infection sans fichier

Parlez de tout ce qui n'a pas sa place dans les autres rubriques.

infection sans fichier

Messagepar _solo » 29 Janvier 2015, 19:51

yep,

Je doit m'occuper d'un poste infecter au taf mais sur le poste en question l'infection ne viens pas d'un fichier particulier mais de fichier systeme veroler et impossible de retablir quoi que ce soit.

C'est scsiport.sys qui est infecter (mais ca change de temps en temps sur un nombre de fichier finis ) , mais vu que c'est un fichier kro$ difficile de s'en debarrasser :/

La chose la plus ch**nte c'est l'injection dans firefox ( dans chrome et IE le systeme freeze a cause d'un HIPS) comme vous pouvez voir ici http://postimg.org/image/6mq4oahhf/ .

Chose tout aussi importante c'est detecter par AUCUN AV, seul Gmer, KernelDetective et les tools du meme genre voit les modifications
MbAMchameleon sophosAnti_Rk Fsecure DArK_chezpaskoi sont tous dans les choux.

Le probleme je fais plus de Window$ depuis un long moment deja, je suis donc plus a la page , si vous avez des idees sur comment dumper ou plus radical desinfecter tout court pour combler ma pov' creativité perdu dans /usr/src/linux :aie: ca m'aiderais grandement :)
Image
Avatar de l’utilisateur
_solo
Maître des ténèbres
Maître des ténèbres
 
Messages: 590
Inscription: 13 Février 2006, 11:28
Localisation: dans un cambrousse loin loin

Re: infection sans fichier

Messagepar Todd » 29 Janvier 2015, 22:23

Salut,

Si les tools habituels ne t'aident pas, je te conseille un contrôle manuel via HiJackThis, car il y a souvent des traces ici ou là... :wink:
Et un simple outil comme Ccleaner permet de jeter un œil sur les tâches planifiées, les programmes lancés au démarrage et met en avant les sangsues accrochées aux navigateurs. :P
Chercher des noms suspects dans le gestionnaire de tâches est également un minimum. :roll:

Sinon d'expérience SpyHunter et Kaspersky (TDSSKiller par exemple) sont souvent très efficace 8) (normal, la plus part des vacheries viennent de chez eux :lol:), mais c'est clair que les rootkits de la NSA n'y sont pas répertoriés ! :mrgreen:

Todd
Avatar de l’utilisateur
Todd
Modérateur
Modérateur
 
Messages: 1795
Inscription: 19 Avril 2009, 12:11

Re: infection sans fichier

Messagepar _solo » 01 Février 2015, 19:23

:) ,


j'aimerais bien te dire que les TDSSkiller ou ZeroAccess font de l'effet mais non :/ , ce malware ci semble utiliser des adresse proteger ce qui fait qu'aucun tool ne permets de 'retorer le code' en etat initiale (sans les hooks).

De fatigue et sans trop me rappeler comment j'ai bien pu faire l'infection est maitenant contenu sur SCSIPORT.SYS mais pas le moindre LiveCD ou autres n'arrive a avoir raison de cette m**de impossible a retirer les hooks sur win32k et ntoskrnl sont immortels :mrgreen: , je suis rester deconnecter du monde de windows trop longtemps :(

Chose interressante sur Gmer dans la fenetre rootkit si je scan les modifications systeme et je fais restore sur tous les hooks et apres quelques minute et hook apparait sur le process system :/ probleme ce processus et in-tuable et inatteignable sans faire un BSOD.

Au moins ca m'as fait resortir les sysinternals tools , j'enquete toujours
Image
Avatar de l’utilisateur
_solo
Maître des ténèbres
Maître des ténèbres
 
Messages: 590
Inscription: 13 Février 2006, 11:28
Localisation: dans un cambrousse loin loin

Re: infection sans fichier

Messagepar Todd » 01 Février 2015, 20:28

Tu ne nous as pas encore parlé de la version de ton OS !? :roll:
Car sous Win7/Win8 on n'est plus vraiment admin... :? Microsoft a enfin copié sur Linux :P, donc il me semble que par défaut, on ne soit pas mesure de tout killer dans le gestionnaire de tâche. :o En revanche, si tu tapes 'TaskMgr' dans la barre de recherche, d'un click droit, tu pourras lancer le gestionnaire en tant qu'administrateur et normalement pouvoir faire crasher le système. :mrgreen:

Sinon la restauration système ou une réinstallation n'est pas envisageable ? :aie: Des fois, c'est le dernier recours. :(
Et la simple copie pour remplacer les fichiers corrompus ? :roll: Car j'ai déjà eu des blue screens persistants dû à une SSD instable... copier/coller et c'est réglé. 8)

Todd
Avatar de l’utilisateur
Todd
Modérateur
Modérateur
 
Messages: 1795
Inscription: 19 Avril 2009, 12:11

Re: infection sans fichier

Messagepar _solo » 06 Février 2015, 20:36

yep all,

Tu ne nous as pas encore parlé de la version de ton OS
windows 32bits

j'ai trouve comment faire apparaitre les dits fichiers mais ... comment dire
http://postimg.org/image/gyxzzz6sj/
il a fallu via divers tool retablir tous les hooks qui etaient possible "les remettre en l'etat", mettre la machine en veille (-5min parce que plus la machine ne propose plus de se relogger, faut eteindre sauvagement la machine).

Et la on s'y prends comment avec ca ... :? :/ :aie: :( , toute tentative de lancer un quelconque debugger fail lamentablement , juste en lancant windbg l'ensemble BSOD sans rien faire d'autres (mon systeme refuse depuis toujours pour d'obscure raison de creer des dumps :( ) et je viens de decouvrir que sysser n'existe plus :'(
Image
Avatar de l’utilisateur
_solo
Maître des ténèbres
Maître des ténèbres
 
Messages: 590
Inscription: 13 Février 2006, 11:28
Localisation: dans un cambrousse loin loin

Re: infection sans fichier

Messagepar _solo » 21 Février 2015, 19:42

yep yep,

bon toujours pas detecter, mais l'infection est exactement le meme que "fanny.bmp" mais en mode advance, puisqu'on s'en debarrasse vitement de fanny (oui j'ai deja eue affaire a celle-ci par le passé hxxp://forums.ixus.net/viewtopic.php?t=41554 ).

Comme un con j'ai voulu infecter mon XP en pensant m'en debarraser plus vite sur cette OS (c'est pas mieux c'est meme pire) car ce machin resiste meme a une reparation avec CD :/ (et en plus j'ai zapper ma clé XP) j'ai maintenant un systeme considere par kro$ comme illegal :( .

J'y vais donc a coup de hache en remplacant les fichiers infecter, en esperant que Windows soit d'accord :/
Image
Avatar de l’utilisateur
_solo
Maître des ténèbres
Maître des ténèbres
 
Messages: 590
Inscription: 13 Février 2006, 11:28
Localisation: dans un cambrousse loin loin

Re: infection sans fichier

Messagepar Todd » 07 Mars 2015, 23:35

Il a effectivement l'air coriace ton truc :twisted:, mais ça veut dire que tu as réussi à l'isoler pour le passer sur un autre poste !??? :o
Je suis curieux. :D Tu prêtes ? :mrgreen:

Depuis un LiveCD, si tu écrases les fichiers de l'OS, je ne vois pas pourquoi il te résisterait ? :? A moins qu'il soit dans le BIOS... :aie:
Tiens nous au courant. :wink:

Todd
Avatar de l’utilisateur
Todd
Modérateur
Modérateur
 
Messages: 1795
Inscription: 19 Avril 2009, 12:11

Re: infection sans fichier

Messagepar hypnotic » 29 Mai 2015, 10:36

un peu ancien le post mais bon , c'est un botnet ton truc avec rootkit style caberp ou rovnix,

il y a un petit monde parallèle qui s'est monté sur le pc en question , le *.sys que tu cites est certainement un driver qui monte un systmème de fichier qu'on ne peut pas voir , il se charge AVANT l'os,

le mbr du disque a du charger aussi, en général TDS killer ou rogue killer identifie et vire tout ça, sinon c'est distrib linux et à la main ,

++
hypnotic
 
Messages: 5
Inscription: 29 Mai 2015, 09:52


Retourner vers Divers

Qui est en ligne

Utilisateurs parcourant ce forum: Bing [Bot] et 4 invités