Eliminer un service virus sous XP SP3 - Page 1

Hello,

Probablement à cause de la faille récente des fichier PDF et grâce à un lien posté sur yN, je me suis choppé un virus. Il n'y a rien d'anormal dans les programmes lancés au démarrage affichés par msconfig, et rien de visible dans les processus non plus. En revanche, quand je regarde les connexions sortantes de ma machine, je vois des tonnes de connexions initiées par "services.exe" via le port 25 sur un tas de serveurs distants. En clair, mon PC envoie des spams à tour de bras.

Autre symptôme : au démarrage, j'avais 99% du CPU utilisé par un svchost.exe, qui semblait exécuter l'un des deux services "Windows user-mode driver framework" ou "lanceur de processus DCOM". Je n'ai pas su déterminer lequel donc j'ai désactivé les deux, mon CPU est revenu à la normale mais j'envoie toujours des spams. Je ne sais pas si c'est une information utile dans la recherche du virus.

Mais comment puis-je savoir quel est le service responsable des connexions, puisque je ne vois que le processus générique "services.exe" (ou svchost.exe, au mieux) ? J'ai utilisé Process Explorer sans trouver beaucoup plus d'informations utiles.

Autre question peut-être liée : un anti-malware m'a détecté un fichier "C:\WINDOWS\system32\drivers\wgkys.sys" comme étant un virus. Mais je n'arrive pas à le supprimer (impossible d'accéder au fichier, et permission denied en ligne de commande même en ayant les droits dessus), même en démarrant en mode sans échec. Qu'est-ce qui peut bloquer la suppression à ce point ?

Merci pour votre aide (et désolé si vous recevez un spam en provenance de <random>@mirari.fr, je fais de mon mieux pour que ça s'arrête )

Même avec unlocker ?

Sinon, quelque chose de radical : tu bootes sur un livecd linux pour lui éclater la gueule (ou booter sur la ligne de commande windows du cd d'installation)

Flanker (./2) :
tu bootes sur un livecd linux pour lui éclater la gueule

c'est ce que j'allais conseillé : un petit knoppix cd, et op un coup d'antivirus et de nettoyage.

Ouep ça sera plus simple par LiveCD (ou live USB, je vais d/l une distrib pour faire ça ce soir).

Pour l'autre problème (qui reste le plus important ^^) vous n'avez pas d'idée ?

Avec procexp, tu ne peux pas voir au moins quel service initie les connexions avec l'onglet TCP/IP? Si tu as le processus, alors tu as les services potentiels (onglet Services des propriétés du processus). Normalement il n'est pas possible de cacher un service.
Sinon tu as utilisé quel soft pour monitorer le réseau?

Au passage, as-tu bloqué le port 25 de ta freebox ? Ça limiterait le spam ^^

./5 : je connaissais pas cet onglet, je vais regarder (j'utilisais currports pour voir les connexions ouvertes)

./6 : c'est la première chose que j'ai tenté de faire, j'ai bloqué le SMTP sortant depuis la page de configuration de la freebox, mais ça n'a pas l'air de fonctionner :/ (puisque je reçois des mails de retour, donc ceux que j'ai envoyés sont bien partis)

et en attendant, mettre un pare-feu façon zone alarm pour bloquer les connexions sortantes ?

yep pas con aussi, je vais me préparer tout ça pour ce soir

En parlant de pare-feu, je crois que la version Pro de ZoneAlarm (il y en a une démo gratuite limitée dans le temps) te donne des infos plus précises sur quel service essaie de communiquer par TCP/IP. En espérant que ton virus ne te dégage pas les firewalls logiciels, ce qui n'est pas rare malheureusement.

Passe un coup de clamscan avec ton live CD GNU/Linux (pour mettre à jour les définitions, c'est freshclam), ça devrait aider à trouver le virus (surtout s'il se cache des antivirus tournant à l'intérieur du système, il y a des virus très forts pour ce genre de trucs).

J'ai voulu lancer clamscan pour Windows mais j'ai une erreur incompréhensible (un code numérique) à l'installation donc j'ai laissé tomber.

En revanche j'ai booté Fedora 12 via USB et j'ai pu supprimer le fichier fautif (wgkxs.sys) sans problème. Je mets à jour mon AV et je le fais tourner un coup, puis je garde cette clé USB bootable dans un coin au cas où. Merci pour votre aide à tous

Zephyr (./12) :
En revanche j'ai booté Fedora 12 via USB

Ouah, chaleur !!!

Attends, ce que je te conseillais, ce n'est pas d'installer ClamAV à l'intérieur de ton système infecté, mais de faire un scan depuis le live CD! Les virus, quand ils tournent, peuvent faire foirer les antivirus pour éviter la détection, c'est peut-être même pour ça que tu as eu le message d'erreur que tu as eu. Il faut scanner depuis l'extérieur pour un scan fiable.

J'ai retenté l'expérience après coup, et toujours impossible d'installer ClamAV. L'installeur semble avoir un défaut.

tiens d'ailleurs est ce que clamav est maintenant fichu, comme tout antivirus normal, de hooker les ouvertures de fichiers de toutes les applis, pour pouvoir scanner autrement qu'en demandant un scan complet manuel?

Non (enfin, il y a une solution pour GNU/Linux, cf. Dazuko et Clamuko, mais ça rame à fond et on n'en a de toute façon pas besoin sous GNU/Linux ).

Tu peux aller voir WinPooch, mais c'est peu maintenu, bogué et ça rame aussi à fond (du moins la fois où je l'avais testé sur le PC de ma mère). ClamAV n'est pas assez rapide pour le scan en ligne.

bref, tu connais la conclusion...

Kevin Kofler (./18) :
c'est peu maintenu, bogué et ça rame aussi à fond

<ironie>Bref, c'est libre !</ironie>