Bon je suis la pour un problème que je n’aurai jamais imaginé avoir : J’ai un virus que je n’arrive pas a localiser…
Je m’explique, je suis parano donc Win XP pro SP2 a jour, Avast Pro a jour, FW windows activé.
Soudain apres un mini plantage (et deux heure après l’installation de POP-Peeper, déisinstallé aussi tôt), mon Avast me dis que trop de mails sont émis, en effet après vérification j’envoie régulièrement 128 mails, bon déjà première chose j’ai bloqué mon port 25 sortant histoire de pas inonder le net de spam.
Puis, confiant, je fais un scan de mes disques au boot avec Avast persuadé que le vilain sera trouvé mais non, SpyBot et AD-Aware (les deux à jours) trouvent rien, je désinstalle alors Avast pour Kaspersky et lui non plus ne détecte rien…
Hijackthis me trouve rien non plus…
Dans mes process rien de spécial, dans les services non plus, mais WireShark avec le filtre “tcp.port eq 25” défile comme un fou…
Alors j’ai décidé de sortir l’artillerie lourde (dans tous les sens du terme) : Zone Alarm Pro, mais ca me donne pas plus de renseignement.
Impossible de localiser ou est cette saloperie, et qui la lance.
Un “bon” point je pense que c’est pas un ver car il n’envoi pas de virus par mail, je pense plutôt a un trojan.
Bon je sait pas si j’ai choper une mer** qui vient de sortir ou si il a paralysé mes AV (je ne pense pas car le scan au boot d’avast a rien donné)
Voila il est 3 heure du mat et je sèche…
EDIT : Grâce a Process Explorer je sait que c’est un svchost qui travaille il contient uniquement le service : Lanceur de processus DCOM, ca sent pas bon…
Les threads “actifs” de ce process ressembles a kernel32.dll!CreateThread+0x22 (pour moi c’est du chinois…)
je dirais pour être plus efficace, de scanner le disque dur de l’os avec un autre pc, ou dans le pire des cas avec un winpe et kav en plugin par exemple…
sinon c’est peut etre pas un virus, mais un soft qui essaye de communiquer, dans le pire des cas, fais un backup et désinstalle les dernieres applications une par une que tu as installées récemment (y compris les plugins firefox, addons,etc…)
Avast en mode passif, mais avec une analyse d’un fichier, m’a laissé passer Bagle il y a peu de temps, qui est allé se nicher dans le CLI.exe des pilotes ATi Catalyst. Alors forcément, il se lançait à chaque boot… et Avast il n’a rien vu venir. Juste que j’avais des process genre 276809 (série de chiffres aléatoire) lancés à chaque fois dans le task manager, et j’ai fini par le dénicher manuellement et à conclure sur son origine par l’antivirus online de Kaspersky… qui lui m’a détecté un virus dans WinRAR… pourtant clean chez moi… B)
En attendant de le débusquer, je l’ai plus ou moins temporairement neutralisé en mettant le service Lanceur de processus serveur DCOM en manuel, il ne se lance donc plus, et n’envoi donc plus de mails (mais il me semble que ce service est utile donc c’est que du temporaire.)
RootkitRevealer est entrain de tourner, un scan de c:\windows avec Avast depuis un autre poste du réseau aussi.
On verra bien…
@Bussiere : pour le LiveCD il datte de 2004, il se met a jour au lancement ou les définitions sont incluses dans le LiveCD?
[quote=“AcidBen, post:7, topic: 46395”]Bon mes news depuis ma folle nuit d’hier :
En attendant de le débusquer, je l’ai plus ou moins temporairement neutralisé en mettant le service Lanceur de processus serveur DCOM en manuel, il ne se lance donc plus, et n’envoi donc plus de mails (mais il me semble que ce service est utile donc c’est que du temporaire.)
RootkitRevealer est entrain de tourner, un scan de c:\windows avec Avast depuis un autre poste du réseau aussi.
On verra bien…
@Bussiere : pour le LiveCD il datte de 2004, il se met a jour au lancement ou les définitions sont incluses dans le LiveCD?[/quote]
Les mises à jour se font via internet, clé USB ou disque dur. A ce propos, devant l’impossibilité de fournir des mises à jour quotidiennes gratuitement, la version gratuite aura un peu de retard dans les signatures par rapport à une version payante qui donne accès à des mises à jour quotidiennes. Pour lire un mot de l’auteur à ce sujet, cliquez ici (linuxfr.org).
cf le site
si on tape livecd et antivirus mais tu tombes dessus.
Bon, ca fais 2 jours que je passe sur ce soucis et toujours rien.
Aucun AV ne le détecte (Kaspersky, Bitdeffender, AVG, Avast au boot, Avast depuis un autre poste, Avast LiveCD, etc etc.)
J’ai donc laissé le service exploité (Lanceur de processus serveur DCOM) en démarrage manuel.
1ere question : A quoi sert exactement ce service ? (Au lancement des services DCOM, ca je sait, mais bon qui a un exemple concret)
2èmme question : Grâce a Process Explorer on peut avoir tout pleins de details sur un service, ce qui est actif en TCP dans le svchost concerné quand ca arrose est kernel32.dll!CreateThread+0x22, ca parle a quelqu’un ? comment peut t’on trouver l’executable (dll, ocx, exe, scr, …) qui lui demande de faire ca ?
Et pourquoi tu ne réinstalles pas ? Tu as certainement perdu plus de temps à essayer d’éradiquer le fléau qu’à formater et réinstaller Windows. Et au moins tu seras sûr qu’il sera parti.
Ca a déjà été débatu et AcidBen (tout comme moi) pense qu’il y a toujours une solution autre que le formatage. Après moi ça me prend plus de temps de tout réinstaller que de formater.
Moi aussi je suis contre les réinstall mais j’ai du me résoudre à réinstaller son windows, sans format, chez une connaissance: En installant avast chez lui je voyais qu’il envoyait des tonnes de mails à la seconde.
Par contre tu peux essayer un logiciel de scan de port, comme “Active Ports” pour voir quelle est le programme qui fait ces envois. Le programme starter est pas mal aussi pour voir tout les processus en cours. Une sorte de task manager bien plus évolué.
[quote=« Kudoz, post:12, topic: 46395 »]Tu as testé SmitfraudFix ?[/quote]Testé et il ne me trouve rien…
[quote=« kineox, post:13, topic: 46395 »]Et pourquoi tu ne réinstalles pas ? Tu as certainement perdu plus de temps à essayer d’éradiquer le fléau qu’à formater et réinstaller Windows. Et au moins tu seras sûr qu’il sera parti.[/quote][quote=« Boupjof, post:14, topic: 46395 »]Ca a déjà été débatu et AcidBen (tout comme moi) pense qu’il y a toujours une solution autre que le formatage. Après moi ça me prend plus de temps de tout réinstaller que de formater.[/quote] voila c’est exactement ca, deja ca m’intéresse de savoir le pourquoi du comment (pour pouvoir regler ce soucis facilement si je retombe dessus), puis j’ai sur ce PC tous mes softs installé et je me sent vraiment pas de tout re-configurer.
[quote=« cben76, post:15, topic: 46395 »]Parce qu’il aime bien comprendre ?
Sinon, si tu trouves la cause, oublie pas de poster la reponse ici, ca m’interesse de savoir ce qui peux créer ca.[/quote]Oui t’en fait pas je suis pas du genre a laisser des topics résolus sans réponses
EDIT :
[quote=« phili_b, post:16, topic: 46395 »]Par contre tu peux essayer un logiciel de scan de port, comme « Active Ports » pour voir quelle est le programme qui fait ces envois. Le programme starter est pas mal aussi pour voir tout les processus en cours. Une sorte de task manager bien plus évolué.[/quote] J’utiliste Starter mais rien n’est louche, et pour active port (netstat fait pareil je pense) me dit que c’est svchost qui envoi les mails.
[quote=« Tzim, post:17, topic: 46395 »]As-tu essayé avec les outils qui poutrent ™ :
Autoruns
Rootkit revealer[/quote]Rootkit Reaveler je l’avais déja essayé : rien de suspect
