Voila, je vous le donne en mille, je me suis ramassé un des derniers subseven (21MA). Je sais vraiment pas commen il a pu se lancer, car je suis un maniaque de l'antivirus pour tout ce qui passe.
 
Enfin bon, j'ai retrouvé ma machine infectée, et j'ai pris les dispositions qui s'imposent. Le fichier incriminé était : "COMAND.COM" (vous remarquerez l'enorme faute d'orthographe qui m'as permis de le supprimer sans me poser de question   ).
 
Le gros problème, c'est qu'apparement je n'ai pas réussi à désactiver le lancement du petit chéri... ! Résultat, je suis enmbété à chaque lancement de windows, avec une fenètre : "windows ne peut trouver comand.com".
 
J'ai écumé msconfig sans succès (win.ini, boot.ini, system.ini, services).
J'ai fouillé partout dans la base de registre (sous la clef "run" entre autres).
Aucune trace de comand.com !!!
 
Quel autre moyen existe t'il de lancer un programme au démarage ??? Puis-je savoir QUI apelle chaque programme lancé ???

Tu as essayé une recherche intégrale dans la BDR ?

vous n'avez pas un onglet "Démarrage" dans msconfig ??

"Oui" et "oui, j'avais oublié de le lister !"

à quel moment du démarrage ça s'affiche ?

Durant l'ouverture de session (Bienvenue / chargement de vos paramètres personnels).
 
Effectivement je n'avais pas pensé à vérifier, mais je rencontre le pb à chaque ouverture de session !

Je peut être plus précis d'ailleurs, remarque !
 
Premier point : je ne "vois" pas le moment où il se lance, j'etends juste le son 'erreur' (puis je tombe sur la fenètre d'erreur quand le bureau s'affiche, quelques secondes plus tard).
 
Second point : il recherche comand.com avant messenger (car lorsque j'arrive sur le bureau, la fenètre d'avertissement est sous la fenètre messenger).

Donc tu devrais pourtant le voir quelque part dans msconfig (vérifie à nouveau), je pense effectivement plutôt à l'onglet "Démarrage". Agrandi la colonne "Commande" de façon à bien voir son contenu.
 
Toujours rien ?

Mais ce serait pas plus simple de passer par un anti-troyen style "The Cleaner" ?    
 

Pour the cleaner, ça m'étonnerais, car j'ai écumé tous les modes de lancement connus pour subseven. Il faut savoir que c'est un outil de lamer, donc plus ou moins paramétrable par la personne qui m'as infecté.
 
 
Pour ce qui est du lancement via le démarage, j'ai fait très fort : j'ai TOUT desactivé dans msconfig ("Mode diagnostic" ). Resultat windows cherche toujours command.com !!!!!!!    
 
Là je crois que ça commence à devenir méchant !!

 
ouais bon c'est sur que c'est vraiment de la merde ces troyens  
 
et sinon sur le net t'as pas trouvé un outil de désinfection spécial subseven ? ca doit se trouver ca sur ces sites de pseudo-hackers-lamers-gonzesse-de-mes-couilles..

Non, tu ne vois pas le problème : c'est un virus configurable par la personne qui t'infectes, autrement dit c'est le gars qui m'as infecté qui a déterminé par quelle méthode se lance le virus : ce n'est pas standardisé, donc il n'y a pas d'outil automatique !

et là ? :
 
Démarrer > Executer > gpedit.msc > Configuration utilisateur > Paramètres Windows > Scripts(ouverture/fermeture de session) > Ouverture de session

Rien, nada, vide, empty, nothing... Domage car ça parraissait bien correspondre

En fait, pour tenter d'être toujours un peu plus précis, il semblerait que ce soit une des toutes premières choses qu'il fasse quand je lance l'ouverture de session (message d'erreur environ une seconde après que j'aie cliqué sur le profil utilisateur).

Je viens de trouver ça dans un fichier nommé setupapi sur mon disque dur système :
 
 
(... grosse tartine....)
[2002/11/06 23:00:15 3192.5]
#-198 Ligne de commande traitée : "C:\Program Files\Internet Explorer\iexplore.exe"
[2002/11/19 15:09:22 1520.1189]
#-199 Exécution de "C:\WINDOWS\Explorer.exe" avec la ligne de commande : Explorer.exe comand.com
#-166 Fonction d'installation de périphérique : DIF_PROPERTYCHANGE.
#I292 Modification en cours des propriétés du périphérique de "ROOT\MS_PSCHEDMP\0000".
#I306 DICS_START : Le périphérique a été démarré.
[2002/11/19 15:09:22 1520.1190]
#-199 Exécution de "C:\WINDOWS\Explorer.exe" avec la ligne de commande : Explorer.exe comand.com
#-166 Fonction d'installation de périphérique : DIF_PROPERTYCHANGE.
#I292 Modification en cours des propriétés du périphérique de "ROOT\MS_PSCHEDMP\0001".
#I306 DICS_START : Le périphérique a été démarré.
[2002/11/19 19:17:08 1520.1994]
#-199 Exécution de "C:\WINDOWS\Explorer.exe" avec la ligne de commande : Explorer.exe comand.com
(... grosse tartine....)
 
Là je crois que je le tient !!!! Le seul souci ? Je ne sais pas où je peut trouver tout ça. Par contre, je sais que ça vient d'une ligne de commande pour le lancement d'explorer.
 

 
si,si je vois le problème    
 
je sais que c'est plus ou moins paramètrable par le mec, mais faut pas oublier non plus qu'il n'y a pas 582'000 façons de lancer un script ou un .exe etc.. au démarrage de windows ! Installe subseven, et regarde les options que tu as pour infecter un mec... ca te montreras toutes les possibilités différentes pour executer cette petite merde au démarrage...

Je trouve ça aussi, dans le dossier system32\wbem\logs\framework :
 
 
[d:\xpclient\admin\wmi\wbem\providers\win32provider\common\implogonuser.cpp.163]
Shell Name Explorer.exe comand.com in Registry not found in process list. 10/23/2002 23:49:48.786 thread:1632  
 
Et j'arrive toujours pas à trouver d'où ça vient !!!!!!

 
Non non tu ne vois pas le problème : je veux le supprimer, pas l'installer    ( )

et là ? :
 
Démarrer > Executer > gpedit.msc > [Configuration utilisateur] ET [Configuration Ordinateur] > Modèles d'administration > Système > Ouvereture de session > Executer ces programmes à l'ouverture de session utilisateur

"elements à executer à l'ouverture de session : aucun"  

 
       
 
ça c'est dans la BDR !!!!!
 
et c'est là : HKEY_CURRENT_CONFIG\System\CurrentControlSet\Enum\ROOT\MS_PSCHEDMP\0000
HKEY_CURRENT_CONFIG\System\CurrentControlSet\Enum\ROOT\MS_PSCHEDMP\0001
chez moi les deux valeurs de donnée sont vides par défaut.

 
Helas, c'est vide chez moi aussi ! Mais je suis de plus en plus convaincu que c'est dans la bdr, en effet !
 
En recherchant explorer.exe, je trouve certaines clefs qui le lancent avec un paramètre, dans le genre : "...\explorer.exe,13". Je me demande si ça viendrait pas de là, puisque je sais que la chaine "comand.com" n'est pas dans la base de registre !!!!

non, 13 c'est un numéro d'icône...

 
DOmage  

 
accchh ! Tu é um pétit rigolo !

Si señor, yé suis un petite rigolo    
 
En attendant, j'essaye the cleaner, qui ne trouve rien de rien !  

Bon d'après µsoft, SetupAPI concerne l'installation/désinstallation/référencement des fichiers/scripts de configuration matérielle, donc fait une recherche sur l'ensemble de ton disque sur les fichiers .INF contenant comand.com (peut importe maj/minus)

J'ai fait beaucoup mieux, j'ai recherché TOUS les fichiers contenant la chaine comand.com.
 
C'est de là que venait ma "découverte" de setupapi.
 
Autrement dit, aucun inf sur mon système n'appelle comand.com !
 
 
Tout ce que j'ai trouvé de potentiellement interessant, c'est un fichier nommé :
COMAND.COM-06AF87BE, dans le dossier c:\windows\prefetch

Tiens non j'ai trouvé ça aussi, dans un fichier xml "collecteddata_2325", dans un sous-repertoire de windows\PCHEALTH :
 
  <?xml version="1.0" encoding="unicode" ?>  
- <CIM CIMVERSION="2.0" DTDVERSION="2.0">
- <DECLARATION>
- <DECLGROUP.WITHPATH>
- <VALUE.OBJECTWITHPATH>
- <INSTANCEPATH>
- <NAMESPACEPATH>
  <HOST>CREATION</HOST>  
- <LOCALNAMESPACEPATH>
  <NAMESPACE NAME="root" />  
  <NAMESPACE NAME="cimv2" />  
  </LOCALNAMESPACEPATH>
  </NAMESPACEPATH>
- <INSTANCENAME CLASSNAME="Win32_StartupCommand">
- <KEYBINDING NAME="Command">
  <KEYVALUE VALUETYPE="string">comand.com</KEYVALUE>  
  </KEYBINDING>
- <KEYBINDING NAME="Location">
  <KEYVALUE VALUETYPE="string">HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</KEYVALUE>  
  </KEYBINDING>
- <KEYBINDING NAME="Name">
  <KEYVALUE VALUETYPE="string">ShellLoader</KEYVALUE>  
  </KEYBINDING>
- <KEYBINDING NAME="User">
  <KEYVALUE VALUETYPE="string">All Users</KEYVALUE>  
  </KEYBINDING>
  </INSTANCENAME>
  </INSTANCEPATH>
- <INSTANCE CLASSNAME="Win32_StartupCommand">
- <PROPERTY NAME="Command" TYPE="string">
  <VALUE>comand.com</VALUE>  
  </PROPERTY>
- <PROPERTY NAME="Location" TYPE="string">
  <VALUE>HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</VALUE>  
  </PROPERTY>
- <PROPERTY NAME="Name" TYPE="string">
  <VALUE>ShellLoader</VALUE>  
  </PROPERTY>
- <PROPERTY NAME="User" TYPE="string">
  <VALUE>All Users</VALUE>  
  </PROPERTY>
- <PROPERTY NAME="Change" TYPE="string">
  <VALUE>Delete</VALUE>  
  </PROPERTY>
  </INSTANCE>
  </VALUE.OBJECTWITHPATH>
  </DECLGROUP.WITHPATH>
  </DECLARATION>
  </CIM>

 
ça c win qui concerve des info sur les prog lancés, pour ensuite en tirer parti lors de la défrag
 
Pour le fichier XML, il semble évident que le putain de comand se trouve dans Run (BDR), alors pkoi tu le vois pas, je comprends pas....
 
Bon là, c'est l'heure de la collation, on verra tout ça àprès

Oui, moi aussi je vais manger.
 
Juste pour te convaincre : j'ai détruit toutes les clefs sous "/run" (après sauvegarde, hein !   ), et rebooté la machine : il cherche toujours comand.com  

Bon, ça commence à me gonfler serieusement cette histoire.
 
Pour resumer ce que j'en pense actuellement...
 
Il doit exister un endroit permettant à windows d'effectuer un certain nombre d'opérations au démarage, et cette cochonerie de backdoor s'en sert pour se lancer au démarage sans apparaitre dans le registre :
 
 
- <VALUE.OBJECTWITHPATH>
- <INSTANCEPATH>
 
- <NAMESPACEPATH>
  <HOST>CREATION</HOST>  
- <LOCALNAMESPACEPATH>
  <NAMESPACE NAME="root" />  
  <NAMESPACE NAME="cimv2" />  
  </LOCALNAMESPACEPATH>
  </NAMESPACEPATH>
 
- <INSTANCENAME CLASSNAME="Win32_StartupCommand">
- <KEYBINDING NAME="Command">
  <KEYVALUE VALUETYPE="string">comand.com</KEYVALUE>  
  </KEYBINDING>
- <KEYBINDING NAME="Location">
  <KEYVALUE VALUETYPE="string">HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</KEYVALUE>  
  </KEYBINDING>
- <KEYBINDING NAME="Name">
  <KEYVALUE VALUETYPE="string">ShellLoader</KEYVALUE>  
  </KEYBINDING>
- <KEYBINDING NAME="User">
  <KEYVALUE VALUETYPE="string">All Users</KEYVALUE>  
  </KEYBINDING>
  </INSTANCENAME>
  </INSTANCEPATH>
- <INSTANCE CLASSNAME="Win32_StartupCommand">
- <PROPERTY NAME="Command" TYPE="string">
  <VALUE>comand.com</VALUE>  
  </PROPERTY>
- <PROPERTY NAME="Location" TYPE="string">
  <VALUE>HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run</VALUE>  
  </PROPERTY>
- <PROPERTY NAME="Name" TYPE="string">
  <VALUE>ShellLoader</VALUE>  
  </PROPERTY>
- <PROPERTY NAME="User" TYPE="string">
  <VALUE>All Users</VALUE>  
  </PROPERTY>
- <PROPERTY NAME="Change" TYPE="string">
  <VALUE>New</VALUE>  
  </PROPERTY>
  </INSTANCE>
  </VALUE.OBJECTWITHPATH>

Je me demande si c'est pas Explorer.EXE qui aurait été modifié...
 
Dans C:\Windows fait une copie de explorer.exe en explorer.txt, ouvre le avec le notepad (il peut être un peu long à s'ouvrir, patiente...) et fait une recherche de texte sur "comand". En principe il ne doit rien trouver, s'il trouve qqch ben spa cool
 
Sinon, ben on va continuer à chercher :'(

Bien tenté mais non.    
 
Ouinnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn !

arrrrrrrrrrrrrrrrrrrrr          
 
           

Bon, je viens de faire de même avec à peu près tous les executables de windows, et toujours rien.
 
A mon avis, il n'y a plus qu'une chose à faire : ré-installer. Au point où j'en suis, c'est encore le plus rapide.
 
J'avoue que j'aurais préféré trouver : c'est frustrant de devoir en arriver là pour une petite backdoor, qui n'as d'ailleurs jamais pu fonctionner puisque j'ai un firewall sur lequel ne sont ouverts que quelques ports qui me sont utiles !
 
En tous cas, merci pour votre aide : grace à vous, on pourra dire que tout ce qui était possible a été tenté !
 
 
Bref, désolé que ça se finisse comme ça, et encore merci du coup de main !

attends !!!!
 
T'as regardé dans les tâches planifiées ?

Non, pas pensé ! Je vais voir ça.
 
Dans le pire des cas de toutes façons j'attendrais demain pour réinstaller, j'ai pas l'intention de me gacher la veille de noël avec une réinstall  

Bon, j'ai pas de tache planifée donc comme ça ça regle le problème   .
 
J'ai regardé dans le journal, il me mets une tâche planifée "idle" qui s'est executée une dizaine de fois le 27/11...