bootcom.sys (saleté about:blank) - Sécurité - Windows & Software
MarshPosté le 02-03-2005 à 07:09:25
pour ceux qui auraient le même problème que moi à propos de ce machin, qui est une variété de la page de démarrage "about : blank" sur un site de recherche
description : page de démarrage d'IE avec about:blank comme adresse redirigeant sur un site de recherche a la con (me souvient plus lequel). windows xp ne démarre pas en donnant une erreur avec bootcom.sys, mais accepte avec "dernière bonne configuration". donne une erreur <TODO> au démarrage d'XP. se réinstalle en démarrant AIM, en signalant une erreur de lecture d'image dans msxxabt3.dll plusieurs fois. n'est pas vu ou nettoyé par spybot, ad-aware, CWShredder ou l'antivirus antivir a cause des protections de certains fichiers bien pensées, hijackthis ne le vois pas non plus crée des fichiers dans c:\windows\system32 : chez moi : idr_17b.exe, fafa.exe (donnant une erreur du fichier fufu.exe quand supprimé), wauctlxp2.exe (revenant sous wauctlxp3.exe après effacement), perfcl.exe, wuactl2.exe, msasmsn6.dll et msxxabt3.dll et surtout crée le fichier bootcom.sys dans :\windows\system32\driver. les propriétés le donnent comme un fichier microsoft, avec n° de version pour xp
ce fichier a la particularité d'être considéré comme un fichier système de boot, impossible a effacer, ni en direct, ni via la base de registre, ni même de pouvoir être ouvert avec notepad pour être lu d'habitude, pour ce genre de saleté, je vais voir directement dans run (HKLM\software\microsoft\windows\current version\run), je fais une recherche dans la base de registre et dans le texte des fichiers de c:\windows pour voir lesquels sont liés, je renomme ceux qui paraissent suspects et je regarde après un reboot s'ils sont recréés. si pas c'est bon j'efface, sinon c'est qu'il en manque. j'ai trouvé les 7 de system32, et bootcom je l'ai d'abord renommé en mettant le disque dur en slave sur un autre pc, mais marche pas, sans doute a cause de la protection des fichiers système. j'ai désactivé la restauration, coupé avec notepad un morceau de fichier vers la fin que j'ai collé au début pour conserver le même nombre d'octet, enregistré, renommé en _bootcom.sys et mis en lecture seule. xp a un peu fait la gueule et lancé un chkdsk qu'a viré l'entrée bootcom de la bdr
pour s'en débarrasser : démarrer la derniere config ok, et désactiver la restauration! sinon windows va le ramener mettre le dd sur un autre xp, mettre en visible tous les fichiers, avec leurs extensions, noter les noms et effacer les 7 fichiers cités dans system32 (qui peuvent sans doute varier d'une version a l'autre, en nom et quantité), supprimer bootcom.sys dans system32\driver, vider les temp, les temporaires, vider la poubelle, passer un coup de spybot, d'antivirus et ça devrait aller. si c'est une partition ntfs, inutile d'essayer avec une disquette, d'ailleurs même en fat les fichiers systèmes de ce genre sont protégés
avant d'arréter après avoir redémarré normalement avec le dur remonté, voir dans la bdr HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main, HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search, HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main et virez les clé contenant une adresse non voulue, voir HKLM\software\microsoft\windows\current version\run runonce et alentours et supprimer ce qui parait de trop, faire une recherche dans la bdr sur le nom des fichiers supprimés pour virer les entrées. ensuite un coup de hijackthis, reboot, et surveillez le dossier \system32 et \driver, notamment la date de création de fichiers
installer spywareblaster sur les pcs a risque peut être une bonne idée
Marsh Posté le 02-03-2005 à 07:09:25
pour ceux qui auraient le même problème que moi à propos de ce machin, qui est une variété de la page de démarrage "about : blank" sur un site de recherche
description : page de démarrage d'IE avec about:blank comme adresse redirigeant sur un site de recherche a la con (me souvient plus lequel). windows xp ne démarre pas en donnant une erreur avec bootcom.sys, mais accepte avec "dernière bonne configuration". donne une erreur <TODO> au démarrage d'XP. se réinstalle en démarrant AIM, en signalant une erreur de lecture d'image dans msxxabt3.dll plusieurs fois.
n'est pas vu ou nettoyé par spybot, ad-aware, CWShredder ou l'antivirus antivir a cause des protections de certains fichiers bien pensées, hijackthis ne le vois pas non plus
crée des fichiers dans c:\windows\system32 :
chez moi : idr_17b.exe, fafa.exe (donnant une erreur du fichier fufu.exe quand supprimé), wauctlxp2.exe (revenant sous wauctlxp3.exe après effacement), perfcl.exe, wuactl2.exe, msasmsn6.dll et msxxabt3.dll
et surtout crée le fichier bootcom.sys dans :\windows\system32\driver. les propriétés le donnent comme un fichier microsoft, avec n° de version pour xp
ce fichier a la particularité d'être considéré comme un fichier système de boot, impossible a effacer, ni en direct, ni via la base de registre, ni même de pouvoir être ouvert avec notepad pour être lu
d'habitude, pour ce genre de saleté, je vais voir directement dans run (HKLM\software\microsoft\windows\current version\run), je fais une recherche dans la base de registre et dans le texte des fichiers de c:\windows pour voir lesquels sont liés, je renomme ceux qui paraissent suspects et je regarde après un reboot s'ils sont recréés. si pas c'est bon j'efface, sinon c'est qu'il en manque. j'ai trouvé les 7 de system32, et bootcom
je l'ai d'abord renommé en mettant le disque dur en slave sur un autre pc, mais marche pas, sans doute a cause de la protection des fichiers système. j'ai désactivé la restauration, coupé avec notepad un morceau de fichier vers la fin que j'ai collé au début pour conserver le même nombre d'octet, enregistré, renommé en _bootcom.sys et mis en lecture seule. xp a un peu fait la gueule et lancé un chkdsk qu'a viré l'entrée bootcom de la bdr
pour s'en débarrasser : démarrer la derniere config ok, et désactiver la restauration! sinon windows va le ramener
mettre le dd sur un autre xp, mettre en visible tous les fichiers, avec leurs extensions, noter les noms et effacer les 7 fichiers cités dans system32 (qui peuvent sans doute varier d'une version a l'autre, en nom et quantité), supprimer bootcom.sys dans system32\driver, vider les temp, les temporaires, vider la poubelle, passer un coup de spybot, d'antivirus et ça devrait aller.
si c'est une partition ntfs, inutile d'essayer avec une disquette, d'ailleurs même en fat les fichiers systèmes de ce genre sont protégés
avant d'arréter après avoir redémarré normalement avec le dur remonté, voir dans la bdr HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main,
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search,
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main et virez les clé contenant une adresse non voulue, voir
HKLM\software\microsoft\windows\current version\run runonce et alentours
et supprimer ce qui parait de trop, faire une recherche dans la bdr sur le nom des fichiers supprimés pour virer les entrées.
ensuite un coup de hijackthis, reboot, et surveillez le dossier \system32 et \driver, notamment la date de création de fichiers
installer spywareblaster sur les pcs a risque peut être une bonne idée
---------------
du vide, j'en ai plein !