Comment peut-on désinfecter un fichier SANS LE SUPPRIMER / REMPLACER / METTRE EN QUARANTAINE ?
Après les attaques stoppées du malheureusement connu "coolwebshearch", quelques fichiers dont l'exécutable de photoshop et 2 de ses dll ainsi que le fichier omfimedia de avid ont été touchés (PEUT IMPORTE - concentrons nous sur la question lol).
POURQUOI :
- Ne pas réinstaller un gros soft comme avid xpress pro et récemment phostoshop à cause de "l'exe" et d'une dll infectée (prend trop de temps et gène nos habitudes d'arborescence).
- Ne pas rechercher à droite à gauche sur la toile LE/LES fichiers infectés pour le/les remplacer (surtout si ils sont pas sûre non plus)...
- Notamment mesurer l'efficacité de nos softs de protection.
DEJA TEST :
- Recherche google sans succés lol...
- Recherche sur CCM sans succés aussi (double lol)...
- Mon soft bitdefender pro, mais je n'ai jamais réussi à utiliser l'option désinfecter lorsqu'il trouve un virus (pourquoi l'option existe alors Messieurs de softwin ???).
- Soft tiers comme ASWCLNER (adaware cleaner) très bon pour du gratuit mais oublie certain fichier mis en évidence même...
IMPORTANT :
- Le pc n'est pas virussé.
- Je pars du principe que le fichier infecté n'est pas actif en mémoire (donc pas besoin de hijack pour le stopper et le checker ensuite...). Ce n'est pas le sujet !
- Je ne veux SURTOUT PAS SUPPRIMER le fichier de base (peut importe les raisons).
- Encore un autre principe lol, le code d'un fichier EXE par exemple peut être modifié (infecté) donc l'inverse DOIT ETRE POSSIBLE. (?!)
EN BREF ENCORE :
Comment peut-on désinfecté un fichier SANS LE SUPPRIMER / REMPLACER / METTRE EN QUARANTAINE ? :)
Qui en appelle d'autres ? Par exemple, le meilleur antivirus pour vous éviter d'être infecté est-il aussi le meilleur antivirus pour vous désinfecter ?
Je vois aussi plein de raisons pour que les antivirus "désinfectent" un fichier système et ne désinfectent pas les fichiers des applicatifs. La meilleure étant que l'infection d'un fichier système peut bloquer le fonctionnement de l'ordi alors que il est toujours possible de réinstaller un logiciel applicatif.
Une autre question est la suivante : comment est tu sûr que ton fichier est infecté ? Comment es tu sûr que le fichier actuel est composé du code originel et d'un bout de code en plus ? Par quel moyen tu peux distinguer par rapport à une substitution totale de code ou seulement partielle ?
Je ne te comprends pas bien non plus quand tu dis tout à la fois que l'ordi n'est plus infecté et que 3 fichiers d'un applicatif le sont. Le système n'est plus infecté. L'ordi l'est encore.
En bref, je connais des outils pour désinfecter le système. Je ne crois pas qu'ils désinfectent les applicatifs.
(Une autre question est la suivante : comment est tu sûr que ton fichier est infecté ?)
- Tous simplement avec recherche antivirus périodique et depuis deux jours photoshop.exe... omfimediafile.exe infecté par Trojan.Agent.agh donc jusqu'ici pas difficile de comprendre qu'ils sont infécté mais c'est pas le sujet lol.
(Comment es tu sûr que le fichier actuel est composé du code originel et d'un bout de code en plus ? Par quel moyen tu peux distinguer par rapport à une substitution totale de code ou seulement partielle ?)
- car avant l'infection l'analyse ne révélait rien sur les fichiers ci-dessus... mais il est vrai que le fichier original aurait pu être entièrement remplacer...
(Je ne te comprends pas bien non plus quand tu dis tout à la fois que l'ordi n'est plus infecté et que 3 fichiers d'un applicatif le sont. Le système n'est plus infecté. L'ordi l'est encore.)
- Sous entend le système n'est pas infecté activement car notre amis le trojan attend que je clique sur le fichier... pour contaminer. ceux ci dit résident spybot intervient aussitôt que je pointe le fichier... et test hijack rassure lol mais encore une fois ce n'est pas le sujet. comment désinfecter sans supprimer ?
si j'ai bien compris on ne peut désinfecter, au sens où tu le dis, qu'un virus, c'est à dire un malware qui ajoute du code au code originel.
Sauf erreur, un trojan supprime le fichier initial et le remplace par lui-même. Il n'y a donc aucune désinfection possible.
Tu as des cas (rares), ou le malware renomme le fichier sain avant de prendre "sa place". Ce qui permet, après suppression du malware, de renommer le fichier initial.
Je ne crois pas que ce soit le cas de Trojan.Agent.agh.
(Sauf erreur, un trojan supprime le fichier initial et le remplace par lui-même. Il n'y a donc aucune désinfection possible.)
- Tu as des fichiers exe qui fonctionne toujours dans le bon sens du terme mais qui contienne des trojans (exemple certains keygen (pour du freeware lol) ss probleme avec scan antivirus et une fois utilisé le ko augmente de peu et avec une seconde analyse dessus constate un virus. mais le fichier rempli encore cest fonctions).
Apres mon rapport : lol mais rien de grave a part les 3 bho no name... enfin mineur
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:37:44, on 18/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.
4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.
5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.
6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :
7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.
8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain teps. Il suffit de vérifier de temps en temps son avancement.
9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.
10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
11) MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Ferme le bloc-note. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)
Oui je disais rien de grave car je tente depuis 2h de trouver une alternative manuellement pour le virer. en gros j'essaye de trouver des manip pour empêcher la propagation (jusqu'a maintenant pas de souci car pas de connection down ou pub. enfin pas gênant ce vundoo lol).
Dans tout les cas un grand MERCI encore mais je vais encore tenté de m'attaquer au registre et si je s'eche, j'utiliserai mbam.
PS pour les autres.
Une solution pour la désinfection ?
(si ils sont encore dans Hijackthis (c'est à dire si tu n'as pas la mention file missing), c'est que tu n'as pas nettoyé avec MBAM phase 9 et 10)
- si si. il a trouvé 4 prob et les a effacé après démarrage demandé...
Fichier(s) infecté(s):
C:\WINDOWS\system32\clbdll.dll (Trojan.Agent) -> No action taken.------- enfin si, il les a supp les 4 apres le demarrage
C:\WINDOWS\system32\clbinit.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\qoMcdAst.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ddcAtsrq.dll (Trojan.Vundo) -> No action taken.
- Resultat hijack avec legere evolution
R0 - HKCU\Software\Microsoft\Internet Explorer\...................etc... tout idem
O2 - BHO: (no name) - {E23136A1-1AC4-4D1B-926F-5D537CFFF359} - (no file) //TJR LA MAIS NO FILE ET IMPOSSIBLE DE FIXER
O2 - BHO: (no name) - {F6CB8CBF-DDBC-4E23-BF8F-BB00E76C105C} - (no file) //TJR LA MAIS NO FILE ET IMPOSSIBLE DE FIXER
O20 - Winlogon Notify: qoMcdAst - C:\WINDOWS\ //TJR LA MAIS PLUS SYST32 ET IMPOSSIBLE DE FIXER
fin... tout idem
Pour la suite je test demain. MERCI POUR TON AIDE...
aussi pour finir bug deja connu de resident spybot - bouton refuser modif bloqué pour ce seul BHO
http://img519.imageshack.us/img519/672/trojansc5.jpg
Bon manuellement j'ai réussi à supprimer ces 3 clés. En fait MBAM à bien fait son travail sauf qu'il n'a pas supprimé les entrées registres. donc pas bien grave.
Bon pour revenir au sujet :
LA SOLUTION DE DÉSINFECTION DE FICHIER EXISTE OU PAS ???
MERCI.
Etape 0 : vérifier l'absence de C:\Kasperky. Sinon, détruis le.
Étape 1:
Télécharge eScan Antivirus Toolkit ici:
http://www.spywareinfo.dk/download/mwav.exe
Sauvegarde-le sur ton Bureau.
Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.
Étape 2:
Voici comment mettre l'outil à jour :
1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau ; dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").
2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky ; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.
3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue" ; tape sur une clé pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).
4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants.
Ne pas lancer le scan tout de suite !
Étape 3:
Redémarre en mode Sans Échec :
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisi la première option : Sans Échec, et valide avec "Entrée"
5) Choisi ton compte régulier, et non Administrateur
Étape 4:
Du mode Sans Échec, voici comment utiliser le programme :
1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky
2.) Double-clique sur mwavscan.com ; l'interface d'eScan va apparaître à l'écran.
3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.
4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous ; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.
5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.
6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !
7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.
Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.
je pense que l'on a des programmes champions du monde pour détecter la plupart des virus mais le vrai problème reste néanmoins entier : les fichiers infectés, quarantaine, suppression ou non, ne peuvent être désinfectés. c'est problématique quand les fichiers infectés sont nécessaires au bon fonctionnement de windows.
DONC pour moi, la seule vraie solution est de trouver les fichiers sains pour remplacer les fichiers infectés !!! mais ou les trouver ?
