Bonjour chers collègues
J'ai beau être modérateur en informatique, je ne suis pas à l'abri des surprises. Mon antivirus Comodo vient de me révéler une infection. Ci-joints : une capture d'écran de Comodo (je n'ai pas validé pour le moment sa proposition de désinfection) et les logs RSIT. Bien entendu le répertoire C:\SYS_DAT est totalement invisible.
Merci par avance de votre aide.
info.txt
log.txt
Comodo.png
Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
Bonjour,
une recherche Google m'a mené à un topic ouvert par JPL et où Antivir avait décelé le répertoire.
Ca semblait lié à Magic Folders.
Ce qui est bizarre est que Comodo ne le voit qu'aujourd'hui.
===
Tu nettoies avec Comodo, tu fais redémarrer l'ordi et tu vois si Comodo te les trouves encore.
Si oui, on avisera.
Si non, je ne vois rien dans le rapport RSIT mais on poussera les investigations.
@+
Je n'ai pas l'air idiot après ça !
Il est exact que j'avais testé dans le temps cet utilitaire, comme beaucoup d'autres, puis je l'ai complètement oublié, d'autant qu'il ne figure pas dans les programmes à désinstaller. Mais toutes vérifications faites il est encore sur mon ordinateur. Je viens de virer ce que j'ai trouvé à la main. Je suppose que pour une désinstallation propre il faudrait la faire en entrant dans le programme lui-même... mais comme je n'ai pas retrouvé le mot de passe qui le protège il m'a fallu faire sans. Par contre j'ai le souvenir vague que ce machin installe un driver ou une dll dans Windows, mais je ne sais pas sous quel nom.
Curieusement, alors que je n'avais pas validé la proposition de désinfection de Comodo il ne me trouve plus rien. Je verrai ce qui se passe après un redémarrage.
Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
Après redémarrage l'antivirus ne signale toujours rien. Pourquoi cette détection est-elle survenue aujourd'hui et pas avant ? Pourquoi a-t-elle disparu ? Mystères.
Par contre je crois qu'il existe des outils de détection de rootkits qui permettent de voir ces répertoires cachés par des moyens non orthodoxes. J'aimerais bien supprimer C:\SYS_DAT qui est toujours présent (je viens de vérifier que Search Everything le voit mais il est verrouillé). Pouvez-vous m'en indiquer un qui ferait l'affaire ? En effet ce qui m'ennuie c'est de ne pas avoir pu désinstaller Magic Folders proprement.
Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
Re,
tu peux faire ça que j'en vois un peu plus :
Télécharge ZHPDiag
Enregistre le sur ton Bureau.
Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
Double clique sur le raccourci ZHPDiag sur ton Bureau.
/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.
Clique sur la loupe pour lancer l'analyse.
A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.
Ouvre le fichier sauvegardé (ZHPDiag.txt) avec le Bloc-Notes et copie son contenu dans ta réponse en pièce-jointe.
@+
Une réponse quelque minutes après !
Everything me montre le contenu du répertoire caché. Apparemment il contient une copie complète de Magic Folders. Une recherche sur quelques fichiers du répertoire (dll, ocx, exe) montre qu'ils existent également dans Windows, ou System32 ou Drivers. À la limite je pourrais faire le dernier nettoyage à la main mais il resterait toujours cette copie cachée et peut-être des clés de registre (je n'ai pas encore vérifié ce dernier point).
J'ai pensé à un moment réinstaller le programme et mettre sur cette installation neuve un nouveau mot de passe, mais comme je vois que le répertoire caché contient un fichier .cfg, je pense que mon ancien mot de passe oublié y est et que je suis coincé. Pourquoi diable pour faire un essai n'ai-je pas mis un mdp passe-partout qui me sert généralement ?
Voici le rapport demandé :
ZHPDiag.txt
Merci.
Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
Re,
je ne vois pas de traces de Magic Folders dans les logiciels ou répertoires.
On va voir si ZHP voit le répertoire.
Relance ZHPDiag par clic droit et Exécuter en tant qu'Administrateur, clique sur les jumelles pour lancer ZHPSearch et tape Syz_dat.
Vérifie que toutes les cases de la colonne Mode de recherche sont cochées.
Clique sur la loupe pour lancer l'analyse.
Donne moi le résultat.
@+
Ce n'est pas la peine que je joigne le rapport : il n'a rien trouvé.
Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
Bonjour,
est ce que le DOS le voit ?
Tu fais Démarrer, tous les programmes, Accessoires, clic droit sur Invites de commandes, Exécuter en tant qu'administrateur, tu te mets sur C: et tu tapes dir.
Le répertoire y est ?
Si oui, Delete le supprime ?
@+
Non, j'avais déjà vérifié. C'est bien blindé !
Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
J'ai aussi dans le sous-répertoire drivers mfx.sys qui a tout l'air d'avoir été installé par Magic Folders (vu que le répertoire caché contient d'autres fichiers MFX) et qui est invisible (sauf pour EveryThing) et totalement verrouillé.
Et dans le registre il y a HKEY_LOCAL_MACHINE\SYSTEM \ControlSet001\Enum\Root\LEGAC Y_MFX qui, dans le sous-répertoire Control contient : ActiveService ===> REG_SZ : MFX
Bien entendu aucun service MFX ou Magic Folder n'est visible quand on affiche les services. À ton avis puis-je tenter de supprimer cette clé (après copie de sauvegarde) ?
Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
Re,
mfx.sys est bien lié à MagicFolders.
Tu peux essayer de supprimer la clé LEGACY_MFX.
As tu essayé de modifier les attributs du répertoire ?
@+
Je vais essayer pour la clé du registre. Par contre les attributs du répertoire syz_dat ne peuvent pas être modifiés : Windows ne le voit pas et si Everything le voit c'est, d'après ce que j'ai lu, parce qu'il va piocher directement ses informations dans NTFS. Par contre si avec Everything on peut manipuler normalement les fichiers et les répertoires (donc les effacer si on veut) ce qui est caché par Magic Folders ne peut absolument pas être effacé : c'est comme si on le voyait à travers une vitrine.
Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
Re,
tu as un Live Cd sous la main ?
Si oui, il voit le répertoire ?
@+
Ah, pas bête. J'en ai un un peu ancien. Je vais quand même essayer auparavant la clé du registre : je fais l'hypothèse que si le driver n'est plus actif ce qui est caché deviendra peut-être visible. Je ferai mes essais plus tard et je te tiendrai au courant.
Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
Clé de registre ineffaçable (c'est bien protégé !). Quant à mon live CD, il ne boote plus. Trop tard ce soir pour un charger et en graver un autre.
Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
La seule solution était en effet le Live CD. Merci.
Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
Bonjour,
je ne sais pas si c'était la seule, mais c'est heureux qu'elle ait fonctionné.
Tu as pu supprimer la clé ?
De rien pour l'aide, c'est un plaisir.
@+
La clé résiste à la suppression. Mais comme elle ne s'applique plus à rien ce n'est pas un problème.
Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
Re,
exact.
Deux possibilités (quand même) :
- en mode sans échec
- en vérifiant les autorisations sur la clé.
@+
Interdiction de modifier les autorisations. Je verrai le mode sans échec plus tard.
Rien ne sert de penser, il faut réfléchir avant - Pierre Dac
