|
|
Auteur
|
Message
|
1
|
Modérateur/Helper
|
|
|
|
|
 Salut helper valeureux !
C'est du haut niveau cette demande ! 
Piste à voir, winlogon gère ce qui est logé dans cette clé :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
De là à dire que tu pourras trouver ta dll en cause et la bloquer, je m'avance surement ...
Pas d'autres infos pour le moment ... 
-------
"Le brave n'est pas celui qui ne connait pas la peur, c'est celui qui fait ce qu'il a à faire en dépit de sa peur. Pour réussir, il faut être prêt à risquer l'échec." R.E. Feist
http://www.inforumatique.fr
|
|
Modérateur/Helper
|
|
|
Leowen,
Merci de te pencher sur la question 
En fait, de nombreux outils et programmes, que je sais utiliser dans le cadre d'une désinfection, gèrent ce genre de cas, normalement. Seulement, en parallèle, je fais toujours en sorte d'être capable de faire la chose sans outils de désinfection.
Et là je sèche...
Piste à voir, winlogon gère ce qui est logé dans cette clé :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Pourquoi pas ? Mais cela ne serait valable que pour le processus Winlongon.exe... Et pour les autres ?
Je suis sûr qu'il y a moyen de régler ça avec le registre, mais il reste à trouver la bonne clé. Je vais regarder celle que tu m'as donnée et continuer mes recherches.
Si certains ont des idées, n'hésitez pas !
Merci 
|
|
|
|
|
Mérillym a écrit :
Si certains ont des idées, n'hésitez pas !
Merci
Bonjour
Leowen
Mérillym, puisque tu le dit, voilà une autre piste
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ce sont des démarrages msconfig
|
|
Carpé Diem
|
|
|
vous 2
Si trojan Vundo génére un ligne O2 et un ligne 20 du rapport hijackthis vois au niveeau de ses clé peut_être:
clé HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
selon la version il semble de focaliser sur les lignes no name
pour la ligne 20 voit par ici:
clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
c'est ce qui me semble avoir compris ici:
http://www.commentcamarche.net/faq/sujet-6862-supprimer-le-trojan-vundo-virtu(...)
(méthode 2)
oupssssssss vous 3 n'avais pô vu Pepito
-->Message édité par senosen11 le 16/05/2008 17:51:25<--
-------
Mon Forum
Si l'on te reproche le fait un travail d'amateur, N'oublie pas que : Des amateurs ont construit l'arche de Noé, et des professionnels le Titanic
|
|
Modérateur/Helper
|
|
|
Merci à vous tous, mais je vais recadrer le sujet pour ne pas que ça dérive 
Je sais supprimer ce trojan, ma question n'était pas "Comment supprimer le trojan vundo"
Non ma question était "comment empêcher manuellement une .dll quelconque de se charger au démarrage de windows par le biais d'un processus quelconque ?" Car si on se content de supprimer la .dll, ce ne sera pas suffisant, puisqu'elle est programmée de telle sorte qu'elle se relance à chaque démarrage.
Quelques exemples issus de rapport Combofix et DiagHelp :
==> DiagHelp :
explorer.exe pid: 1560
Command line: C:\WINDOWS\Explorer.EXE
Base Size Version Path
0x44080000 0xd0000 7.00.6000.16640 C:\WINDOWS\system32\WININET.dll
0x00400000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll
0x43e00000 0x45000 7.00.6000.16640 C:\WINDOWS\system32\iertutil.dll
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x16210000 0x27e000 5.02.5721.5145 C:\WINDOWS\system32\wpdshext.dll
0x10930000 0x49000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceApi.dll
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x011f0000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x40000000 0x7a000 5.02.3790.3646 C:\WINDOWS\system32\Audiodev.dll
0x15110000 0x25a000 11.00.5721.5145 C:\WINDOWS\system32\WMVCore.DLL
0x11c70000 0x3a000 11.00.5721.5238 C:\WINDOWS\system32\WMASF.DLL
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x7d200000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll
0x442b0000 0x3c000 7.00.6000.16640 C:\WINDOWS\system32\webcheck.dll
0x44360000 0x5cd000 7.00.6000.16640 C:\WINDOWS\system32\IEFRAME.dll
0x44160000 0x127000 7.00.6000.16640 C:\WINDOWS\system32\urlmon.dll
0x164a0000 0x23000 5.02.5721.5145 C:\WINDOWS\system32\WPDShServiceObj.dll
0x109c0000 0x2c000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceTypes.dll
0x10000000 0x8000 0.09.0007.0003 C:\Acer\Empowering Technology\ePower\SysHook.dll
0x73d20000 0xfe000 6.02.4131.0000 C:\WINDOWS\system32\MFC42.DLL
0x61d70000 0xe000 6.00.8665.0000 C:\WINDOWS\system32\MFC42LOC.DLL
0x024a0000 0x11a000 1.05.0000.0008 C:\PROGRA~1\SPYBOT~1\SDHelper.dll
0x02310000 0x3131f C:\WINDOWS\system32\qhgwkwyk.dll
0x022e0000 0x2d000 C:\Program Files\WinRAR\rarext.dll
0x64f00000 0x12000 4.07.1098.0000 C:\Program Files\Alwil Software\Avast4\ashShell.dll
0x00b90000 0xd000 7.00.0009.0050 C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
0x7c340000 0x56000 7.10.3052.0004 C:\WINDOWS\system32\MSVCR71.dll
0x325c0000 0x12000 11.00.5510.0000 C:\Program Files\Microsoft Office\OFFICE11\msohev.dll
0x02d90000 0x1c000 7.00.0000.0000 C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll
Ici on voit clairement que la .dll de vundo, en gras, est associée au processus explorer.exe, comme beaucoup d'autres .dll.
==> Combofix :
--------------------- DLLs a charg‚ sous des processus courants ---------------------
PROCESS: C:\Windows\system32\winlogon.exe
-> C:\Windows\system32\vtUommKA.dll
--------------
--------------------- DLLs a charg‚ sous des processus courants ---------------------
PROCESS: C:\Windows\Explorer.exe
-> C:\Windows\system32\bwsxlbyj.dll
-> C:\Windows\system32\wegodvvs.dll
**************************************************
Je sais m'en débarrasser avec les outils appropriés que nous helpers utilisons dans nos désinfections, mais je ne sais pas du tout comment le faire manuellement, et je suis curieux de le savoir. Je ne connais pas encore grand chose en windows, et donc j'essaie à chaque fois de comprendre comment marchent les choses : ce n'est pas tout d'utiliser des outils, c'est encore mieux de comprendre comment ils marchent et comment ils opèrent 
Voilà, merci à celui ou celle qui m'apportera la réponse
edit: Non je ne pense pas que les clés run de msconfig et celles des BHO gèrent ça 
-->Message édité par Mérillym le 16/05/2008 18:02:48<--
|
|
Modérateur/Helper
|
|
|
En fait je me demande si la commande MSDOS "regsvr32" n'est pas prévue à cet effet justement...
Quelqu'un pourrait-il infirmer ou confirmer cette hypothèse ? Je sais que cette commande désenregistre la .dll, mais je ne sais pas ce que ça fait concrètement de désenregistrer une .dll
-->Message édité par Mérillym le 16/05/2008 18:36:09<--
|
|
|
|
|
salut,
c'est peut être bête ce que j'vais dire mais c'est pas grave
si tu renomme la dll en .old ? ça fonctionnerait ou pas ? 
|
|
|
|
|
re,
Extrait de : http://www.hotline-pc.org/fichier-dll.htm
Au démarrage de l’ordinateur, le système scanne les .dll "amies" pour les applications 32 bits en vérifiant leur présence dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs et HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WOW dans le cas d’applications 16 bits…
Vous pouvez exclure une DLL en faisant croire au système que ce fichier ne fait plus partie des DLL connues) si vous parcourez HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager et que vous insérez dans la valeur chaînes multiples : ExcludeFromKnownDlls le nom 8.3 de la DLL (une par ligne si vous inscrivez plusieurs fichiers).
Le nom 8.3 est le chemin complet de la dll
(ex : C:\windows\system32\xxxx.dll)
franchement, c'est du pur essais, j'en apprend autant que toi en écrivant ce slignes !
(ps : pepito10, Seno, s.roque ...)
Edit : la commande regsvr32 sert à réenregistrer les dll en le reprenant du dossier protégé système (dllcache)
-->Message édité par Leowen le 16/05/2008 18:50:55<--
-------
"Le brave n'est pas celui qui ne connait pas la peur, c'est celui qui fait ce qu'il a à faire en dépit de sa peur. Pour réussir, il faut être prêt à risquer l'échec." R.E. Feist
http://www.inforumatique.fr
|
|
Modérateur/Helper
|
|
|
|
Edit : la commande regsvr32 sert à réenregistrer les dll en le reprenant du dossier protégé système (dllcache)
Elle sert aussi à désenregistrer avec le commutateur approprié
Au démarrage de l’ordinateur, le système scanne les .dll "amies" pour les applications 32 bits en vérifiant leur présence dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs et HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WOW dans le cas d’applications 16 bits…
Vous pouvez exclure une DLL en faisant croire au système que ce fichier ne fait plus partie des DLL connues) si vous parcourez HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager et que vous insérez dans la valeur chaînes multiples : ExcludeFromKnownDlls le nom 8.3 de la DLL (une par ligne si vous inscrivez plusieurs fichiers).
J'avais effectivement découvert la première clé avec une recherche dans la base de registre, mais rien de certain.
Bah, dès que j'en ai l'occasion je ferais exporter ces deux clés de registre avec un script batch et je verrais bien si les .dll infectieuses que je cible y sont, auquel cas je pourrais tenter la manip', en me renseignant plus sur cette dernière
Merci!
|
|
|
|
|
si on peut aider !
Tiens-nous au courant
-------
"Le brave n'est pas celui qui ne connait pas la peur, c'est celui qui fait ce qu'il a à faire en dépit de sa peur. Pour réussir, il faut être prêt à risquer l'échec." R.E. Feist
http://www.inforumatique.fr
|
|
|
1
|
|
|
|
