Version originale 1.00 du 29/11/2005
version actuelle 1.05 du 05/01/2006
Cet outil à pour but de faciliter la tache des "experts helpers forumeurs"
Disponible ici system-D
Fait et testé sous xp.
Il se compose de fichiers facilement logeables sur disquette(~420ko).
- 1.vbs qui est le script de Jean-marc : VirusBdRRepair.vbs http://perso.wanadoo.fr/doc.jm
renommé pour une plus grande facilité d'utilisation.
si l'explorateur windows et les exes sont inopérants
faites insérer la disk, ctrl+alt+suppr, nouvelle tache, taper: a:\1.vbs
cela lance le script, il répare les principales entrées endommagées de la bdr,
dégâts causés par un virus,reste à dévéroler!
-2.cmd
en cas de shutdown planifié (votre ordinateur va s'éteindre dans X secondes)
inserer disk>> demarrer>> executer>> faites taper a:\2
ou si l'explorateur est disponible faites ouvrir la disk >> double click sur 2.cmd
stoppe la commande shutdown
reste à dévéroler, ou trouver la localisation de la planification du shutdown!
les autres fichiers servant au bat sont dans le dossier LOG
fonctionne en multi boot
le bat lance les commandes sur la partition en cours d'utilisation
si vous devez faire lancer le scan ewido en n°3 ,
le logiciel doit bien sur être installé sur la config
avec les chemins d install par defaut X:\program files\...
si vous faites lançer 3, 4 et 5 faites bien enregistrer les rapports
les scans en ligne KAV et Spysweeper n'éradiquent rien mais sont bien utiles!
le scan KAV localise à la perfection!
si n°4 et 5 ne se connectent pas une vérole en empêche l'accès!
éradiquez puis faire restaurer le hosts.
si vous faites lançer 3, faites d'abord le n°2, sinon cet outil n'a aucune raison d'être!
important, la liste des taches connectées vous aide à situer un rootkit, voir "DEMO" plus bas.
tasklist et taskkill sont empruntes a xp pro
ok Bill c'est pour la bonne cause
Merci à M Charles Dye pour locate.com
http://www.highfiber.com/~raster/freeware.htm
Merci à M Vincent Fatica pour KEYTIMES.EXE
http://barnyard.syr.edu/~vefatica/#KTIMES
RootkitRevealer.exe, tcpvcon.exe et LISTDLLS.exe sont de chez http://www.sysinternals.com/ un grand merci à eux.
n°1 pour afficher extentions fichiers, fichiers cachés et système
n°2 Pour stopper toutes taches en cours sur l'utilisateur courant
laissant les taches necessaires à windows pour tourner
C'est un mini mode sans échec
impératif avant de lancer l'option n°3
effectivement un anti virus ou ewido ne peuvent nettoyer
une dll infectée qui est vicieusement "chargée" par un processus légitime,
D'ou un message d'erreur, nettoyage impossible...
Donc faites lancer cette option, ensuite le nettoyage paut commencer.
à part si un rootkit est suspecté par les connexions actives,
ou en ligne 020 aléatoire dans hijackthis, cela calme pas mal de bébêtes
n°3 Pour lancer le scan d'ewido après avoir "tué" toutes les taches en cours
Pensez à demander un rapport de scan.
Ewido sera lançé en tant que "SYSTEM"!
Et non sous le compte de l'utilisateur courant,
Pour cela une astuce un peu déroutante vous demande d'attendre 1mn.
Bien sûr Ewido doit être installé sur la config avec les chemins proposés
par défaut. X:\Program Files\ewido\security suite, l'ancien
ou X:\Program Files\ewido anti-malware, le nouveau
n°4 Pour lancer le scan en ligne chez Kaspersky avec internet explorer
Crée un raccourci dans les favoris du navigateur
ouvre internet explorer et invite l'utilisateur à cliquer sur le raccourci crée
n'éradique pas ! indiquez bien de sauver le rapport
n°5 Pour lancer le scan en ligne chez Spysweeper avec internet explorer
Crée un raccourci dans les favoris du navigateur
ouvre internet explorer et invite l'utilisateur à cliquer sur le raccourci crée
Attention Spysweeper en ligne ne nettoie pas, seulement utile pour évaluer une infection.
indiquez bien de sauver le rapport
n°6 Pour relancer l'explorateur après les scans.
n°7 Pour obtenir une liste de fichiers/dossiers et clés de la BDR crées à une date donnée.
La liste des clés BDR est un peu foutoir, j'essaie d'y remédier.
utilisation de locate.com et keytimes.exe
L'utilisateur est guidé pour taper le jour le mois et l'année.
Vous désirez une seule de ces 2 listes:
-fichiers/dossiers crées à une date donnée
au menu général, faites faire :
démarrer >> exécuter, là faites taper
findz.bat jj-mm-aaaa
par exemple: findz.bat 13-01-2006 (pour le 13 janvier 2006)
-clés de la BDR crées à une date donnée
au menu général, faites faire :
démarrer >> exécuter, là faites taper
freg.bat aa-mm-jj
par exemple: freg.bat 06-01-13 (pour le 13 janvier 2006)
n°8 Pour nettoyer en profondeur "downloaded program files"
Parce que l'on voit souvent un "expert forumeur" demander à un utilisateur
de supprimer un fichier dans ce dossier par l'explorateur,
Chose tout à fait impossible.
Une commande DOS nous aide à faire le vide,
épargnant desktop.ini qui par le biais de la BDR rend ce dossier si mystérieusement étanche
et LegitCheckControl.inf qui fera ré-appaitre windows geniune validation tool
n°9 Pour lancer le scan de rootkitrevealer
En cas de positifs, particulièrement X:\program files\xxx system\32\xxx et system\32\drivers
Redémarrage en mode sans échec sous le compte admin permet la suppression des fichiers
invisibles sous le compte utilisateur normal.
En principe les clés présentes dans la BDR sont supprimées automatiquement.
n°10 Pour masquer extentions fichiers, fichiers cachés et système
n°11 Pour restaurer le fichier HOSTS
Si n°5 et 6 impossibles refaites dans l'ordre : 2, 12, 5 et 6.
on tue les taches en cours, restauration host puis scans en ligne.
n°12
option n°1
Un listing est créee contenant:
- la liste des tâches en cours
- la liste des tâches connectées
(Surprenant quand une dll infectée chargée dans une tache légitime se connecte à un ou plusieurs ports
Attention au status inconnu, rootkit suspecté.
La tache ne devrait pas apparaitre en liste des taches en cours!)
merci à tcpvcon.exe qui en voit plus que netstat!
option n°2
- la liste des exe et dll créees depuis 60 jours, avec un peu d'application
et une comparaison des listes précédentes le nettoyage peut commencer.
merci M Charles Dye, locate.com localise et range beaucoup plus facilement
que find ou findstr et en plus il voit l'invisible!
Un rootkit à la mode s'installe dans program files, nom aléatoire, exe et dll farfelus.
- la liste des dossiers dans program files,
- la liste des dossiers dans program files\fichiers communs,
- la liste des taches planifiées
- la liste du contenu de "user name"\application data
- la liste du contenu du dossier "downloaded program files"
Un nid à virus et malwares qui a des attributs particuliers rendant invisible
tout objet. (lancez la tache n°8 pour nettoyer)
- les listes HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run et
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
n°13
- localisation dll non signées, ou peux courantes
Utilisation de LISTDLLS.exe de sysinternals
on fait : demarrer>> puis executer
la on tape : findl nom-du-processus
exemple: findl explorer ou findl winlogon
j'ai oté par le biais d'un batch les signatures les plus connues
restent les spécifiques ou mieux les "vides"
Une DLL est chargé sous le couvert de WINLOGON", elle est vite localisée
vous pouvez faire plusieurs recherches
une fois terminé, retour au menu en appuyant sur une touche.
tous les résultats se "collent" dans system-D.txt sur le bureau
n°14
-suppression fichiers et dossiers; tuer une dll ou un exe en cours d'utilisation
et supprimer en même temps un fichier ou dossier
2 menus
1-pour tuer un exe tapez E
2-pour tuer une dll tapez D
parce que la commande pour "tuer" une DLL des processus en cours n'est pas la même pour les exe.
1-pour tuer un exe en cours et le supprimer, 2 possibilités
1a-on "tue" un exe + un fichier
veuillez faire : démarrer puis : executer
là, tapez exfil chemin-de-l'exe nom-de-l'exe
exemple exfil c:\windows\system\mechant.exe mechant.exe
Pensez à encadrer de " votre chemin s'il contient des espaces!
exemple exfil "c:\windows\downloaded program files\vilain.exe" vilain.exe
1b-pour tuer un exe en cours et supprimer un dossier
veuillez faire : démarrer puis : executer
là, tapez exfol chemin-du-dossier nom-de-l'exe
exemple exfol c:\program files\mechant verole.exe
Pensez à encadrer de " votre chemin s'il contient des espaces!
2-pour tuer une dll en cours et la supprimer, 2 possibilités
2a-on "tue" une dll + un fichier
veuillez faire : démarrer puis : executer
là, tapez efil chemin-de-la-dll nom-de-la-dll
exemple efil c:\windows\system32\mechant.dll mechant.dll
Pensez à encadrer de " votre chemin s'il contient des espaces!
2b-pour tuer une dll en cours et supprimer un dossier
veuillez faire : démarrer puis : executer
là, tapez efol chemin-du-dossier nom-de-la-dll
exemple efol c:\program files\mechant verole.dll
Pensez à encadrer de " votre chemin s'il contient des espaces!
une fois fait, ce message apparait
controlez votre horloge
quand une minute va passer, la suppression va s'executer
Si votre horloge est à 59 mn attendez 1 mn
sinon, vous pouvez y aller
En fait en effectuant une des 4 options on crée un batch provisoire
puis on lance un processus qui va exécuter le batch sous le compte "SYSTEM"
normalement plus destructeur
Taskkill tue le processus choisi, ensuite une simple commande DOS supprime le fichier/dossier voulu
n°15
-nettoyage temps, cookies et prefetch
H Pour afficher cette aide (Débutants, demandez de l'aide sur un forum!)
Q Pour quitter
Toutes les options qui génèrent une liste incrémentent "system-D.txt" créee sur le bureau de l'utilisateur
Désolé, je laisse tomber.
Je continue, pour le fun, et par besoin perso, mais cette page ne sera plus mise à jour.
Je mettrai à l'occasion des MAJ en ligne, à vous d'ouvrir et de découvrir!
J'ai mis à plusieurs sauces la possibilité de lancer un batch sous le compte "SYSTEM".
La décortication de quelques rootkits indiquent qu'ils sont, pour beaucoup, crées sous ce compte,
avec création de droits restreints pour l'utilisateur courant (lecture, modif et suppression).
Il suffit pour être invisible, comme il suffit de lancer des commandes aux droits suprêmes pour
mieux voir et nettoyer en profondeur.
Des nouveaux arrivent, plus vicieux...
Bonne route
à Marlo et Juju