[Phénox]

Pour les amateurs de casse-tête, en voici un de taille.

Voila en gros de quoi il retourne :

L'autre jour, alors que je surfais gaiement sur la toile, Norton se réveille et me déclare avec sa bonne humeur habituelle qu'il a détecté un Backdoor.Trojan sur ma poêle à frire, et que le petit malin se cache dans le fichier C:\Windows\System32\Logb.dll.

Il ajoute perfidement que l'animal, en cours d'utilisation, ne peut être ni quarantainé ni supprimé. Banal me direz-vous. Aussi, n'écoutant que mon courage, je bondis dans mon Explorateur à la rencontre du malpoli, histoire de l'agonir d'insultes avant de le foudroyer.

Quelle ne fut pas ma surprise de constater que le coquin n'existait pas. Queudale, balpo, nib. Je fais une recherche globale, rien non plus. Etrange hein ? Bon, peut-être que Norton l'a déjà flingué sans m'en aviser. Je file dans les rapports de Norton : Aucune trace d'un quelconque fichier de ce nom.

Et pourtant à chaque ouverture d'appli, chaque changement de page, le même message laconique réapparaît. Agaçant. Pour sûr, le fripon a fait ses besoins dans ma base de registre. Et hop, exécuter Regedit.exe.

Effectivement il a ajouté une clef dans la base de registre à l'adresse : HKLM\software\Microsoft\Windows NT\CurrentVersion\Windows (je suis sous WinXP Home). Et ça dit ceci :

AppInit_Dlls ... REG_SZ ... c:\windows\system32\logb.dll

Autrement dit, chaque fois que j'ouvre une appli, voire que je change de page, le système accède à cette clef et l'exécute. Vous allez me dire que la dll n'existant pas, il ne devrait pas y avoir de problème.

Et bien si, Norton se réveille et gueule comme un putois comme quoi je suis envahi par les martiens. Donc a raison de 12 messages par changement de page, ça fait lourd au bout d'une heure.

Je nettoie 3 fois mon ordi, scan complet, définitions de virus à jour : Il ne trouve rien. Idem en mode sans échec. J'ai utilisé 3 fois Lavasoft Ad-Aware 6, queudale, et 3 fois Webroot Spy Sweeper, quetchique. J'ai lancé RegCleaner, rien.

Qu'à cela ne tienne, je me suis dit : Tiens, je vais sucrer l'entrée dans la base de registre. Aussitôt dit, aussitôt fait. Je supprime, je ferme regedit et je le rouvre : ma ligne est revenue. Je modifie la ligne, elle se remet à l'identique. J'essaie en désactivant la restauration automatique : idem.

En revanche lorsque je suis en mode sans échec, cette entrée n'apparaît pas dans la base de registre. Bizarre. Je pense qu'il s'agit d'un Gremlins.

Google ne donne aucune indication sur LOGB.DLL, Symantec non plus.

J'ai essayé de créer un fichier texte dans le dossier Windows\System32 en le nommant LOGB.DLL mais le système refuse au motif qu'un fichier portant ce nom est déjà en cours d'utilisation. Pas banal ça !

Et pourtant quand je vais sous DOS, aucun fichier ne porte ce nom là.

J'ai essayé d'utiliser MSCONFIG pour chercher l'intrus. En désactivant tous les services et tous les programmes de démarrage (sauf Norton), ça pouete encore après redémarrage.

C'est plus fort que moi. Si quelqu'un a une idée lumineuse à tester, je suis preneur. On m'a déjà conseillé le formatage, mais je ne mange pas de ce pain là. C'est pas un paquet d'octets mal fagotés qui vont me pourrir l'existence. Eventuellement je concèderais l'exorcisme ou la danse des canards, mais pas le formatage. Non mais !


Vinx > Je supprime la couleur, merci pour nos yeux

[Vinx Itak]

N'oublie pas qu'une DLL est un fichier système et tu dois donc -dans les options de l'explorateur windows- les laisser apparaître

> edit : autant pour moi, ça apparait j'ai dis une betise

[Aloïsius]

C'est pas tout simplement un fichier caché/système ?

[Phénox]

Bien entendu, c'est pour cela que je suis en permanence dans le mode "Afficher les fichiers systèmes et les fichiers cachés, même les plus inavouables"

[Slaughter In A Grave]

J,allais suggérer cela, mais bon, si c'est pas ca..

L'autre chose que je verrais, c'est que ca soit un fichier VRAIMENT invisibles, au même type que le repertoire OLKxxx dans Temporary Internet Files, qui contient tout les pieces jointe outlook qu'on ouvre. Ce repertoire n'est voyant, même avec l'option d'afficher les fichiers et dossiers cachés. Il faut le taper manuellement pour lui acceder.

Sinon tu as essayer de taper dans le menu démarrez --> Executer regserv32 /u "le chemin du fichier/logb.dll" ou carrement un regserv32 /u logb.dll ?

sinon solution Ultime, essaye le prog "HiJackThis.exe"

[Melchiorus]

Regarde si tu le vois avec Nero
J'ai des fichiers que je ne vois pas sous windows mais que je vois sous Nero (et pourtant j'ai aussi l'option coché qui est censé tout afficher)

[Phénox]

Merci Thrashing Rage pour les conseils.

Y'a seulement que je ne possède pas l'exécutable Regserv32. Dommage. Je suppose que le /u servait à décharger le fichier. Quant à HighJackThis, sur tes conseils je l'ai téléchargé (V1.97.7) et utilisé. Hélas mon Logb.dll n'y apparaît pas. Arfouille.

Melchiorus, tu as eu une idée de génie : En effet je vois le fichier au travers de Nero Burning Rom. Il existe bien le salopard ! Mais il est intouchable tant qu'il est en cours d'utilisation.

j'ai envisagé de passer par le mode sans échec pour qu'il soit endormi. Hélas, il n'est pas présent dans ce mode.

J'ai également utilisé le gestionnaire de tâches en tuant un maximum de processus en cours. Peine perdue. Ca m'a d'ailleurs joyeusement planté Windows.

Par quel moyen pourrais-je décharger cette saleté pour pouvoir la flinguer ?

[Smalo]

Peut être que le virus que tu as c'est un bon hacker qui la fraîchement crée, c'est pour ca que aucun logiciel le supprime.

La derniere solution pour toi est de Formater

[Arkanne]

http://forums.spywareinfo.com/index....ic=12609&st=15

Le seul truc trouvé sur google, essaye ptet le prog dont ils parlent...

[IEFBR14]

Citation :

Publié par Phénox

Bien entendu, c'est pour cela que je suis en permanence dans le mode "Afficher les fichiers systèmes et les fichiers cachés, même les plus inavouables"

ATTENTION .... il y a 2 options ... "afficher les fichiers et dossiers cachés" et "Masquer les fichiers protégés du système d'exploitation (recommandé)" qui va afficher les fichiers "secrets" de windows (le fameux répertoire OLK* de temporary internet files ou Boot.ini entre autre... )


tu as essayé de faire une sauvegarde de ton registre et de supprimer toutes les occurrences de logb.dll ? (oublies pas la sauvegarde du registre... ) une fois qu'il n'apparaîtra plus dans ton registre, tu pourra l'effacer.

[Ezechiel]

Il existe 1 prg ki permet de supprimer des fichiers en cours d'utilisation. Mais c con g plus le nom exact du prg sous les yeux. C t qqch comme DCopy ou qqch comme ça. Un freeware efficace. Faudrait ke je retourne chez moi ce vendredi après-midi et je te PM si jamais.

[Paice]

Bon, on peut essayer un truc :

Tu boote sur le CD, tu passe en mode réparation en ligne de commande, le systeme te demande le mot de passe du compte administrateur (celui que tu as rentré en installant).

Là, tu vas dans le répertoire ou se trouve la bête

tu tapes

Attrib -S -H Logb.dll

puis

del Logb.dll

et tu tapes exit pour que ta machine reboote...

[Melchiorus]

Heu vous êtes sûr d'avoir lu que le fichier n'existait pas quand il lançait windows en mode sans échec ?
Essayer de le supprimer est inutile, ce qu'il faut trouver c'est ce qui créé ce fichier à chaque démarrage normal.

[Phénox]

Tout d'abord je vous remercie tous du temps que vous avez consacré à chercher des solutions. Vous n'étiez pas loin de la solution. Je vous la livre après l'avoir obtenue sur le NewsGroup de Microsoft. C'est bien tordu mais ça marche :

1) Exécuter Regedit,
2) Renommer HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows en Windows2,
3) Supprimer la valeur AppInit_DLLs dans le panneau de droite,
4) Le troyen, privé de repère, est dans l'incapacité de recréer la ligne immédiatement comme il le faisait auparavant.
5) Renommer Windows2 en Windows
6) Quitter Regedit.

7) Aller dans l'Explorateur Windows, à C:\Windows\System32
8) Constater que la DLL est maintenant VISIBLE ! active certes, mais visible ce qui change tout.
9) Passer en mode sans échec et tuer la saloperie pendant qu'elle roupille.
10) Nettoyage réussi.

Pour vous remercier, je vais vous chanter une chanson :
....La Maman du poisson, elle est bien gentilleuuuu....
bon d'accord, je me tais.

[Fanley]

Citation :

Publié par Melchiorus

Heu vous êtes sûr d'avoir lu que le fichier n'existait pas quand il lançait windows en mode sans échec ?
Essayer de le supprimer est inutile, ce qu'il faut trouver c'est ce qui créé ce fichier à chaque démarrage normal.

Ce n'est pas le fichier qui n'existait pas (puisqu'il ne l'a jamais trouvé) mais la clef dans la base des registres.

A ce propos, Maitre Pipier, tu te connectes en administrateur en permanence? Ou as tu plusieurs "comptes" windows avec ton garnement? (j'essaye de comprendre comment ça peut apparaître en win normal et pas en win sans echec...)

[Edit: zut, en retard moi...]

[IEFBR14]

Citation :

Publié par Melchiorus

Heu vous êtes sûr d'avoir lu que le fichier n'existait pas quand il lançait windows en mode sans échec ?
Essayer de le supprimer est inutile, ce qu'il faut trouver c'est ce qui créé ce fichier à chaque démarrage normal.

c'est toi qui a mal lu... le fichier n'apparaît pas dans le "registre" en mode sans échec (et pour cause) mais il existe bel et bien.

[Melchiorus]

Mouarf c'était Nero qui n'était pas présent en mode sans échec et pas la dll ?
Bon bah je retire ce que j'ai dit mais il faudrait être un peu plus clair

[Fanley]

Citation :

Publié par Melchiorus

Mouarf c'était Nero qui n'était pas présent en mode sans échec et pas la dll ?
Bon bah je retire ce que j'ai dit mais il faudrait être un peu plus clair

Il n'a jamais été question de Nero et il a été très clair: il s'agit d'une clef (ou entrée) dans la base des registres.

[Phénox]

J'y vois un peu plus clair maintenant.

Le troyen avait deux actions :

1) recréer la ligne d'appel dans la base de registre chaque fois qu'on la supprimait, ou la modifiait.
2) Masquer la DLL dans C:\Windows\System32.

Or dans le mode sans échec, le troyen est inactif. Donc il ne crée pas la ligne dans la base de registre. En revanche, la DLL est toujours masquée. C'est pour cela que j'ai dit qu'elle n'existait pas, à tord.

Maintenant vous me direz que Nero ne la voyait pas non plus. va comprendre. Et d'abord, pourquoi Nero la voyait-il en mode normal, il est mieux foutu que l'Explorateur ?

Le nom de la DLL incriminée est aléatoire, ce qui explique que ni Google, ni Symantec ne pouvait donner de solution. Pfiou

[Melchiorus]

Citation :

Publié par Phénox

En revanche, la DLL est toujours masquée. C'est pour cela que j'ai dit qu'elle n'existait pas, à tord.

*Tire la langue aux 2 autres*
Enfin bon le problème est réglé c'est ça le principal

[Paice]

La DLL est marquée comme Système et cachée par le résident lorsqu'il est présent.

Donc elle n'est pas visible en mode sans echec, sauf a afficher les fichiers systèmes, non ?

[Slaughter In A Grave]

Citation :

Publié par Phénox

Merci Thrashing Rage pour les conseils.

Y'a seulement que je ne possède pas l'exécutable Regserv32. Dommage.

Normal, j'ai donné le mauvais nom, c'était plutot "regsvr32"

Dsl

Au moins c'est reglé

[Sadyre]

Il y a une possibilité, si ta partition windows est en NTFS : les streams.
Je te conseille la lecture de cette faq ainsi que celle ci, plus claires que celle de microsoft qui passe son temps à changer d'adresse.

Sur le site de la 1ere faq, tu trouveras dans la rubrique software l'outil LADS, à utiliser en ligne de commande et qui est capable de lister les fichiers appartenant à des streams différents. C'est le seul moyen de lister un fichier n'étant pas disponible via l'explorateur, pour peu qu'il soit correctement configuré et donc sur un autre stream.
La surprise par contre est que Nero fasse appel aux fonctions ADS en mode normal, ces dernières étant inaccessibles en mode sans échec, ce qui explique le fait qu'il n'affichait rien.

Pénible n'empêche de voir des virus se servir de ça, c'est vraiment le genre d'info qu'il vaut mieux laisser au fond de la tombe

[Arest]

Merciii Phénox !!

J'avais le même problème et je commençais a désespérer.