resycled\boot.com

Bonsoir,


Suivant les indications de Sabrem JORAM sur le fil WindowsXP, je vous
soumets le problème consécutif au formatage de la partition système et à la
réinstallation de WindowsXP SP2 (SP3 par MàJ) :
lorsque je souhaite ouvrir une partition (C: ou D:) du disque à partir du
poste de travail, apparaît le message "C:\resycled\boot.com n'est pas une
application WIN32 valide"

J'ai tenté Malwarebytes : 8 anomalies trouvées, éliminées... mais le message
d'erreur apparaît toujours.

Connaissez-vous la/les solutions ?
Merci d'avance.

Thierry

resycled\boot.com

Salut
Pas mieux que Sabrem Joram
tu peux lire les commentaires sur ce lien, certains peuvent peut-être
t'aider :
http://www.precisesecurity.com/blogs/2008/09/20/resycledbootcom/

--
Christian

*Bonjour chrispra * !

*Bonjour chrispra * !



Ce serait donc la seconde partition la source
de cette réinfection immédiate via un autorun.inf

Voici quelques infos pour Thierry
http://fspsa.free.fr/contamination-lecteurs-amovibles.htm

Il faut afficher les fichiers systèmes et cachés et renommer les
autorun.inf en autorun.txt

Ce serait sympa de nous en indiquer le contenu.

--
Salutations, Jean-François
Index de la FAQ XP de Panthère Noire : http://www.d2i.ch/pn/az
Un problème difficile à décrire ? http://fspsa.free.fr/copiecran.htm
USB et virus :
http://fspsa.free.fr/contamination-lecteurs-amovibles.htm

Bonjour,Pour ceux qui voudrait "remonter le temps" et rassembler plus

Bonjour,

Pour ceux qui voudrait "remonter le temps" et rassembler plus
d'éléments sur ce problème intéressant (notamment les symptômes qui
m'ont induit en erreur), le fil d'origine est ici :

Thread :
http://groups.google.com/groups?threadm=mn.dcc37d8c7060de55.95354%40enfrance.net.invalid
Post :
http://groups.google.com/groups?selm=mn.dcc37d8c7060de55.95354%40enfrance.net.invalid

Amicalement,

--

http://www.worldcommunitygrid.org/
http://www.worldcommunitygrid.org/reg/viewRegister.do?teamID=T5FG4T4VRP1

*Bonjour Pascal * !

*Bonjour Pascal * !



Je savais que tu viendrais aussi t'ai-je laissé le soin de ce raccord
;-)

Thierry :
Est-ce que resycled\boot.com est bien ortographié ?
Je trouve des réponses sous ces deux orthographes :

http://www.google.fr/search?num=99&q=resycled%5Cboot.com
http://www.google.fr/search?num=99&q=recycled%5Cboot.com

L'orthographe correcte serait reCycled\boot.com
En effet le but serait ainsi de cacher le parasite
dans le conteneur des Corbeilles C:\Recycled pour du FAT32
(procédé utilisé autrefois par la Corbeille protégée Norton).
En NTFS le nom de ce dossier est recycleR.

Pour rappel on peut supprimer Recycler ou Recycled en appuyant sur la
touche MAJ (pour ne pas passer par la Corbeille) ou procéder en deux
temps : renommer Recycler, le supprimer plus tard. Un nouveau dossier
est créé lors de la suppression d'un fichier de la partition.

Vu le nombre de réponses avec reSycled, on a l'impression qu'une
version du parasite comportait une faute de frappe. Si c'est de cette
version qu'il s'agit il aurait dû y avoir un dossier reSycled sur le
disque. Etait-ce le cas ? Il était probablement système et caché
http://fspsa.free.fr/fichiers-systemes-caches.htm

--
Salutations, Jean-François
Index de la FAQ XP de Panthère Noire : http://www.d2i.ch/pn/az
Un problème difficile à décrire ? http://fspsa.free.fr/copiecran.htm
Avast ? Antivir ? AVG 8 ?
http://forum.malekal.com/viewtopic.php?t=11659#p89934

Bonjour à vous tous qui menez ce dur labeur acharné contre cette rosse !

Bonjour à vous tous qui menez ce dur labeur acharné contre cette rosse !

Oui, Jean-François, la graphie "resycled", pas très ortho, soit, est bien
celle qui apparaît dans le message d'erreur.
Mais il y a du nouveau !
Dorénavant, la tentative d'ouverture de la partition système C:\ à partir du
poste de travail se solde par (avec toujours la même "mésorthographie") :
nom correctement et essayez à nouveau. Pour rechercher un fichier cliquez
sur le bouton démarrer, puis sur rechercher'.
Suivant le même chemin, la tentative d'ouverture de la partition non-système
aboutit au message d'erreur initialement rencontré.

Le dossier démarrage est vide même en affichant tout ce qui peut être caché.
La recherche d'un fichier recycl*.* ou resycl*.* n'étant pas pertinente et
ne pouvant accéder aux partitions, j'ouvre Word sur D:\ en affichant tous
les fichiers :

NB : le lien vers D:\ est bleu

apparaissent alors, hormis mes dossiers habituellement visibles :
- RECYCLER, vide

- resycled (en bleu) contenant un seul fichier : boot.com dont le contenu ne
s'affiche pas sous word

- autorun.inf dont le contenu est lisible sous word :
[autorun]

;(null)

shellexecute="resycled\boot.com d:"

;(null)

shell\Open\command="resycled\boot.com d:"

;(null)

shell=Open

;(null)



La même procédure appliquée à C:\
- RECYCLER, vide

- autorun.inf :
[autorun]

;(null)

shellexecute="resycled\boot.com c:"

;(null)

shell\Open\command="resycled\boot.com c:"

;(null)

shell=Open

;(null)


- boot.ini :
[boot loader]

timeout=30

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition
familiale" /noexecute=optin /fastdetect





Par prudence, sentant que je m'approche du noeud... gordien (suivant la
proposition de Pascal/Sabrem, en remontant le temps avant la Guerre de
Troie), j'attends avec impatience vos conclusions avant de trancher !



Merci encore.



Thierry

resycled\boot.com

2008 13:10:11, écrivait ceci:

Salut tous,
J'ai eu cette infection sur une de mes bécanes (avec création d'un
dossier resycled/boot.com). Le symptome principal était que mon AV (AVG
free) ne trouvait plus de mise à jour. En vérifiant ma connexion
internet, je me suis aperçu que le serveur DNS était un serveur
étranger à mon réseau appliqué à toutes mes cartes réseau. Ce DNS était
inchangeable.

Je ne sais pas si elle y était liée mais il y avait un rootkit détecté
par gmer (j'ai pas mémorisé le nom).
Ce qui m'a surpris c'est qu'il n'y avait pas de détection par les
antivirus habituels (après désactivation des fonctions de masquage).
Je ne connais pas le nom réel du néfaste.
Pour décontaminer :
Je travaille toujours avec totalcommander (ce qui fait que je n'ai pas
de recontamination avec l'explorateur )
Téléchargement de gmer.
lancement et repérage du nom du fichier rootkit (dans c:\windows
commence par msq je crois et de suffixe .sys)
renommage du fichier resycled\boot.com pour éviter
Suppression du fichier autoruns.inf, création d'un répertoire de nom
autoruns.inf pour empêcher la création d'un fichier de même nom.
redémarrage en mode sans échec
lancement de gmer
Suppression des rootkits (présentés en rouge)
renommage du fichier c:\windows\mqsxxxxxx.sys
lancement de regedit
recherche de la chaine msq et suppression de toutes les clés y faisant
référence (la plupart étaient réservée au système et à tout le monde
(donc modifiable par internet), il a fallu modifier les droits pour les
accorder aux administrateur pour permettre la suppression)
redémarrage, controle des paramètres réseaux, de l'accès aux MAJ d'AVG

Ensuite j'ai tenté d'identifier l'infection en envoyant les fichiers
renommés chez les éditeurs d'AV, mais aucun ne me l'ont reconnu. J'ai
donc tout supprimé.

*Salut Thierry* !

*Salut Thierry* !



Thierry tu nous abreuves de bonne humeur, de citations succulentes, et
de mots nouveaux ! Je n'ai pas trouvé de définition officielle de
mésorthographie, quoique toutefois j'en comprenne facilement l'idée,
tout en reconnaissant la créativité de son auteur... j'ai trouvé son
frère : http://fr.wikipedia.org/wiki/Dysorthographie




Il est remarquable que dès qu'on donne le message exact, Google ramène
des réponses pertinentes
http://www.google.fr/search?q=Windows+ne+trouve+pas+resycled%5Cboot.com+Vérifiez+que+vous+avez+entré+le+nom+correctement+et+essayez+à+nouveau+Pour+rechercher+un+fichier+cliquez+sur+le+bouton+démarrer+puis+sur+rechercher




Tu n'as pas renommé autorun.inf ???
http://fspsa.free.fr/contamination-lecteurs-amovibles.htm
Pour empêcher autorun.inf d'être recréé,
créer un nouveau dossier nommé autorun.inf





Le but était de mettre en évidence autorun.inf
sur la racine de la partition.
J'avais suggéré (fortement) de le renommer.




Bloc-Notes est suffisant




Le disque D est compressé ?




Affiche normalement le contenu de la Corbeille.
Si la Corbeille a été vidée, les Recycler sont vides....




Merci d'avoir confirmé.
Word est fait pour afficher du texte, pas ce genre de fichier.
Suggestion : renommer resycled
Surveiller qu'il ne se recrée pas.




Oui, autorun.inf, comme tous les fichiers.inf, est du texte



Voir explications sur cette syntaxe
http://fspsa.free.fr/contamination-lecteurs-amovibles.htm





MERCI !
Si tu as bien lu mon article, tu as compris qu'à chaque fois que tu
cliques sur ton lecteur, le virus essaie de s'exécuter. Renommer les
autorun.inf devrait redonner un comportement normal. Créer des dossiers
autorun.inf devrait empêcher le virus de créer des autoruns.




RAS (Rien À Signaler) ce que tu montres est le multiboot normal.
Rien à voir avec les démarrages de programmes avec Windows.
Tu es en train de chercher ce qui démarre à ton insu.
Il y a mille manières d'obtenir cela.
En général ça passe par le registre
http://assiste.com.free.fr/p/abc/a/demarrage_de_windows.html
http://joke0.free.fr/demarrage.html
http://www.bellamyjc.org/fr/systeme.html#start
http://aumha.org/a/loads.htm


Voir plutôt du côté de
Démarrer>Exécuter>msconfig
Onglet Démarrage
Services non-Microsoft peut être concerné.
Plus souple et plus clair :
Codestuff Starter
Logiciels français : Outils système : Optimisation :
http://www.gratilog.net/xoops/modules/mydownloads/viewcat.php?cid=225
http://www.gratilog.net/xoops/modules/mydownloads/singlefile.php?lid=395

Plus puissant : AUTORUNS
http://www.microsoft.com/france/technet/sysinternals/SystemInformation/Autoruns.mspx
http://download.sysinternals.com/Files/Autoruns.zip

Sécurité avant de décocher n'importe quoi :
http://fspsa.free.fr/erunt.htm

Mais si j'en crois l'ami Gilles, on a affaire à un Rootkit
http://fr.wikipedia.org/wiki/Rootkit
GMER est plus adapté
http://forum.malekal.com/ftopic3218.php
http://www.malekal.com/supprimer_rootkit_windows.php




Ça va saigner.




Vraiment un plaisir.

--
Salutations, Jean-François
Index de la FAQ XP de Panthère Noire : http://www.d2i.ch/pn/az
Un problème difficile à décrire ? http://fspsa.free.fr/copiecran.htm
http://www.libellules.ch/phpBB2/prevention-comment-eviter-bien-des-infections-t24540.html

Bonjour Jean-François et Gilles,Je groupe ma réponse et mes remerciements sur

Bonjour Jean-François et Gilles,

Je groupe ma réponse et mes remerciements sur le même post.

Le rootkit me semble être une bonne piste : l'AV securitoo d'orange a
déclaré il y a seulement quelques heures la présence d'un rootkit qu'il n'a
pu traité qu'en le renommant... l'origine de la "mésorthographie" ?



Oui, pardon pour ce verbiage... j'ai préféré le néologisme construit sur la
structure de 'mésusage', la dysorthographie se rapportant, me semble-t-il à
un trouble du langage écrit plus vaste que la "coquille" maligne à laquelle
nous nous attelons...

Je n'ai obtenu que le premier message d'erreur indiqué dans le post publié
dans "comment ça marche" et précisément après avoir renommer les autorun.inf
en autorun.txt qui n'existent que dans le répertoire d'installation de
l'imprimante HP.
L'imprimante comporte un lecteur amovible qui n'est jamais utilisé.

Si, si, bien sûr, renommé autorun.txt.

Là, ça m'échappe !
Je t'ai bien suivi dans ta suggestion de renommer mais le dossier étant
vide... je n'ai même pas tenté de renommer le vide (une angoisse
métaphysique, probablement) !


J'avais oublié ce Bloc-Note... et c'est peut-être une bonne chose car si le
fichier autorun.inf apparaît dans Word>fichier>ouvrir>D:\(partition
non-système) il reste invisible avec Bloc-Note !? Une fois renommé en .txt
il apparaît et son contenu est lisible sous les 2 éditeurs de textes.


C'est possible car il est bien rempli et windows a dû s'en chargé avant la
panne. Je ne connaissais pas cette "signalisation" en bleu.
OK, donc ça c'est normal.

J'ai bien lu et relu ton article pointu pour tenter de savoir quoi et
comment l'utiliser : chacun en nos domaines nous traitons de
l'habituellement invisible et il faut parvenir à entrer dedans... j'ai eu
quelques lenteurs !
Mais ÇA MARCHE !! Le comportement semble redevenu normal.
Et le Rootkit dans tout ça ??

Arrivé à ce point, je supprimerais bien les fichiers renommés mais est-ce
prudent ?... d'autant que je ne sais pas comment exploiter les programmes
téléchargeables au bout des liens ci-dessous.
ERUNT : OK
GMER : a provoqué un arrêt du système similaire à une coupure d'alimentation
électrique en cours de traitement, redémarrage de Windows avec message de
récupération d'une "erreur sérieuse" !

L'apprenti sorcier ne maîtrise pas la suite des événements !...



... mais la bête et de bois, il faut la pourfendre d'abord !!

À bientôt, donc.
Bien cordialement,
Thierry

*Bonjour Thierry P F * !

*Bonjour Thierry P F * !

J'élague un peu pour clarifier. Insister si j'en ai trop coupé.



L'idée de départ avait été de créer un fichier nommé autorun.inf et de
le protéger en lecture pour empêcher le parasite de créer le sien.
Cette vision naïve avait été retoquée par Gilles qui avait argumenté
qu'il était plus efficace de créer un dossier "autorun.inf" plutôt
qu'un fichier. Le fait que le dossier soit vide est secondaire,
l'objectif est d'occuper le chemin c:\autorun.inf et de gêner le
parasite
http://fspsa.free.fr/contamination-lecteurs-amovibles.htm#comment-se-proteger

La technique est décrite dans l'article de l'ami Gof
http://forum.zebulon.fr/blog/gof/index.php?showentry=540
http://pagesperso-orange.fr/-Gof/screen/5_fl_cle_partiellement_desinf.JPG




Tiens oui, c'est vrai. Il faut dire que je ne procède jamais ainsi.
Une fois rendus visibles les fichiers systèmes et cachés,
je clique directement sur autorun.inf dans l'explorateur de fichiers,
et il s'ouvre dans Bloc-Notes par défaut.

Une autre façon d'opérer qui fonctionne
même si on n'affiche pas les fichiers cachés :
Démarrer>Exécuter>notepad d:\autorun.inf

Notepad.exe étant l'exécutable de Bloc-Notes.
Cette méthode est pratique pour éditer boot.ini rapidement.




Tes disques s'ouvrent à nouveau normalement.
Le clic n'est plus détourné par autorun.inf



C'était une hypothèse de Gilles, voir son message.




Des autorun.inf n'ont rien à faire, en dehors de la volonté expresse de
l'utilisateur, sur les disques durs. Une méthode courante quand on ne
sait pas trop quoi faire avec des fichiers : on les déplace dans un
dossier créé pour l'occasion, avec un petit mot d'explications. Plus
tard, quand on aura constaté qu'il n'y a pas de problème, on pourra
éventuellement supprimer. Perso je garderais tout ce matériel en
souvenir. En général quand on a été victime une fois, ça se reproduit
tôt ou tard (surtout si on travaille en tant qu'Administrateur), et on
aime bien retrouver des infos...

Autre chose : il est évident qu'il faut vérifier tous les lecteurs
amovibles, disques externes, clés USB,...





Oups. Jamais vu une plainte pareille, Herser en saura peut-être plus.
Suggestions :

1/ Désactiver le redémarrage automatique
lors d'une défaillance du système
WIN+Pause pour afficher les Propriétés système
- Onglet Avancé
- Paramètres Démarrage et récupération
- Décocher "Redémarrer automatiquement"
Le BSOD et sera alors affiché en cas d'erreur grave
http://fr.wikipedia.org/wiki/Écran_bleu_de_la_mort
http://fspsa.free.fr/ng/bsod-ne-pas-redemarrer-automatiquement.gif
http://fspsa.free.fr/ng/mse-desactiver-redemarrage-automatique.gif

2/ Essayer gmer en mode sans échec (ou un scan anti-virus)

3/ Tester la ram http://docxp.mvps.org/MemTest.htm

J'ai retesté gmer pour voir (jamais eu de soucis avec)
http://www.gmer.net/gmer.zip
Il scanne actuellement les disques dans poser de problème.

Malwarebytes avait comme tu l'indiques repéré et éliminé des anomalies
(il y a un log ?). En renommant les autoruns.inf tu as supprimé
l'inconvénient qui restait. Je pense qu'en scannant à nouveau avec un
ou deux autres anti-virus cela devrait être ok. Relire le message de
Gilles et rechercher la chaine msq dans le registre et le fichier
windows\msq*.sys

--
Salutations, Jean-François
Index de la FAQ XP de Panthère Noire : http://www.d2i.ch/pn/az
Un problème difficile à décrire ? http://fspsa.free.fr/copiecran.htm
Avast ? Antivir ? AVG 8 ?
http://forum.malekal.com/viewtopic.php?t=11659#p89934

resycled\boot.com

Précision :


Ouvrir, Fichiers de type :
Pour aider l'utilisateur Bloc-Notes
n'affiche que les Fichiers texte (.TXT)
On peut demander l'affichage de "Tous les fichiers".

Fonctionne aussi avec la plupart des programmes :
Taper *.* dans "Nom du fichier" pour afficher tous les fichiers.

--
Salutations, Jean-François
Index de la FAQ XP de Panthère Noire : http://www.d2i.ch/pn/az
Un problème difficile à décrire ? http://fspsa.free.fr/copiecran.htm
Les 50 KB les + consultées : http://support.microsoft.com/gp/desktop50

Bonjour Jean-François,Merci pour ce complément.

Bonjour Jean-François,

Merci pour ce complément.
J'attendais, avant de reprendre le fil, d'observer la pérennité de la
réparation et de la stabilité du système : la partie semble gagnée !

Suivant ton précédent post et celui de Gilles :
- les AV ne détectent rien, Malewarebytes non plus, GMER scanne sans générer
de panne
- la recherche de la chaîne msq dans le registre donne plusieurs occurrences
faut-il les supprimer ?
- la recherche de Windows\msq*.sys ne donne rien (avec l'outil de recherche
de
Windows, mais il y a peut-être mieux ?)

En ce dernier jour de l'année, le sabre qui permit de trancher le noud,
tranche le goulot d'une champenoise que je partage virtuellement avec vous
en remerciement de vos contributions opiniâtres et pertinentes sur 2 fils.
Meilleurs voux pour 2009 !
Bien cordialement,

Thierry