xp: comment trouver de quelle façon est apellé un programme (au boot)?

xp: comment trouver de quelle façon est apellé un programme (au boot)? - Win NT/2K/XP - Windows & Software

Marsh Posté le 24-12-2002 à 09:27:11    

Voila, je vous le donne en mille, je me suis ramassé un des derniers subseven (21MA). Je sais vraiment pas commen il a pu se lancer, car je suis un maniaque de l'antivirus pour tout ce qui passe.
 
Enfin bon, j'ai retrouvé ma machine infectée, et j'ai pris les dispositions qui s'imposent. Le fichier incriminé était : "COMAND.COM" (vous remarquerez l'enorme faute d'orthographe qui m'as permis de le supprimer sans me poser de question  ;) ).
 
Le gros problème, c'est qu'apparement je n'ai pas réussi à désactiver le lancement du petit chéri... ! Résultat, je suis enmbété à chaque lancement de windows, avec une fenètre : "windows ne peut trouver comand.com".
 
J'ai écumé msconfig sans succès (win.ini, boot.ini, system.ini, services).
J'ai fouillé partout dans la base de registre (sous la clef "run" entre autres).
Aucune trace de comand.com !!!
 
Quel autre moyen existe t'il de lancer un programme au démarage ??? Puis-je savoir QUI apelle chaque programme lancé ???

Reply

Marsh Posté le 24-12-2002 à 09:27:11   

Reply

Marsh Posté le 24-12-2002 à 09:35:04    

Tu as essayé une recherche intégrale dans la BDR ?

Reply

Marsh Posté le 24-12-2002 à 09:35:05    

vous n'avez pas un onglet "Démarrage" dans msconfig ??

Reply

Marsh Posté le 24-12-2002 à 09:39:10    

"Oui" et "oui, j'avais oublié de le lister !" ;)

Reply

Marsh Posté le 24-12-2002 à 09:48:19    

à quel moment du démarrage ça s'affiche ?

Reply

Marsh Posté le 24-12-2002 à 09:53:35    

Durant l'ouverture de session (Bienvenue / chargement de vos paramètres personnels).
 
Effectivement je n'avais pas pensé à vérifier, mais je rencontre le pb à chaque ouverture de session !

Reply

Marsh Posté le 24-12-2002 à 09:58:45    

Je peut être plus précis d'ailleurs, remarque !
 
Premier point : je ne "vois" pas le moment où il se lance, j'etends juste le son 'erreur' (puis je tombe sur la fenètre d'erreur quand le bureau s'affiche, quelques secondes plus tard).
 
Second point : il recherche comand.com avant messenger (car lorsque j'arrive sur le bureau, la fenètre d'avertissement est sous la fenètre messenger).


Message édité par Antares le 24-12-2002 à 09:59:23
Reply

Marsh Posté le 24-12-2002 à 10:09:03    

Donc tu devrais pourtant le voir quelque part dans msconfig (vérifie à nouveau), je pense effectivement plutôt à l'onglet "Démarrage". Agrandi la colonne "Commande" de façon à bien voir son contenu.
 
Toujours rien ?

Reply

Marsh Posté le 24-12-2002 à 10:19:49    

Mais ce serait pas plus simple de passer par un anti-troyen style "The Cleaner" ?  :heink:  
 


---------------
"If you are going through hell, keep going..."
Reply

Marsh Posté le 24-12-2002 à 10:36:31    

Pour the cleaner, ça m'étonnerais, car j'ai écumé tous les modes de lancement connus pour subseven. Il faut savoir que c'est un outil de lamer, donc plus ou moins paramétrable par la personne qui m'as infecté.
 
 
Pour ce qui est du lancement via le démarage, j'ai fait très fort : j'ai TOUT desactivé dans msconfig ("Mode diagnostic" ). Resultat windows cherche toujours command.com !!!!!!!  :ouch:  
 
Là je crois que ça commence à devenir méchant !!

Reply

Marsh Posté le 24-12-2002 à 10:36:31   

Reply

Marsh Posté le 24-12-2002 à 10:46:00    

Antares a écrit :

Pour the cleaner, ça m'étonnerais, car j'ai écumé tous les modes de lancement connus pour subseven. Il faut savoir que c'est un outil de lamer, donc plus ou moins paramétrable par la personne qui m'as infecté.
 
 
Pour ce qui est du lancement via le démarage, j'ai fait très fort : j'ai TOUT desactivé dans msconfig ("Mode diagnostic" ). Resultat windows cherche toujours command.com !!!!!!!  :ouch:  
 
Là je crois que ça commence à devenir méchant !!


 
ouais bon c'est sur que c'est vraiment de la merde ces troyens :kaola:  
 
et sinon sur le net t'as pas trouvé un outil de désinfection spécial subseven ? ca doit se trouver ca sur ces sites de pseudo-hackers-lamers-gonzesse-de-mes-couilles.. :heink:


---------------
"If you are going through hell, keep going..."
Reply

Marsh Posté le 24-12-2002 à 10:48:52    

Non, tu ne vois pas le problème : c'est un virus configurable par la personne qui t'infectes, autrement dit c'est le gars qui m'as infecté qui a déterminé par quelle méthode se lance le virus : ce n'est pas standardisé, donc il n'y a pas d'outil automatique !

Reply

Marsh Posté le 24-12-2002 à 10:52:01    

et là ? :
 
Démarrer > Executer > gpedit.msc > Configuration utilisateur > Paramètres Windows > Scripts(ouverture/fermeture de session) > Ouverture de session

Reply

Marsh Posté le 24-12-2002 à 10:56:54    

Rien, nada, vide, empty, nothing... Domage car ça parraissait bien correspondre :(

Reply

Marsh Posté le 24-12-2002 à 11:01:35    

En fait, pour tenter d'être toujours un peu plus précis, il semblerait que ce soit une des toutes premières choses qu'il fasse quand je lance l'ouverture de session (message d'erreur environ une seconde après que j'aie cliqué sur le profil utilisateur).

Reply

Marsh Posté le 24-12-2002 à 11:05:54    

Je viens de trouver ça dans un fichier nommé setupapi sur mon disque dur système :
 
 
(... grosse tartine....)
[2002/11/06 23:00:15 3192.5]
#-198 Ligne de commande traitée : "C:\Program Files\Internet Explorer\iexplore.exe"
[2002/11/19 15:09:22 1520.1189]
#-199 Exécution de "C:\WINDOWS\Explorer.exe" avec la ligne de commande : Explorer.exe comand.com
#-166 Fonction d'installation de périphérique : DIF_PROPERTYCHANGE.
#I292 Modification en cours des propriétés du périphérique de "ROOT\MS_PSCHEDMP\0000".
#I306 DICS_START : Le périphérique a été démarré.
[2002/11/19 15:09:22 1520.1190]
#-199 Exécution de "C:\WINDOWS\Explorer.exe" avec la ligne de commande : Explorer.exe comand.com

#-166 Fonction d'installation de périphérique : DIF_PROPERTYCHANGE.
#I292 Modification en cours des propriétés du périphérique de "ROOT\MS_PSCHEDMP\0001".
#I306 DICS_START : Le périphérique a été démarré.
[2002/11/19 19:17:08 1520.1994]
#-199 Exécution de "C:\WINDOWS\Explorer.exe" avec la ligne de commande : Explorer.exe comand.com

(... grosse tartine....)
 
Là je crois que je le tient !!!! Le seul souci ? Je ne sais pas où je peut trouver tout ça. Par contre, je sais que ça vient d'une ligne de commande pour le lancement d'explorer.
 

Reply

Marsh Posté le 24-12-2002 à 11:06:22    

Antares a écrit :

Non, tu ne vois pas le problème : c'est un virus configurable par la personne qui t'infectes, autrement dit c'est le gars qui m'as infecté qui a déterminé par quelle méthode se lance le virus : ce n'est pas standardisé, donc il n'y a pas d'outil automatique !


 
si,si je vois le problème  :jap:  
 
je sais que c'est plus ou moins paramètrable par le mec, mais faut pas oublier non plus qu'il n'y a pas 582'000 façons de lancer un script ou un .exe etc.. au démarrage de windows ! Installe subseven, et regarde les options que tu as pour infecter un mec... ca te montreras toutes les possibilités différentes pour executer cette petite merde au démarrage...


---------------
"If you are going through hell, keep going..."
Reply

Marsh Posté le 24-12-2002 à 11:10:49    

Je trouve ça aussi, dans le dossier system32\wbem\logs\framework :
 
 
[d:\xpclient\admin\wmi\wbem\providers\win32provider\common\implogonuser.cpp.163]
Shell Name Explorer.exe comand.com in Registry not found in process list. 10/23/2002 23:49:48.786 thread:1632  
 
Et j'arrive toujours pas à trouver d'où ça vient !!!!!!

Reply

Marsh Posté le 24-12-2002 à 11:12:01    

sysman a écrit :


 
si,si je vois le problème  :jap:  
 
je sais que c'est plus ou moins paramètrable par le mec, mais faut pas oublier non plus qu'il n'y a pas 582'000 façons de lancer un script ou un .exe etc.. au démarrage de windows ! Installe subseven, et regarde les options que tu as pour infecter un mec... ca te montreras toutes les possibilités différentes pour executer cette petite merde au démarrage...


 
Non non tu ne vois pas le problème : je veux le supprimer, pas l'installer  :lol:  ( ;) )

Reply

Marsh Posté le 24-12-2002 à 11:15:58    

et là ? :
 
Démarrer > Executer > gpedit.msc > [Configuration utilisateur] ET [Configuration Ordinateur] > Modèles d'administration > Système > Ouvereture de session > Executer ces programmes à l'ouverture de session utilisateur


Message édité par Coethium le 24-12-2002 à 11:16:48
Reply

Marsh Posté le 24-12-2002 à 11:21:25    

"elements à executer à l'ouverture de session : aucun"  :cry:

Reply

Marsh Posté le 24-12-2002 à 11:23:20    

Antares a écrit :

Je viens de trouver ça dans un fichier nommé setupapi sur mon disque dur système :
 
 
(... grosse tartine....)
[2002/11/06 23:00:15 3192.5]
#-198 Ligne de commande traitée : "C:\Program Files\Internet Explorer\iexplore.exe"
[2002/11/19 15:09:22 1520.1189]
#-199 Exécution de "C:\WINDOWS\Explorer.exe" avec la ligne de commande : Explorer.exe comand.com
#-166 Fonction d'installation de périphérique : DIF_PROPERTYCHANGE.
#I292 Modification en cours des propriétés du périphérique de "ROOT\MS_PSCHEDMP\0000".
#I306 DICS_START : Le périphérique a été démarré.
[2002/11/19 15:09:22 1520.1190]
#-199 Exécution de "C:\WINDOWS\Explorer.exe" avec la ligne de commande : Explorer.exe comand.com

#-166 Fonction d'installation de périphérique : DIF_PROPERTYCHANGE.
#I292 Modification en cours des propriétés du périphérique de "ROOT\MS_PSCHEDMP\0001".
#I306 DICS_START : Le périphérique a été démarré.
[2002/11/19 19:17:08 1520.1994]
#-199 Exécution de "C:\WINDOWS\Explorer.exe" avec la ligne de commande : Explorer.exe comand.com

(... grosse tartine....)
 
Là je crois que je le tient !!!! Le seul souci ? Je ne sais pas où je peut trouver tout ça. Par contre, je sais que ça vient d'une ligne de commande pour le lancement d'explorer.
 
 


 
 :bounce:  :bounce:  :bounce:  
 
ça c'est dans la BDR !!!!!
 
et c'est là : HKEY_CURRENT_CONFIG\System\CurrentControlSet\Enum\ROOT\MS_PSCHEDMP\0000
HKEY_CURRENT_CONFIG\System\CurrentControlSet\Enum\ROOT\MS_PSCHEDMP\0001

chez moi les deux valeurs de donnée sont vides par défaut.

Reply

Marsh Posté le 24-12-2002 à 11:30:15    

coethium a écrit :


 
 :bounce:  :bounce:  :bounce:  
 
ça c'est dans la BDR !!!!!
 
et c'est là : HKEY_CURRENT_CONFIG\System\CurrentControlSet\Enum\ROOT\MS_PSCHEDMP\0000
HKEY_CURRENT_CONFIG\System\CurrentControlSet\Enum\ROOT\MS_PSCHEDMP\0001

chez moi les deux valeurs de donnée sont vides par défaut.


 
Helas, c'est vide chez moi aussi ! Mais je suis de plus en plus convaincu que c'est dans la bdr, en effet !
 
En recherchant explorer.exe, je trouve certaines clefs qui le lancent avec un paramètre, dans le genre : "...\explorer.exe,13". Je me demande si ça viendrait pas de là, puisque je sais que la chaine "comand.com" n'est pas dans la base de registre !!!!

Reply

Marsh Posté le 24-12-2002 à 11:32:22    

non, 13 c'est un numéro d'icône...

Reply

Marsh Posté le 24-12-2002 à 11:39:09    

coethium a écrit :

non, 13 c'est un numéro d'icône...


 
DOmage  :lol:

Reply

Marsh Posté le 24-12-2002 à 11:44:21    

Antares a écrit :


 
Non non tu ne vois pas le problème : je veux le supprimer, pas l'installer  :lol:  ( ;) )


 
accchh ! Tu é um pétit rigolo ! ;)


---------------
"If you are going through hell, keep going..."
Reply

Marsh Posté le 24-12-2002 à 11:53:06    

Si señor, yé suis un petite rigolo  :jap:  
 
En attendant, j'essaye the cleaner, qui ne trouve rien de rien !  :(

Reply

Marsh Posté le 24-12-2002 à 11:59:41    

Bon d'après µsoft, SetupAPI concerne l'installation/désinstallation/référencement des fichiers/scripts de configuration matérielle, donc fait une recherche sur l'ensemble de ton disque sur les fichiers .INF contenant comand.com (peut importe maj/minus)

Reply

Marsh Posté le 24-12-2002 à 12:17:17    

J'ai fait beaucoup mieux, j'ai recherché TOUS les fichiers contenant la chaine comand.com.
 
C'est de là que venait ma "découverte" de setupapi.
 
Autrement dit, aucun inf sur mon système n'appelle comand.com !
 
 
Tout ce que j'ai trouvé de potentiellement interessant, c'est un fichier nommé :
COMAND.COM-06AF87BE, dans le dossier c:\windows\prefetch

Reply

Marsh Posté le 24-12-2002 à 12:21:31    

Tiens non j'ai trouvé ça aussi, dans un fichier xml "collecteddata_2325", dans un sous-repertoire de windows\PCHEALTH :
 
  <?xml version="1.0" encoding="unicode" ?>  
- <CIM CIMVERSION="2.0" DTDVERSION="2.0">
- <DECLARATION>
- <DECLGROUP.WITHPATH>
- <VALUE.OBJECTWITHPATH>
- <INSTANCEPATH>
- <NAMESPACEPATH>
  <HOST>CREATION</HOST>  
- <LOCALNAMESPACEPATH>
  <NAMESPACE NAME="root" />  
  <NAMESPACE NAME="cimv2" />  
  </LOCALNAMESPACEPATH>
  </NAMESPACEPATH>
- <INSTANCENAME CLASSNAME="Win32_StartupCommand">
- <KEYBINDING NAME="Command">
  <KEYVALUE VALUETYPE="string">comand.com</KEYVALUE>  
  </KEYBINDING>
- <KEYBINDING NAME="Location">
  <KEYVALUE VALUETYPE="string">HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</KEYVALUE>  
  </KEYBINDING>
- <KEYBINDING NAME="Name">
  <KEYVALUE VALUETYPE="string">ShellLoader</KEYVALUE>  
  </KEYBINDING>
- <KEYBINDING NAME="User">
  <KEYVALUE VALUETYPE="string">All Users</KEYVALUE>  
  </KEYBINDING>
  </INSTANCENAME>
  </INSTANCEPATH>
- <INSTANCE CLASSNAME="Win32_StartupCommand">
- <PROPERTY NAME="Command" TYPE="string">
  <VALUE>comand.com</VALUE>  
  </PROPERTY>
- <PROPERTY NAME="Location" TYPE="string">
  <VALUE>HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</VALUE>  
  </PROPERTY>
- <PROPERTY NAME="Name" TYPE="string">
  <VALUE>ShellLoader</VALUE>  
  </PROPERTY>
- <PROPERTY NAME="User" TYPE="string">
  <VALUE>All Users</VALUE>  
  </PROPERTY>
- <PROPERTY NAME="Change" TYPE="string">
  <VALUE>Delete</VALUE>  
  </PROPERTY>
  </INSTANCE>
  </VALUE.OBJECTWITHPATH>
  </DECLGROUP.WITHPATH>
  </DECLARATION>
  </CIM>

Reply

Marsh Posté le 24-12-2002 à 12:34:11    

Antares a écrit :

J'ai fait beaucoup mieux, j'ai recherché TOUS les fichiers contenant la chaine comand.com.
 
C'est de là que venait ma "découverte" de setupapi.
 
Autrement dit, aucun inf sur mon système n'appelle comand.com !
 
 
Tout ce que j'ai trouvé de potentiellement interessant, c'est un fichier nommé :
COMAND.COM-06AF87BE, dans le dossier c:\windows\prefetch


 
ça c win qui concerve des info sur les prog lancés, pour ensuite en tirer parti lors de la défrag
 
Pour le fichier XML, il semble évident que le putain de comand se trouve dans Run (BDR), alors pkoi tu le vois pas, je comprends pas....
 
Bon là, c'est l'heure de la collation, on verra tout ça àprès ;)

Reply

Marsh Posté le 24-12-2002 à 13:16:39    

Oui, moi aussi je vais manger.
 
Juste pour te convaincre : j'ai détruit toutes les clefs sous "/run" (après sauvegarde, hein !  ;) ), et rebooté la machine : il cherche toujours comand.com  :(

Reply

Marsh Posté le 24-12-2002 à 14:42:09    

Bon, ça commence à me gonfler serieusement cette histoire.
 
Pour resumer ce que j'en pense actuellement...
 
Il doit exister un endroit permettant à windows d'effectuer un certain nombre d'opérations au démarage, et cette cochonerie de backdoor s'en sert pour se lancer au démarage sans apparaitre dans le registre :
 
 
- <VALUE.OBJECTWITHPATH>
- <INSTANCEPATH>
 
- <NAMESPACEPATH>
  <HOST>CREATION</HOST>  
- <LOCALNAMESPACEPATH>
  <NAMESPACE NAME="root" />  
  <NAMESPACE NAME="cimv2" />  
  </LOCALNAMESPACEPATH>
  </NAMESPACEPATH>
 
- <INSTANCENAME CLASSNAME="Win32_StartupCommand">
- <KEYBINDING NAME="Command">
  <KEYVALUE VALUETYPE="string">comand.com</KEYVALUE>  
  </KEYBINDING>
- <KEYBINDING NAME="Location">
  <KEYVALUE VALUETYPE="string">HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</KEYVALUE>  
  </KEYBINDING>
- <KEYBINDING NAME="Name">
  <KEYVALUE VALUETYPE="string">ShellLoader</KEYVALUE>  
  </KEYBINDING>
- <KEYBINDING NAME="User">
  <KEYVALUE VALUETYPE="string">All Users</KEYVALUE>  
  </KEYBINDING>
  </INSTANCENAME>
  </INSTANCEPATH>
- <INSTANCE CLASSNAME="Win32_StartupCommand">
- <PROPERTY NAME="Command" TYPE="string">
  <VALUE>comand.com</VALUE>  
  </PROPERTY>
- <PROPERTY NAME="Location" TYPE="string">
  <VALUE>HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</VALUE>  
  </PROPERTY>
- <PROPERTY NAME="Name" TYPE="string">
  <VALUE>ShellLoader</VALUE>  
  </PROPERTY>
- <PROPERTY NAME="User" TYPE="string">
  <VALUE>All Users</VALUE>  
  </PROPERTY>
- <PROPERTY NAME="Change" TYPE="string">
  <VALUE>New</VALUE>  
  </PROPERTY>
  </INSTANCE>
  </VALUE.OBJECTWITHPATH>

Reply

Marsh Posté le 24-12-2002 à 15:14:04    

Je me demande si c'est pas Explorer.EXE qui aurait été modifié...
 
Dans C:\Windows fait une copie de explorer.exe en explorer.txt, ouvre le avec le notepad (il peut être un peu long à s'ouvrir, patiente...) et fait une recherche de texte sur "comand". En principe il ne doit rien trouver, s'il trouve qqch ben spa cool :sweat:
 
Sinon, ben on va continuer à chercher :'(


Message édité par Coethium le 24-12-2002 à 15:14:17
Reply

Marsh Posté le 24-12-2002 à 15:21:32    

Bien tenté mais non.  :sweat:  
 
Ouinnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn !

Reply

Marsh Posté le 24-12-2002 à 15:41:29    

arrrrrrrrrrrrrrrrrrrrr  :fou:  :fou:  :fou:  :fou:  
 
 [:fez666]  [:fez666]  :cry:  :cry:  :pt1cable:  :pt1cable:

Reply

Marsh Posté le 24-12-2002 à 15:41:54    

Bon, je viens de faire de même avec à peu près tous les executables de windows, et toujours rien.
 
A mon avis, il n'y a plus qu'une chose à faire : ré-installer. Au point où j'en suis, c'est encore le plus rapide.
 
J'avoue que j'aurais préféré trouver : c'est frustrant de devoir en arriver là pour une petite backdoor, qui n'as d'ailleurs jamais pu fonctionner puisque j'ai un firewall sur lequel ne sont ouverts que quelques ports qui me sont utiles !
 
En tous cas, merci pour votre aide : grace à vous, on pourra dire que tout ce qui était possible a été tenté !
 
 
Bref, désolé que ça se finisse comme ça, et encore merci du coup de main !

Reply

Marsh Posté le 24-12-2002 à 15:53:37    

attends !!!!
 
T'as regardé dans les tâches planifiées ?

Reply

Marsh Posté le 24-12-2002 à 16:17:00    

Non, pas pensé ! Je vais voir ça.
 
Dans le pire des cas de toutes façons j'attendrais demain pour réinstaller, j'ai pas l'intention de me gacher la veille de noël avec une réinstall  :lol:

Reply

Marsh Posté le 24-12-2002 à 16:32:05    

Bon, j'ai pas de tache planifée donc comme ça ça regle le problème  :lol: .
 
J'ai regardé dans le journal, il me mets une tâche planifée "idle" qui s'est executée une dizaine de fois le 27/11...

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed