Heu, faut raffraichir, une fois que tu as activé les options (devrais y’avoir beaucoup moins de trucs dans la liste, normalement).
Oui c’est bien ce que j’ai fait 
Oui enfin en vrai, pour etre secure, il y a jamais d’autre solution que le formatage apres un exploit ou une infection. A la maison on fait ce qu’on veut, chacun prend les risques qu’il veut mais bon…
Hey, les gens, vous connaissez les ghost ? en environ 10min, vous vous faites une petite image, pis, au moindre souci, hop, en 3min, vous retrouvez un os tout frais. Apres, perso, ca revient au meme que le formatage ici, sans l’etape longue et chiante de reinstallation.
Si je me prend la tete a ce point c’est que j’aimerai surtout savoir comment enlever cette m**** si j’ai un jour a netoyer un PC qui l’as choppé aussi…
Puis dernière joyeuseté mon snifeur me dit que je vais visiter tout pleins de skyblogs (!!!), le malin y va surement pour y foutre du spam, mais ca me montre bien que c’est une saloperie que quelqu’un contrôle a distance, mais mon firewall (que je scrute attentivement) ne m’as pas prévenu de l’ordre externe, c’est étrange.
Sinon je précise quand meme que je le laisse actif le svchost que sur de tres courtes periodes de test, histoire de snifer et de voir ce qu’il fait, sans spamer la terre entière.
[quote]Hey, les gens, vous connaissez les ghost ? en environ 10min, vous vous faites une petite image, pis, au moindre souci, hop, en 3min, vous retrouvez un os tout frais. Apres, perso, ca revient au meme que le formatage ici, sans l’etape longue et chiante de reinstallation.[/quote]Et dire que je suis le premier a conseiller de faire un Ghost…
Bref tu la connais : faite ce que je dit mais pas ce que je fait…
Oui est je pense qu’AcidBen et comme moi d’accord avec ce que tu dit… au boulot le mec qui choppe une saloperie je le format, m’en cogne que ce soit mon patron ou le responsable RH.
Acronis True Image c’est mieux, d’ailleur m’en vais aller faire une save moi 
Bon un peut de nouveau, Boupjof m’as fait remarquer que dans Actu-Secu du mois d’octobre (à lire absolument), il y a un article sur un ver qui produit des effets ressemblant à mes symptomes.
Le nom de la bête : Storm Worm
Un seul truc me chiffonne c’est que la contamination se fait principalement par email et je ne suis pas le genre de gogo a ouvrir les mails nommé « Britney nude pics XXX » ni les mails provenant provenant d’un inconnu en .nl ou .cn, et encore moins d’en ouvrir les pièces jointes.
Mais a en croire l’article linké ci-dessus les mails sont plus que vicieux et pas si facile a reconnaitre. mais bon je pense pas m’être fait schtroumpfé par ce biais là.
Je suis quand meme impressionné de la technicité de ce ver qui a bientôt un an et qui reste toujours méconnu des principaux AV.
Il a créé un réseau tellement vaste (env. 10% des PC windows) qu’il peut théoriquement envoyer 339 millions (!!!) d’e-mails par seconde, il pourrait (en théorie aussi) monter a une vitesse d’envoi de 438 Go/s, et il peut atteindre un puissance de calcul hallucinante, les machines qui forme ce réseau couplée ensemble, peuvent réunir 15 000 TeraHertz et 1 a 10 PentaBytes (1 Penta = un million de milliard) de mémoire vive…
Pour la petite comparaison l’ordinateur le plus puissant du monde, le BlueGene, n’as que 90 TeraHz et 32 TeraByte de RAM.
Bref espérons que ceux qui sont a la tete de ce réseau n’ont « pas trop » de mauvaises intentions, car avec une telle puissance ils pourraient déclencher un blackout…
Après une petite recherche il en ressort qu’a priori l’antivirus en ligne de Secuser (Trend Micro) peut le voir, un scan est en cours depuis une bonne heure sans résultats pour le moment, j’éditerai si il y a du nouveau.
Alors finalement c’est quoi ?
En tout cas la théorie fait pas mal flipper !
J’espere que tu va trouver AcidBen. Tiens nous au courant.
Sinon les Actu-Secu sont vraiment interessant à lire, tout admin réseau devrais le faire je pense (bon moi je ne suis qu’un tech mais ça m’interesse).
[quote=« Boupjof, post:29, topic: 46395 »]J’espere que tu va trouver AcidBen. Tiens nous au courant.
Sinon les Actu-Secu sont vraiment interessant à lire, tout admin réseau devrais le faire je pense (bon moi je ne suis qu’un tech mais ça m’interesse).[/quote]
oui je lis ca des fois a mes heures perdues
Bon sinon un peut de nouveau (juste un peut…), jusque ici les ports de la machines, que je surveille assez pour voir les evolutions de « La Chose » etait a peut pres normal, mais la je viens de me rendre compte que ca ne l’etait plus du tout…
Address : 192.168.1.23
Name : STATION052
Ping .... Ok, Time : 1
Port 25 ... Ok !
Port 80 ... Ok !
Port 81 ... Ok !
Port 82 ... Ok !
Port 83 ... Ok !
Port 110 ... Ok !
Port 119 ... Ok !
Port 139 ... Ok !
Port 143 ... Ok !
Port 443 ... Ok !
Port 445 ... Ok !
Port 465 ... Ok !
Port 563 ... Ok !
Port 993 ... Ok !
Port 995 ... Ok !
Port 1080 ... Ok !
Port 8000 ... Ok !
Port 8888 ... Ok !
18 (of 1491) open port(s) detected
Je vais lui faire un audit complet histoire de voir ou nous en sommes arrivé avec cette bestiole qui a l’air d’évoluer de semaines en semaines dans ce pauvre PC. heureusement que je suis deriere un routeur je me demande pourquoi tan de ports sont ouverts, c’est le Bot toutes options…
Bon la réponse la plus probable que j’ai trouvé c’est que c’est le fantôme de Jef Raskin qui se venge de Microsoft post-mortem… Ghost in the machine :crying:
[quote=« AcidBen, post:30, topic: 46395 »]oui je lis ca des fois a mes heures perdues
Bon sinon un peut de nouveau (juste un peut…), jusque ici les ports de la machines, que je surveille assez pour voir les evolutions de « La Chose » etait a peut pres normal, mais la je viens de me rendre compte que ca ne l’etait plus du tout…
Address : 192.168.1.23
Name : STATION052
Ping .... Ok, Time : 1
Port 25 ... Ok !
Port 80 ... Ok !
Port 81 ... Ok !
Port 82 ... Ok !
Port 83 ... Ok !
Port 110 ... Ok !
Port 119 ... Ok !
Port 139 ... Ok !
Port 143 ... Ok !
Port 443 ... Ok !
Port 445 ... Ok !
Port 465 ... Ok !
Port 563 ... Ok !
Port 993 ... Ok !
Port 995 ... Ok !
Port 1080 ... Ok !
Port 8000 ... Ok !
Port 8888 ... Ok !
18 (of 1491) open port(s) detected
Je vais lui faire un audit complet histoire de voir ou nous en sommes arrivé avec cette bestiole qui a l’air d’évoluer de semaines en semaines dans ce pauvre PC. heureusement que je suis deriere un routeur je me demande pourquoi tan de ports sont ouverts, c’est le Bot toutes options…
Bon la réponse la plus probable que j’ai trouvé c’est que c’est le fantôme de Jef Raskin qui se venge de Microsoft post-mortem… Ghost in the machine :crying:[/quote]
J’ai le même problème ici… certains forums font référence a un virus avec des fichiers spécifiques, que je n’ai pas… j’ai le meme problème avec le svchost.exe lancant une application dcom… Rien d’anormal avec tous les logiciels de tests…
Je crois qui faudrait orienter la recherche sur une application dcom qui est lancée… avec un moniteur d’accès aux fichiers, je pourrais éventuellement trouver l’origine de ou des fichiers en cause… mais comme le problème est avec l’ordi au boulot, difficile de tout démêler ca! 
Edit:
Pour ajouter à ceci, ce qui me fait encore plus soupconner cette entrée:
%SystemRoot%\system32\svchost -k DcomLaunch
Ceci est la seule ligne dans le registre ou svchost est appellé sans l’extension habituelle en .exe, tous les autres services requirant ce programme ont tous l’extension .exe ajoutée… L’enquête se poursuit…
[quote=“unclebob, post:31, topic: 46395”]J’ai le même problème ici… certains forums font référence a un virus avec des fichiers spécifiques, que je n’ai pas… j’ai le meme problème avec le svchost.exe lancant une application dcom… Rien d’anormal avec tous les logiciels de tests…
Je crois qui faudrait orienter la recherche sur une application dcom qui est lancée… avec un moniteur d’accès aux fichiers, je pourrais éventuellement trouver l’origine de ou des fichiers en cause… mais comme le problème est avec l’ordi au boulot, difficile de tout démêler ca! :|[/quote]
Pour ajouter…
“C:\WINDOWS.2\System32\svchost -k DComLaunch” est lié au service: “Services Terminal Server” ayant comme descriptif “Permet à plusieurs utilisateurs de se connecter en même temps à un ordinateur, tout en affichant les bureaux et les applications sur les ordinateurs distants. Contient les fonctions sous-jacentes de Bureau à distance (y compris le Bureau à distance pour les administrateurs), le Changement rapide d’utilisateur, l’Assistance à distance et le service Terminal Server.”
bonjour a tous
j’ai exactement le meme soucis que AcidBen, a savoir un scvhost spammeur (et meme qui se connecte desfois a des port 80, histoire, je pense, de recuperer les infos a envoyer) et ce fichu virus indénichable malgré le bataillon d’anti virus passé
j’ai trouvé ce forum par une recherche google, et a la vue des dates des posts, ce probleme a l’air plutot recent, et donc une solution a trouver par soi meme
pour le moment je fais la meme manip pour stopper les envoi : je tue puis je relance les services, ca arrete l’envoi tout en me laissant la main pour bosser (c’est le pc du boulot qui est en cause)
je ne veux pas formatter non plus pour les memes raisons ennoncés, parce que nettoyer ce truc sera beaucoup plus rapide pour le futur que de passer plusieurs heures a reinstaller (et recommencer si ce truc revient encore une fois)
j’ai essayé aussi de creer un autre compte sur ma machine, mais l’envoi continu qd meme sur ce compte temporaire, il faut donc chercher du coté du lancement “global” des services sur la machine (logique me direz vous, mais autant le verifier)
je continu a chercher, et si par hasard je trouve, je posterai la reponse ici
a+
Vous avez essayé Rootkit Revealer ? Ou mieux, une désinfection a partir d’un live CD ?
merci pour les conseils
Rootkit Revealer n’a rien revelé de pertinent, je l’avais testé avant de poster ici
par contre je n’ai pas tenté de live cd, puisqu’il faut que je bosse en parallele dessus, je peux pas me permettre d’attendre que le scan se fait
j’essayerai quand meme, faut que je trouve le temps libre pour le faire…
Toujours pas d’améliorations de mon coté.
En tout cas je suis contant que d’autres personnes qui ont ce soucis viennent se greffer sur ce thread, je me sent moins seul
Sinon vous avez fait quoi le jour de l’infection, vous vous en souvenez ? moi juste avent j’ai installé POP-Peeper.
Et aussi vous aviez quoi comme AV a l’époque de l’infection ?
Je sait qu’il existe des sortes d’AV qui se basent pas sur des signatures dans les fichiers, mais sur les actions qu’ils essayent de faire, vous voyez ce que je veut dire ?
Vous avez des noms ?
Ça pourrait marcher ?
Vu que je me voit mal soumettre un ghost du disque a un éditeur d’AV (quoi que?), mais si personne n’arrive a identifier le ou les fichiers mis en cause ce virus continuera a proliférer, comment peut on agir concrètement ?
J’ai un peu honte mais je viens de me chopper aussi un trojan aussi…
Avast! le détecte au démarrage & semble le bloquer (j’ai testé l’option de mettre en quarantaine ou de supprimer) mais Avast! le détecte toujours au démarrage suivant.
Un scan au démarrage le choppe bien aussi mais il revient malgré une suppression.
Par contre, je pense que j’ai choppé une version différente vu qu’Avast m’indique Win32:Nuclear.
Je continue mes recherches… (scan secuser en ligne en cours)
j’ai 2 pistes qui me trottent dans la tete, mais je manque de temps pour les tester
la premiere, c’est que j’ai remarqué que je tue toujours le meme service : DCOM et Terminal Server (ils sont lancés ensemble dans le meme svchost) des services de lancement d’application a distance
en ce debut janvier, ma boite tourne un peu au ralenti, avec de nombreux employés qui ont pris des vacances, et il semblerai que mon virus aussi !
donc premiere hypothese : si on voit pas ce virus sur NOTRE machine, c’est qu’il n’y est pas !
il est bien possible qu’il soit telechargé par le service et executé a la volee (un peu comme blaster/sasser passé une epoque)
pour verifier, je demande si vous avez aussi d’autres machines en reseau, et si l’une d’entre elle est allumé au moment des fait
je vais essayer de mon coté de logger les paquets sur les ports 137, 139, 445 etc… histoire de voir si y a pas un truc commun juste avant le commencement du spam
ma 2eme piste, c’est du coté des rootkit, où j’ai decouvert un petit soft sympa du nom de gmer
site officiel : http://www.gmer.net/index.php (souvent en rade)
download par zdnet : http://www.zdnet.fr/telecharger/windows/fi…9238200s,00.htm
il scanne les rootkit, et la liste de demarrage (a comparer avec highjackthis), ainsi qu’un mode “safe boot” plutot violent (il reboot instantanement la machine, et reboot uniquement avec qques drivers, pas de boite de login et pas d’explorer, tres peu de service, aucun prog au demarrage, etc …)
je vais essayer de tester + precisement ce week end ce gmer, et on verra ce que ca donne (il a une option de log de demarrage plutot interessante, mais j’arrive pas a la mettre en oeuvre)
c ya !
petit edit : des mises a jours de windows classé comme “critiques” et “importantes” concernant “l’execution de code arbitraire a distance” sera fait la semaine prochaine
http://www.zataz.com/news/16132/mise-jour-…nvier-2008.html
esperons que ca resolve de lui meme notre probleme de virus !
[quote=“100or, post:37, topic: 46395”]J’ai un peu honte mais je viens de me chopper aussi un trojan aussi…
Avast! le détecte au démarrage & semble le bloquer (j’ai testé l’option de mettre en quarantaine ou de supprimer) mais Avast! le détecte toujours au démarrage suivant.
Un scan au démarrage le choppe bien aussi mais il revient malgré une suppression.
Par contre, je pense que j’ai choppé une version différente vu qu’Avast m’indique Win32:Nuclear.
Je continue mes recherches… (scan secuser en ligne en cours)[/quote]Si ca ne donne rien, démarche classique :
Désactive la restoration du systeme sur tout les lecteurs.
Enleves toutes les exclusions d’Avest (tu peux laisser “?:\PAGEFILE.SYS” quand meme")
Et fais un scan au boot…
Si Avast le connait il pourra te l’enlever.
[quote=“Jack3D, post:38, topic: 46395”]donc premiere hypothese : si on voit pas ce virus sur NOTRE machine, c’est qu’il n’y est pas !
il est bien possible qu’il soit telechargé par le service et executé a la volee (un peu comme blaster/sasser passé une epoque)
pour verifier, je demande si vous avez aussi d’autres machines en reseau, et si l’une d’entre elle est allumé au moment des fait[/quote]Pour ma part meme quand je le réactive et que la machine en question est seule sur le reseau, il envoi quand meme.
Puis mme si il le telecharge et l’execute a la volée l’AV devrait le voir arriver quand meme.
[quote=“Jack3D, post:38, topic: 46395”]petit edit : des mises a jours de windows classé comme “critiques” et “importantes” concernant “l’execution de code arbitraire a distance” sera fait la semaine prochaine
http://www.zataz.com/news/16132/mise-jour-…nvier-2008.html
esperons que ca resolve de lui meme notre probleme de virus ![/quote]Esperons…
[quote=« AcidBen, post:39, topic: 46395 »]Si ca ne donne rien, démarche classique :
Désactive la restoration du systeme sur tout les lecteurs.
Enleves toutes les exclusions d’Avest (tu peux laisser « ?:\PAGEFILE.SYS » quand meme")
Et fais un scan au boot…
Si Avast le connait il pourra te l’enlever.[/quote]J’avais essayé ça & Avast le trouvait bien & bien que je lui dises de le supprimer, il revenait.
Mais je l’ai eu!! Ah Ah, Il fait moins le fier maintenant!!
Ma petite manip :
Je savais, au vu du message d’Avast, que le fichier incriminé était dans C:\Windows\Windows\svchost.exe (fichier caché).
Démarrage en mode sans échec
Suppression du répertoire concerné
Scan par Avast! & suppression
CCleaner check la base de registre & automatiquement vire le lien vers le fichier (car il n’existe plus…)
Redémarrage.
Et pouf disparuche…
Bon, avec cette méthode, je ne suis pas certain de l’avoir éradiqué complétement. Peut être ais je juste casser le lien qui le faisait se lancer au démarrage.
Merci Avast & CCleaner!