par Qc001. Je suis intéressé par les références complémentaires. Par exemple, j'ai trouvé essentiellement des références sur des forums italiens et français par l'entrée "gromozon". Les références américaines peuvent se faire sur un autre point d'entrée. Mais lequel ?  De même, j'ai trouvé peu d'information sur les évolutions de la bête depuis l'article fondateur. J'avais bien vu qu'il faisait partie de prevx. Il est probable que l'outil d'éradication de prevx est fondé sur ses analyses.

Mon second souci, c'est les retombées sur le monde des helpeurs de cette nouvelle race de malware. Je ne sais pas ce qui peut se passer en dehors de la France. Je ne sais même pas les réflexions qui peuvent avoir lieu dans les autres grands sites de cette lutte. Mais j'ai fait tilt dès le post 3 "faut formater". La suite des réactions ne m'a pas surpris. Formater est un blasphème, l'aveu d'un échec personnel du helpeur.

L'origine de cette réaction, sa légitimité doit être comprise. La génération qui la porte a été formé, a appris le "métier" dans un contexte où la supériorité était du côté des bons qui gagnaient de plus en plus souvent et, sur la fin, quasiment à tous les coups contre les méchants. Cette vision est certainement simpliste. Elle est peut être même fausse. Afideg a eu raison de faire remarquer sur un autre forum le taux d'abandon par les helpés. Combien de cures se sont terminées par un formatage ignoré du helpeur ? Peu importe dans cette discussion. Présent depuis quelques mois seulement, une des idées fortes de l'apprentissage tel que je l'ai compris était bien celle là : on peut éviter le formatage. Qc001 le confirme lui même. C'est bien ce qu'il disait lui même il y a peu.

Je pense aussi que les pionniers n'avaient pas la même certitude : ils ont du subir trop d'échec pour ne pas avoir gardé l'idée que le formatage était parfois inévitable. Je laisse un historien déterminer les dates de chacune de ces périodes (si tant est que j'ai raison).

J'espère me tromper mais je crois que ce post, sur ce forum en tout cas, marque la fin d'une époque, d'une certaine forme d'un âge d'or de la bataille. Les concepteurs de gromozon ont un temps d'avance sur leurs opposants. Ils ont trouvé des modes d'infection qui résistent aux techniques actuelles mises en oeuvre pour les repérer (il semble que certains y arrivent encore) et surtout les éradiquer. Je n'ai pas les compétences techniques pour rentrer sérieusement dans les discussions qui doivent avoir lieu dans les équipes des sociétés qui vivent de l'anti (virus, trojan, spyware, ...). Mais je crois en savoir suffisamment pour avoir l'intuition que le rootkit peut être placé n'importe où dans un fichier NTFS et que ses caractéristiques elles même (taille par exemple) peuvent présenter une grande variabilité. Si je peux me permettre ces comparaisons, le retrouver ne relève plus de la recherche du vainqueur du Grand Prix de l'Arc de Triomphe (ou de la Ligue des champions), ni même du bonneteau mais s'apparente à trouver la bonne combinaison du Loto.

Encore une fois, j'espère avoir tort, mais, ce soir, je suis assez pessimiste. Songez par exemple à ce qu'il n'est pas possible d'observer la bête sur une VM : elle la décèle et ne s'installe pas dans ces conditions !

Mais, je crois nécessaire que tous les arguments soient présentés et analysés. Il faut donc continuer de nous approprier le dossier technique. Hormis Qc001 et Did71, qui connaissait quelque chose à cette bestiole ? Je n'en avais jamais entendu parler (d'où mon intérêt pour le post). Je comprends que ceux qui ont déjà beaucoup donné sur le sujet souhaitent passe à autre chose : le sujet est frustrant, dés que l'on est convaincu qu'il n'y a rien d'autre à faire, le mieux est d'aider le helpé dans son formatage et de se reconcentrer sur les cas où le traitement va être un succès. Je crois, il en a déjà beaucoup fait sur le post, que Qc001 a encore des références utiles pour nous convaincre.

Après, il faudra tirer les conséquences positives. Par exemple, quels conseils utiles avons-nous à faire pour que le formatage soit le moins douloureux possible. Il nous faudra aussi assurer la veille technologique pour le jour où un "fix" verra le jour.

Ce qui serait vraiment dommage serait que cela décourage les meilleurs artisans actuels de la bataille.
@+

Regis59 · Answer

Salut tout le monde :-)

Rayleigh, Bonne initiative et bonne continuation a toi :-) Merci pour tout en tout cas. Protege bien ton PC ;-)

Hello Mister Qc001,

Comment vas tu?
Aurais tu des infos sur ou on pourrait choper la bête? J'ai entendu dire il me semble, sans en etre sur, que le test de ce rootkit sur VM était impossible? Ragot ou affirmation?

Salut Lyonnais ;-)

Comme le disait afideg:
Gromozon alias LinkOptimizer 

Peut etre qu'il faudrait chercher sous son autre appellation.
Je sais que sur Zebulon, il y a un poste d ouvert sur ce rootkit, si ca interresse certain, je peux essayer de chercher plus d infos par la bas.
Pour ce qui est des retombée, faut savoir que les francais ne sont pas les plus top dans la lutte anti malware. En effet, je pense que les americains sont plus "fort" que nous dans cette lutte...(cf forums US). Ainsi, les infections contaminent le monde tout entier, faut pas se leurer, chaque pays est touché par toutes ces infections.
C'est sur que le formatage peut etre evité. Cependant il faut qu on ait a notre disposition des outils efficaces et complet. Sans SmitfraudFix, jamais on aurait pu supprimer cette bete aussi facilement...(cf changelog de Smitfraudfix et ses evolutions tous les 2/3 jours)

Lyonnais, saches qu avant que tu arrives sur cette lutte, nous avons aussi subi ces evolutions et nous avons su s y adapter.
Personnellement cela fait environ 2 ans que je suis sur cette lutte et crois moi que les evolutions se sont faites tous les mois quasiment. Pourtant rien nous a empecher, a l heure actuelle, de supprimer toutes les infections connues et evolutives.
Si tu prend l exemple de Sasser, il a fallu que l on s adapte pour s en debarrasser. Laissons nous le temps de nous familiariser avec ces evolutions.

Même si on ne peut tester un rootkit (d'apres ce que j ai compris) sur une VM, on le testera sur une machine avec un systeme d exploitation normal et non virtuel. J'ai PC en construction, bha je ferais mes tests dessus. Le bon gagne toujours, faut pas l oublier !
Ce qui est crée peut etre detruit ! C'est ca l informatique !

Ne nous decourageons pas, loin de la...
Je ne suis pas inscrit sur des forums US mais d apres ce que j ai vu sur Zebulon (avec des liens directs vers forums US), nous avons les possibilités de les vaincre. Soyons confiant !

A+

Qc001 · Answer

Bon Samedi tout le monde.

J'avais quelques paragraphes d'écris ici en réponse, à travers les activités familiales, puis le sommeil a eu le dessus avant que je ne termine. J'ai réservé le tout en fichier, car je devrai éditer suite au post de Quentin (Hello :-))

Lyonnais : tu soulèves des points fort intéressants, et je vais m'y attaquer. Je risque de ne revenir que Dimanche par contre.

Rapidement : je ne teste pas les bestioles, donc je vais devoir aller aux renseignements afin de savoir où choper cette chose. Impossible d'installer sur machine virtuelle, effectivement... y faut un PC "sacrificiel"..lol

Petite note sur les collègues "forts" : ils/elles sont partout, même si la majorité des gros forums Sécu sont hébergés aux U.S. 

Gromozon semble avoir été repéré beaucoup en Italie, avec quelques cas ici et là aux quatre coins.

Je dois retourner au dodo (4:00), alors je repasse dès que je le peux ;-)

Lyonnais92 · Answer

Bonjour,

Les références sur Google sont avec "gromozon". LinkOptimiser ne donne rien de plus (et beaucoup en moins). Je n'ai pas encore regardé avec les noms donnés par Kapersky.

Pour les test sur VM, si l'on fait confiance à Marco Giulani, au moment où il écrit son article, ils sont impossibles et il démontre pourquoi :

J'ai parlé dans la deuxiéme partie du "repérage" des machines virtuelles par www.google.com. 
Plus précisément, l'élément de contrôle est localisé dans la Dll embarquée de l'exécutable responsable de l'installation du rootkit et des autres infections.
Le procédé de vérification utilisé est apellé "Red Pill" par Joanna Rutkowska c'est un vieux "truc" bien connu.
Une routine vérifie à quelle adresse est localisé l' IDT (Interrupt descriptor table) dans la mémoire.

Sur un PC Windows normal, l'IDT est localisé à l'adresse 0x80xxxxxx mais sur une machine émulée, la localisation se fait dans une plage d'adresse différente.
VMWare, par exemple, localise l'IDT à l'adresse 0xffxxxxxx tandis que VirtualPC la localise à l'adresse 0xe8xxxxxx. La routine vérifie donc si l'adresse mémoire de l'ITD est supérieure a 0xDxxxxxxx , si c'est le cas c'est que la Dll tourne sur une machine virtuelle donc elle stoppe le processus d'infection.

Pour mémoire, www.google.com est un des composants de l'infection, peut être le composant central.

@+

[virus] (gromozon?)

39 réponses

Discussions similaires

Newsletters