Question sur HijackThis après infection
#1
Posté 13 mars 2008 - 16:37
J'ai une question (à laquelle je n'ai pour le moment pas trouvé de réponse), car j'essaie d'aider une amie dont le PC a récemment été infecté (selon toute probabilité) par ce virus qui se répand via "MSN"...
En gros, malgré l'application du "MSNFix", son PC ne peut plus démarrer. Ou, plus exactement, il commence à démarrer, puis s'arrête de lui-même et se remet en veille. Des analyses antivirales, lancées à partir d'un disque dur secondaire, comportant lui-même une autre installation de "XP", ont bien mis en évidence plusieurs "nuisances", mais leur nettoyage n'a rien changé au problème qui bloque le PC.
La question que je me pose est : existe-t-il un moyen de faire analyser par HjT un système, à partir d'un autre système qui est encore "sain" ? J'ai regardé toutes les options du logiciel, et n'ai a priori rien vu qui le permette...
Toute aide sera la bienvenue, et merci d'avance !
#2
Posté 13 mars 2008 - 16:51
est-il possible d'avoir tout de même une copie de ce rapport hijackthis ?
je vais demander à Snooky de passer par ce topic quand il sera disponible, il est sans doute le plus à même ici de proposer une procédure de désinfection.
(une remarque cependant: le fix utilisé pour la désinfection est-il "à jour", le dernier en date ?)
à bientôt.
edit : bien penser à désactiver (temporairement, le temps de la désinfection) la restauration système.
#3
Posté 13 mars 2008 - 17:07
est-il possible d'avoir tout de même une copie de ce rapport hijackthis ?
je vais demander à Snooky de passer par ce topic quand il sera disponible, il est sans doute le plus à même ici de proposer une procédure de désinfection.
(une remarque cependant: le fix utilisé pour la désinfection est-il "à jour", le dernier en date ?)
à bientôt.
edit : bien penser à désactiver (temporairement, le temps de la désinfection) la restauration système.
Bonjour Noisette !
Et merci d'avoir pris le temps de me répondre.
Malheureusement, et ainsi que je l'ai indiqué, le PC de cette amie ne démarre plus : selon ce qu'elle m'a expliqué, la procédure du boot s'interrompt après quelques instants et arrête alors l'ordinateur. Et ce, même en mode "sans échec". C'est pourquoi je demandais s'il était possible d'obtenir une log d'HjT à partir d'un autre disque dur - et donc avec le disque infecté branché dessus...
Pour ce qui est de la version du "MSNFix", elle a utilisé la même que moi, qui avais hérité de ce (en fait, "son") virus la semaine dernière, et avais pu m'en débarrasser en le lançant sur mon ordinateur, puis en faisant ensuite tourner plusieurs analyses par BitDefender.
#4
Posté 13 mars 2008 - 17:28
Et merci d'avoir pris le temps de me répondre.
j'aurais mieux fait de prendre le temps de mieux lire .
Malheureusement, je crains que cela ne soit pas possible (ou plutôt, pas utile), dans la mesure ou Hijackthis va surtout analyser ce qui est actif. Il est très probable que le malware, ou plus exactement ses diverses composantes soient en "dormance" dans ce cas.
(et au fond le cas contraire serait plus à craindre encore, par la propagation que ça implique).
C'est donc une technique idéale pour un scanner antivirus par exemple, qui pourra s'attaquer à un malware inactif, mais je crains que ce soit l'inverse dans le cas d'Hijackthis.
J'ai transmis ma demande à Snooky qui j'en suis sûr passera quand il en aura pris connaissance.
J'imagine qu'on laisse en stand by en attendant son passage ou d'autres interventions, et j'imagine également qu'une tentative de réparation de Windows a été écartée le temps d'avoir confirmation.(?)
#5
Posté 13 mars 2008 - 19:17
Essaie avec UBCD4WIN
Bien à toi...
PS: Voici la liste des outils y repris:
==> http://www.ubcd4win.com/contents.htm
#6
Posté 13 mars 2008 - 19:48
Simple et efficace...
Il y a aussi ce lien-ci:
==> http://www.zebulon.f...lp-process.html
#7
Posté 13 mars 2008 - 20:15
#8
Posté 13 mars 2008 - 21:04
Comme le conseil noisette le mieux est de commencer par un scan en ligne en branchant le disque sur un autre PC.
L'informatique, l'art de passer plusieurs heures à essayer de gagner quelques millisecondes...
#9
Posté 13 mars 2008 - 21:23
Malheureusement, il n'en est rien : mes connaissances en matière de sécurité sur PC sont souvent assez empiriques, ou bien découlent des informations et renseignements que j'ai pu glaner çà et là au fil du temps... autant dire que c'est assez maigre dans l'ensemble !
Je tiens en tout cas à remercier Kool56 et Noisette (en particulier, mais les autres ici ne déméritent pas non plus !) pour ces fantastiques liens. J'ai tenté de télécharger "ImgBurn" ce soir, mais la lenteur du "download" m'en a vite dissuadé, et je referai donc un essai demain, du bureau.
J'ai aussi fait suivre ces liens à mon amie, en espérant qu'elle ait dans son entourage immédiat quelqu'un susceptible de lui graver une image ISO.
En fait, si elle parvient à récupérer un "master" de tous les logiciels qu'elle avait installés sur son PC d'origine, elle choisira peut-être la solution la plus "évidente", c'est-à-dire une réinstallation pure et simple. Mais ceci n'est pas encore une certitude.
Pour ma part, je suis convaincu qu'une log "HjT" dévoilerait probablement très vite les "coupables". Sauf que... la possibilité d'en obtenir une du système corrompu me semble pour le moment assez hasardeuse - à tout le moins !
Quoi qu'il en soit, je vous tiendrai au courant dans les prochains jours.
En tout cas, encore merci à tous pour votre aide, et bonne soirée !
#10
Posté 13 mars 2008 - 21:45
qu'elle boot sur le xp valide , puis qu'elle installe Crossloop :
http://grandpublic.k...opic.php?t=8472
Je me connecte sur son pc , puis je regarde de plus près
#11
Posté 13 mars 2008 - 22:03
qu'elle boot sur le xp valide , puis qu'elle installe Crossloop :
http://grandpublic.k...opic.php?t=8472
Je me connecte sur son pc , puis je regarde de plus près
Génial ! Merci ! Je viens de lui transmettre cette information. Je pense que je n'aurai pas de réponse de sa part avant demain, dans le meilleur des cas... mais je suis cela de près, de toute façon.
Bonne nuit à tous !
#12
Posté 13 mars 2008 - 22:05
Merci
Un système, ce sont les logiciels qui le font
Le plus grand danger est l'interface chaise-clavier
#13
Posté 13 mars 2008 - 22:10
Vous avez besoin d'aider un ami, un parent ou un collègue à distance? Au téléphone, rien de moins évident. C'est justement pourquoi on a pensé à CrossLoop, un logiciel de partage d'écran d'une simplicité remarquable, et qui fonctionne même à travers pares-feux et routeurs.
Difficile de faire plus efficace! Vous n'avez qu'à télécharger l'application, puis l'installer.
On vous offre deux choix : être hôte ou participant. L'hôte est la personne qui souhaite être aidée alors que le participant est la personne qui assistera l'hôte.
CrossLoop génère un code d'accès, que l'hôte n'a qu'à donner au participant, qui l'entre et hop!
Le partage d'écran est tout à fait sécuritaire : CrossLoop utilise un système de cryptage à 128 bits.
CrossLoop est gratuit et est disponible en 21 langues, dont le français. Il est compatible avec Windows 98 et supérieur.
Source : http://logiciels.bra...loop_parta.html
edit: l'auteur voulait sans doute parler de partage sécurisé de l'écran ...
#14
Posté 13 mars 2008 - 22:11
Un système, ce sont les logiciels qui le font
Le plus grand danger est l'interface chaise-clavier
#15
Posté 13 mars 2008 - 22:15
#16
Posté 14 mars 2008 - 09:50
En fait, la nature du problème s'est déplacée et est un peu différente de ce que je croyais hier soir...
Le "MSNFix" a correctement rempli sa mission : il a effectivement nettoyé le virus... mais il semble qu'en ait aussi profité pour corriger certains objets du système, ce qui empêche désormais le PC de booter !
Comme j'ignore s'il existe une fonctionnalité "d'auto-réparation" intégrée à XP, sachant qu'elle paraît de toute façon difficile à mettre en oeuvre si on ne parvient plus à booter sur XP, je crois de plus en plus que seule la réinstallation résoudra ce problème...
La suite... à suivre. Merci encore, et bonne journée à tout le monde !
#17
Posté 14 mars 2008 - 10:30
Notre antivirus réseau me signale une menace "AngryIPScanner", qu'il a bloquée...
C'est assez ennuyeux : savez-vous de quoi il s'agit ?
[Edité]
Bon. Apparemment, il s'agit d'un utilitaire de scan des ports qui est inclus dans le package. Je dois dire que je ne vois guère sa justification dans le cadre d'une gravure d'image ISO ! De toute façon, il m'est impossible d'installer cet outil sous notre réseau... je vais voir si le logiciel fonctionne tout de même.
[Edité]
... la réponse est "non". Il manque le "builder", sans lequel l'installation reste incomplète.
Quelqu'un serait-il en mesure de m'expliquer la raison de la présence du logiciel ci-dessus ?
#18
Posté 14 mars 2008 - 12:23
à quel moment exactement au boot le PC plante ? Y a t-il un message d'erreur ? (en réponse au post 16, car pour le 17, je ne saurais répondre)
Il y a en effet différentes possibilités pour réparer un XP.
La plus simple, c'est de procéder à une "Réparation" du système, mais cela a aussi des inconvénients: les mises à jours et certains logiciels sont à réinstaller aussi. Je n'aime personnellement pas cette méthode, sauf pour récupérer des données et formater ensuite, afin de procéder à une installation fraiche.
=> http://www.informatruc.com/reparer.php
Une autre méthode consiste à "Récupérer" le système, via la console de réparation, quand cela est possible: d'où l'importance de la description exacte du moment où ça plante et d'un éventuel message d'erreur.
Quand elle fonctionne, cette méthode à bien des avantages, puisque rien n'est à réinstaller.
=> http://www.zebulon.f...cuperation.html
Dans les deux cas, il faut avoir le CD d'installation sous la main.
Attention: certains CD proposés par les assembleurs de grandes marques ne permettent pas toujours ces opérations de maintenance, en particulier en ce qui concerne la récupération: ceci dit, on s'en rend vite compte à essayer.
Dans ce cas, il faut récupérer les données avec un live-CD par exemple, ou en connectant le disque dur sur un autre PC, et procéder ensuite à une réinstallation du système. :(
#19
Posté 14 mars 2008 - 13:49
Par ailleurs, rectification d'une information erronée, donnée précédemment : le PC ne démarre pas pour s'éteindre ensuite, mais reste bloqué sur l'écran d'ouverture de session (si on entre utilisateur et mot de passe, le démarrage se lance, mais on revient rapidement à l'écran d'ouverture de session).
Immédiatement (14h05), le PC n'est plus connecté à internet...
#20
Posté 14 mars 2008 - 14:43
Notre antivirus réseau me signale une menace "AngryIPScanner", qu'il a bloquée...
C'est assez ennuyeux : savez-vous de quoi il s'agit ?
Vérification effectuée, il semble que ce soit là un cas de "faux positif" retourné par notre antivirus. Ce qui est ennuyeux, c'est que je n'ai pas eu la possibilité de forcer le passage de ce fichier, et qu'il manque donc un objet après installation. Et, malheureusement, il semble que ce soit l'exécutable principal (soit "UBCD4win.exe") qui "contienne le virus" et ait donc été bloqué, ce qui signifie donc qu'il m'est impossible de tester le fonctionnement de ce logiciel sur ma machine professionnelle (... en dehors des heures de travail, bien entendu !).
#21
Posté 14 mars 2008 - 15:32
trop tard @hotmail.fr
UBCD , c'est pour ton pc ou celui de ton amie ???
#22
Posté 14 mars 2008 - 15:52
éditer @hotmail.fr
UBCD , c'est pour ton pc ou celui de ton amie ???
Merci pour l'adresse ! Je viens de la lui transmettre par mail...
En ce qui concerne "UBCD", c'était avant tout pour moi, puisque je voulais à l'origine lui graver et lui envoyer un CD bootable afin de lui permettre l'accès à son disque dur infecté. Mais, par "curiosité intellectuelle", je rententerai sans doute ma chance avec ce logiciel. En revanche, il semblerait qu'il ne soit pas indispensable pour les opérations sur le PC de mon amie dans le cas présent puisque, ainsi que je l'ai précisé ce matin, elle a un second disque dur connecté sur ce PC, à partir duquel elle peut booter un autre Windows XP ; ce qui lui donne donc accès au disque dur infecté pour toute opération de copie, d'analyse, etc.
A priori, le PC infecté n'est donc pas totalement isolé du reste du monde !
[Edité]
Mauvaise nouvelle : elle me signale à l'instant que la connexion internet (donc à partir du deuxième XP utilisé pour booter le PC infecté) est très instable et passe son temps à planter. Dans ce cas, il me paraît difficile de vouloir réaliser une intervention à distance. Je ne vois pas bien quoi faire dans un tel cas...
#23
Posté 14 mars 2008 - 16:12
je sais bien qu'on est entre nous ici, mais bon, ne tentons pas la chance, maintenant qu'elle est transmise .
#24
Posté 14 mars 2008 - 16:14
http://secuser.com/antivirus/index.htm
#25
Posté 14 mars 2008 - 16:20
- attendre un moment a priori plus favorable que le vendredi en fin de journée pour avoir une ligne pas trop encombrée, s'assurer que la ligne n'est pas en travaux (par exemple par un coup de fil au FAI, le mieux étant de tester ... avec un autre PC ), car ces symptômes peuvent très bien venir de là (expérience personnelle inside)
- débrancher le disque dur infecté
- vérifier le système sain sur lequel il a été branché avec un antivirus et un antispyware.
Par ailleurs, un pare-feu est-il installé sur ce second PC, qui pourrait se révéler capricieux ?
edit: en d'autres termes, est-ce que c'est la connection PC modem-ou-box qui saute, ou le modem-ou-box qui se désynchronise ?
#26
Posté 14 mars 2008 - 16:26
http://secuser.com/antivirus/index.htm
Par définition, je dirais que cela ne peut rien donner, si sa connexion internet n'est pas stable et passe son temps à "décrocher". Rien que pour le chargement des bases antivirales nécessaires au moteur en local, il faut déjà un certain temps en général : j'en ai déjà fait l'expérience avec le scan "Kaspersky" en ligne, dont la seule installation prend pas loin d'une demi-heure !
Merci à noisette d'avoir pensé à nettoyer l'adresse mail de snooky.
Je suggérerai effectivement à mon amie de retester la stabilité de sa connexion internet à un autre moment de la journée, ainsi que ce week-end.
Je vous tiens de toute façon au courant, et encore merci pour tout.
#27
Posté 14 mars 2008 - 16:36
@+
#28
Posté 14 mars 2008 - 17:00
C'est moi la coupable , c'est-à-dire l'amie de Snark Hunter victime d'enfants qui téléchargent allègrement les virus de Messenger.
Je passe en premier lieu pour vous remercier de vous être penchés sur la question... La clarté et la rapidité de vos messages m'ont incitée à m'inscrire, ne serait-ce que pour prendre le relais de Snark Hunter qui a suffisamment donné.
Et j'en profite pour refaire le point. Donc, dimanche dernier, apparition du virus ; détection immédiate grâce à l'utilitaire fourni par Snark Hunter ; mais après la tentative de suppression, arrêt du système. Depuis, XP redémarre normalement jusqu'à l'ouverture de session ; une fois les identifiants fournis, une fenêtre "déconnexion immédiate" apparaît et on revient à la fenêtre d'identification...
Comme j'ai 2 DD sur le poste, j'ai installé un XP provisoire sur l'autre, ce qui m'a permis d'aller sur le poste de travail. Tout a l'air normal en fait. J'ai même vérifié les fichiers de "system32", ayant lu sur un forum que certains virus s'amusaient à supprimer le fichier "usernit.exe", mais le fichier est bien là. J'ai téléchargé quelques antvirus, spyware etc., et après détection et correction de quelques bricoles, on en était toujours au même point.
Aujourd'hui, j'ai essayé de brancher ma connexion internet sur ce XP valide pour le partage d'écran proposé par snooky ; mais la connexion ne cesse de planter, et ça ne vient pas de la livebox puisque mon portable, branché en wifi sur la même connexion, tourne parfaitement.
Voilà, j'espère ne rien oublier ; je suppose que tout ceci finira par une réinstallation ; l'ennui c'est que l'ordi m'avait été fourni (il y a 5 ans) par un assembleur qui ne m'a pas laissé le CD du système...
En tout cas merci encore de vos conseils.
Ce message a été modifié par Bénégonde - 14 mars 2008 - 17:17 .
#29
Posté 14 mars 2008 - 19:08
qu'elle boot sur le xp valide , puis qu'elle installe Crossloop :
http://grandpublic.k...opic.php?t=8472
Je me connecte sur son pc , puis je regarde de plus près
Bonsoir tout le monde,
Comme la solution de snooky ne semble pas fonctionner et que Bénégonde n'a pas de CD d'installation,
je suggère la solution suivante afin de récupérer les données les plus importantes:
1) sortir le DD infecté du PC,
2) le brancher sur un autre PC soit sur IDE0 en "slave", soit sur IDE1 en "cable select" (retirer les lecteurs)
3) télécharger et installer sur le second PC PCInspector File recovery
4) brancher une vieille clef USB (même un ancien lecteur mp3) sur le second PC,
5) lancer PCInspector File recovery en balançant les données récupérées sur la clef USB,
6) à l'aide de plusieurs antivirus, scanner via le menu contextuel le contenu de la clef USB
7) à l'aide d'un maximum de produits divers dont ClamWin
base virale de plus de 200.000 objets repertoriés tout de même...
même grâce à certains antivirus portables ( à l'appréciation de...)
==> http://french.eazel....e_Antivirus.htm
==> http://spdid.over-bl...le-1888865.html
==> http://spdid.over-bl...le-4372877.html
==> http://www.zebulon.f...n-portable.html
Ceux-ci seraient à installer sur seconde clef USB bien entendu.
Bon! Cela fait beaucoup mais il faut bien récupérer des données! Ou non?
S'il n'y avait pas d'infection, il y a Knoppix 5.1.1 ou autre LiveCD de Linux...
#30
Posté 15 mars 2008 - 02:47
0 utilisateur(s) en train de lire ce sujet
0 membre(s), 0 invité(s), 0 utilisateur(s) anonyme(s)