17 replies to this topic

[Txon]

Salut !

Un nouveau "newbie" m'a confié son PC vieux de deux ans pour une vérification de son système Windows XP SP2 protégé par les outils de Microsoft et dont le seul navigateur est Internet Explorer.
J'y ai monté, en supplément du sien, un disque de secours et de test "propre" avec un windows XP SP2 standard et quelques utilitaires de sécurité dont Avira Antivir, Spyware Terminator, RootRepeal etc.

Voici le résultat du scan par Antivir : 52 détections de maliciels (dont un seul "faux positif").

Qui dit mieux ?

Après ce nettoyage, il ne restait plus grand chose à faire à Spyware Terminator et aux ARKs. A signaler tout de même : deux fichiers altérés dans le "System Volume Information" où certains maliciels aiment cacher des informations.

... A vous de poster vos records ...

@+

P.S : même si ce sujet a un côté marrant, il ne sera toléré ni "flood" ni "shadokeries" en tous genres.

[noisette]

Excellent ! Et le score risque d'être dur à battre ...

je m'occupe de temps en temps de désinfecter des PC au travail (des PC qui servent presque exclusivement au surf) ... pour l'instant, c'est encore à peu près "pas trop sale", mais un peu plus tard dans l'année, les premiers candidats (c'est presque le cas de le dire) arriveront ... en attendant la mise en place du système que je leur préconise (image système avec Acronis, F11 au boot pour tout écraser).

Mais il me restera encore les PC persos des collègues, surtout ceux qui ont de charmants ados à la maison .

[noisette]

 rogue1.PNG   114,47 Ko   11 Nombre de téléchargements 

 rogue2.PNG   109,72 Ko   9 Nombre de téléchargements 

[Thelwin Argon]

Vraiment typique donc ^^'

L'autre jour j'ai eu un ordi entre les mains avec l'annonce encore plus typique en bas à droite dans la barre des tâches

Dis-moi, qu'as-tu utilisé pour le désinfecter çui-ci ?

[Neuromancien]

Dis-moi, qu'as-tu utilisé pour le désinfecter çui-ci ?

Salut,

s'il n'y a que cette infection, et rien n'est moins sûr, il a dû utiliser SmitfraudFix, est ce que je me trompe?

[noisette]

Dis-moi, qu'as-tu utilisé pour le désinfecter çui-ci ?

Salut,

s'il n'y a que cette infection, et rien n'est moins sûr, il a dû utiliser SmitfraudFix, est ce que je me trompe?

Tu ne te trompes absolument pas. Il est probable que cette infection soit la partie immergée d'un iceberg plutôt costaud. J'ai eu une petite demie-heure pour m'en occuper aujourd'hui, autant dire que le PC est encore infecté.

SmitfraudFix pense avoir fait son boulot, clean est passé (en /all), rogue remover aussi (sur chaque session et en mode sans échec). Pourtant, le PC est encore infecté.
Je pense devoir dans un premier temps passer un fix ou deux comlémentaires (Vundo et combo), puis rebelotte avec msitfraudfix et clean.
Je pense aussi devoir sortir Hijackthis, si ce n'est RkU.

Actuellement, smitfraudfix me fait même perdre ma session administrateur: quand je le passe, le PC fait une erreur au boot, fenêtre d'erreur vide, puis extinction automatique du PC (extinction, et non reboot ou bsod).
Un redémarrage en "dernière bonne configuration connue", bien entendu, satisfait pleinement les malwares et ça démarre bien.

Bref, j'ai du pain sur la planche sur une infection plus résistante que celles que j'ai eu à traiter jusqu'à présent.

[Thelwin Argon]

Oula, en effet, c'est la partie émergée d'un gros iceberg


Bonne chance...
Tu as essayé de mettre un AV sur le coup ???

[noisette]

Oula, en effet, c'est la partie émergée d'un gros iceberg


Bonne chance...
Tu as essayé de mettre un AV sur le coup ???

bah il y a antivir, présent dans la barre des tâches sur les captures, il est tout content, le pauvre

[Thelwin Argon]

J'imagine, ouais

Je pensais par contre que l'antivir dans la barre des tâches faisait partie du rogue

Et tu peux pas envisager tout simplement de formater-réinstaller ???

[Txon]

Salut !

Je suppose que dans ce PC il n'y a pas d'autre partition système à partir de laquelle tu puisses aller flinguer cette saleté. Je suppose aussi qu'il n'est pas possible de démarrer un autre système depuis un CD ou une clé USB.

Il reste, entre autres, la possibilité de repérer la clé de démarrage de ce merdier dans le Registre (s'il n'a pas de bootkit), avec IceSword par exemple. Avec cet ARK, et si tu as trouvé, tu peux alors flinguer la clé en question (fonction [Registry] de IceSword).
Idem pour tous les modules trouvés par chaque ARK dont tu disposes.

@+

[noisette]

Je regarderai sans doute avec Ice Sword, alors, bien que, pour répondre à la question de Thelwin Argon, je tâche de voir la désinfection par curiosité. Le PC peut être démarré via un lice CD, j'ai la possibilité même de le mettre en esclave sur un autre PC. J'ai également de quoi le réinstaller, mais il y a un logiciel configuré dont il faut que je récupère les fichiers qui vont bien avant, et être sûr de mon coup (sinon appel à une boite située ... à Nantes, pour venir intervenir en région parisienne - rassurez-vous, je ne suis pas responsable de ces choix d'organisation ).

[Thelwin Argon]

Ok, je comprends mieux ^^

"Si la curiosité était un vilain défaut, l'homme n'aurait pas été créé" m'a dit un jour un pote vraiment croyant mais qui avait un certain sens de l'humour tout de même

Je fais la même chose.
Et quand j'y arrive, je ne demande rien, c'est "à votre bon cœur" et d'habitude, ça rapporte quand même un peu
Quand j'y arrive pas, je lui [à la personne] réinstalle Windows si elle est d'accord ou alors le [l'ordi] lui rend tel quel
Mais ce dernier cas est très rare

[Txon]

Hi !

Encore un score intéressant

En tout il y a eu 236 détections par Avast! antirootkit dont certaines ont "réveillé" Antivir ... J'ai oublié de faire un screenshot après la 231émé découverte.

@+

[le barbier fou]

Salut !
Et bonne année vu que je n'ai pas encore eu l'occasion de vous la souhaiter.

J'ai quelque chose qui ressemble à un record, mais comme chaque soft a sa façon de compter les malwares, je ne sais pas de quoi il en retourne vraiment. Quoi qu'il en soit : il y a un paquet de bestioles !
...Et ça compte lorsque c'est un tout petit peu "encouragé" ?




Ce résultat a été obtenu avec la version bêta de A-squared 4 après un surf pas très prudent.

[Txon]

Encore un score intéressant
En tout il y a eu 236 détections par Avast! antirootkit dont certaines ont "réveillé" Antivir ... J'ai oublié de faire un screenshot après la 231émé découverte.

326 saletés trouvées par Antivir dans le PC bien plein (plus de 750.000 fichiers) d'un particulier qui ne teste pas les antivirus. Par contre il navigue comme un malade et récolte de tout : trojans, keyloggers etc.

Ce n'est pas le record, mais ce n'est pas mal.

@+

[VIRUS-T]

Le résultat d'un Pc infecté:

Ce message a été modifié par VIRUS-T - 02 mai 2009 - 13:12 .

[Txon]

Le résultat d'un Pc infecté:

Pour un PC de test d'antivirus, on peut imaginer beaucoup mieux ... plus de cent mille chez virus.gr par exemple.

@+

[Thelwin Argon]

Oui, mais bon, c'est pas le but, ici on parle des ordis "normaux" bien infectés...