ipl_001

Bonsoir goldendemon, tesgaz, bonsoir à tous, Que se passe-t-il dans cette discussion ? Je n'ai lu, pour le moment qu'en diagonale et j'y vois un goldendemon qui demande de l'aide et qui finalement m'a tout l'air de se moquer de tous ceux qui veulent l'aider avec tous ses smileys ridicules et ses phrases dithyrambiques ! Le monde à l'envers !!! Tiens, tu devrais parcourir le "KRC Anti-Spyware Tutorial" de greyknight17, connaisseur du monde antimalware et administrateur de forum (et un de mes amis en plus) ; il s'éloigne de Microsoft AntiSpyware : (source : http://www.greyknight17.com/spyware.htm )

Bonsoir tirol, Jack_Burton, bonsoir à tous, Je ne sais pas si bien se protéger consiste à rechercher le meilleur et surtout à changer sans cesse ! Je pense qu'il faut connaître son logiciel, bien le paramétrer et, surtout, tenir compte de ses atouts et de ses faiblesses en compensant ! Je peux me tromper mais il me semble que PrevX surveille la base de registres, ce que ne fait pas un antivirus ! D'autre part, si tu veux tester les capacités de ton logiciel, tu peux lui installer des "appats" ! Ce n'est pas à toi que j'apprendrai que si tu veux tout savoir sur PrevX, tu dois aller sur PC Astuces et lire les rapports réguliers de MacPeter : le fan de PrevX !

Bonsoir socke, charles ingals, bonsoir à tous, Si ton rapport a été fait en mode sans échec, que font donc ces processus ? ces lignes ne devraient pas y être ! Les as-tu lancées toi-même ? sinon, c'est inquiétant !!!

Bonsoir PHIL76, Nico76300, Pollux_63, Zonk, bonsoir à tous, Ne sombrons pas dans la psychose... Il y a des ActiveX dangereux tout comme il y a des cookies dangereux, tout comme il y a des .EXE ou des .DLL dangereux ! Il est recommandé de surveiller les ActiveX qui pourraient s'installer mais lorsqu'il s'agit de l'ActiveX installé par Panda ou un site/programme connu, il faut l'accepter ! Si tu fais confiance à Panda, il n'est peut-être pas utile de le traquer... ou il est bon, ou il est néfaste lors de l'install. Je ne crois pas qu'un organisme sous les projecteurs s'amuserait à trahir ! Certains sont connus pour ne jamais hésiter (MicroSoft, etc.) mais tout de même !!!

Bonsoir lordtoniok, Nico76300, bonsoir à tous, Je reproduis ici ce que Yann a mis dans le calendrier : Longue vie à Zebulon ! Merci à Yann pour son excellent site !

Bonsoir grenouille, Je ne sais pas te répondre mais tu as raison, ta question mérite d'être examinée de près !

Rebonsoir LittlePooh, rebonsoir à tous, Je ne trouve vraiment pas ton pseudo du meilleur goût ! -1- Imprime ou sauvegarde ces instructions dans un fichier .txt de manière à pourvoir le consulter en mode sans échec. -2- Télécharge et installe EasyCleaner de Toni Helenius ( http://personal.inet.fi/business/toniarts/ecleane.htm ) -3- Redémarre l'ordinateur en mode sans échec. -4- Désactive TeaTimer le temps du nettoyage, tu le réactiveras lorsque tout sera propre ! Pour ce qui est lu nettoyage de ton système, fais nous un peu confiance ! -5- Désinstalle cette application (si tu trouves) dans Ajout-Suppression de programmes : --- FlashGet (c'est un pourvoyeur de malwares et il ne sert pas à grand chose pour les téléchargements) Il se peut que certaines des lignes n'apparaissent plus du fait du nettoyage déjà effectué. -6- Relance un scan HijackThis, clique sur "Do a system scan only" et coche les lignes ci-dessous : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file) O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRAM FILES\EBLOCS\SPYBLOCS\{3B1BCF60-1556-11DA-954C-444553540000}\QUARANTINE\DATA\FGIEBAR.DLL (file missing) O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe Il serait bon de désactiver TeaTimer le temps d'effectuer le nettoyage de ton système ; tu réactiveras après ! O8 - Extra context menu item: Download using FlashGet - C:\PROGRAM FILES\FLASHGET\jc_link.htm O8 - Extra context menu item: Download All by FlashGet - C:\PROGRAM FILES\FLASHGET\jc_all.htm -7- Ferme toutes les fenêtres sauf HijackThis et "Fix Checked". -8- Supprime les fichiers/dossiers incriminés (s'ils existent encore) par l'Explorateur Windows : --- C:\PROGRAM FILES\FLASHGET (supprime le dossier) --- C:\PROGRAM FILES\EBLOCS (supprime le dossier) En cas de difficultés, vérifier l'option d'affichage des fichiers, les attributs "Lecture seule", etc. - suppression des fichiers inutiles par EasyCleaner-Inutile(s) - vidage des zones de quarantaine éventuelles - nettoyage de la base de registres par EasyCleaner-Registre -9- Redémarre l'ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification. -10- Qu'en est-il de dysfonctionnements éventuels ? Ceci concerne le nettoyage dans une optique malware ; lorsque ton ordinateur sera bien propre, on pourra aller au delà en parlant optimisation de ton système !

Bonsoir LittlePooh, bonsoir à tous, Tout d'abord, mes félicitations à Pollux_63 qui a fait du bon boulot ! Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum ! Sache que Windows 98 est particulièrement vulnérable puisqu'il n'est plus entretenu par Microsoft ! Il te faut être doublement prudent ! Il y a tout ce qu'il faut en logiciels gratuits pour se protéger ! Certains logiciels ne servent pas à grand chose et sont, à mes yeux, néfastes : un anti pub n esert qu'à masquer un problème d'infection... et si on attend trop, c'est plus grave ! Je démarre une analyse de ton rapport HijackThis... réponse d'ici 15-20 minutes !

LOL >Le principal n'étant pas les fautes d'orthographe, mais la compétence, la gentillesse...etc. Je voulais dire que tu avais fait une faute d'orthographe dans son pseudo !... pour ce qui est de son orthographe, elle est meilleure que celle de beaucoup de membres Français !

Rebonsoir philae, J'espère que tu connais Krystyna (attention à l'orthographe) ???!!! Une de mes amies Australienne ! Nous sommes sur les mêmes forums depuis des années : - Computing.Net - CCM - Zebulon - PCA Excellente dans beaucoup de domaines mais elle a ses domaines préférés (bien sûr) : le système et surtout, la base de registres ! Généreuse au possible : je raconte souvent comment elle est restée toute une nuit pour aider, en 100 posts, une débutante Américaine, à réparer son ordinateur (journée aux US, nuit en Australie). PCA lui a joué un mauvais tour en refusant la mention de connaissance des langues qui lui aurait permis de mieux aider les membres de PCA en lui évitant de traduire les fantastiques liens Américains qu'elle connait !

Bonsoir Noisette, S.Birkoff, bonsoir à tous, J'aimerais qu'on n'oublie pas Pollux_63 parmi les membres très méritants qui font de gros efforts pour se former... Ah... tu dis rejoindre tesgaz mais te voilà pire que moi avec tes médailles ! LOL Il y a toutes sortes d'expériences sur les forums ! Certains forums comme CCM n'affichent même plus le nombre de posts car certains membres en devenaient malades et tout leur semblait bon pour en augmenter le nombre (avec des posts comportant seulement 'LOL')... j'ai quitté CCM pour cette raison ! MicroHebdo et Harware.fr doivent faire de même : même pas de nombre de posts ! Computing.Net, forum que j'affectionne tout particulièrement, est de cette sirte ! Zebulon affiche le nombre de posts et a un système de "grades", fonction de ce nombre. Certains forums, surtout dans la lutte antimalware US, ont une double "notation" : les posts et le niveau d'expertise attribué sur passage d'épreuves avec également l'intervention des Administrateurs pour certains niveaux... voire un peu de place pour la réputation-copinage. Ce que S.Birkoff n'a pas dit, c'est que ce système de grades de SWI est associé à l'interdiction d'aider au nettoyage d'un système infecté, pour ceux qui n'ont pas le niveau "Helper"... système très fréquent sur les forums US ! Certains autres forums, comme ceux d'HP (ou un autre que j'ai à mon boulot mais dont je ne rappelle pas le nom... spécialisé dans les sauvegardes ---édition : il s'agit de Tek'Tips http://www.tek-tips.com/ ) ont un système d'attribution de points donnés par l'internaute qui a lancé la discussion. On voit également des membres distingués au niveau de la semaine, du mois, etc. ----- Je pense, pour ma part, qu'on a vite fait de juger ceux qui postent, pour peux que l'organisation soit bien faite, c'est à dire soit que le modérateur règle les choses par ses remontrances, soit que les membres eux-mêmes gèrent la chose par des désapprobations ! Il y a aussi différentes manières de poster et on repère ceux qui dominent leur sujet à la précision de leurs posts (alors qu'un membres de bas niveau "osant poster" restera plus flou). Je suis réticent quant aux distinctions... qui jugerait ? moi, modérateur ? Pour ne pas être subjectif, il me faudrait un système d ejugement... simple... ce système étant connu, il aurait ses failles et certains parviendraient sans doute à gonfler artificiellement leur note (comme les membres de CCM dont je parlais ci-dessus), certains courraient derrière la bonne note au lieu de courrir derrière le "merci" de l'internaute infecté ! L'un dans l'autre, les choses ne sont pas si mal comme çà ! J'espère que les mots ci-dessus désarçonneront ceux qui, abusivement, m'imaginaient favorable aux médailles ! LOL

Merci, philae ! N'aie pas peur de la base de registres ! Prends toujours la précaution de sauvegarder les parties que tu vas toucher ! Fais bien attention que la mise à jour est immédiate et que tu n'as pas à demander un enregistrement en quittant... la moindre modification est enregistrée et il n'y a pas de touche Escape pour annuler les modifs dans RegEdit. Comme dit ci-dessus, il est important de "ménager ses arrières" (pouvoir restaurer) Dans sa page, tesgaz parle en bien de Vilma Registry qui permet de revenir en arrière sur les dernières modifications. Fais une sauvegarde de la branche modifiée. Si tu postes le résultat de RegSearch sur un forum, tu as tout ce qu'il faut pour remettre les choses en place. Enfin, un point de restauration te permet de revenir en arrière. Sache que personne peux se vanter de tout connaître de la Base de registres tellement il y a de choses dans ce fichier paramètres mais apprendre à la gérer permet des merveilles. Sache que sur PC Astuces, tu as Krystyna qui est une passionnée de la Base de Registres (tu aimes les malwares, elle aime la BdR) et qui connait énormément de choses ! Malgré les difficultés de la langue, elle fait merveille sur le forum Windows XP !

Rebonsoir à tous, Quelques enseignements tirés de mon régal du jour : - BrightStor a signalé l'infection, à sa manière... en ne sauvegardant pas le fichier infecté avec l'aide de l'OS et de Sophos J'ai eu quelques difficultés : - pour supprimer le fichier infecté : je l'ai renommé dans un premier temps. - pour supprimer le 5ème processus wssock.exe. 4 ont été facilement supprimés et ne sont pas revenus mais le 5ème que j'ai mis du temps à supprimer a été capable de remettre en place 7 des clés de BdR que j'avais supprimées (mais comme j'avais pu modifier le nom du fichier, il n'y aurait pas eu réinfection en cas de reboot) Pour supprimer ce 5ème processus, je n'ai pas employé ProcExp mais Kill.exe qui est fourni dans le Development ToolKit. J'ai mis du temps à le récupérer car je travaillais depuis mon poste de travail -sans descendre auprès du serveur' à partir d'un Domaine réseau différent La suppression du processus se fait immédiatement et efficacement par Start / Run / Kill numéro-de-PID (vu dans le gestionnaire des taches) Ce Kill.exe est en téléchargement sur mon site Web (depuis longtemps) - il fallait bien sûr, faire les choses dans l'ordre. Dans un premier temps, j'ai : --- tenté de supprimer le fichier infecté (pour seulement de renommer) --- tenté d'arrêter les 5 processus (1 que j'ai laissé) --- supprimé les 9 clés de BdR (en recherchant manuellement "wssock") Je n'ai rien rebooté. Il y a eu remise en place de 7 des 9 clés de BdR (les HKCU ne sont pas revenues) par le processus subsistant en mémoire. Je me suis procuré Kill.exe et j'ai recommencé dans le bon ordre : --- suppression du processus wssock.exe --- suppression du fichier --- suppression des 7 clés de BdR. ---édition Une chose que j'ai faite mais oublié dans mon CR : je me suis aidé de la date d'entrée de ce fichier dans le système pour tenter de trouver d'autres fichiers à suprimer car accompagnant le ficheir infectieux détecté. Si le système de RBot a été démonté et éliminé (j'espère et je le saurai demain... tiens, je pourrais, de chez moi, aller voir ce serveur et en particulier le scan vers 21 h), je n'ai pas encore mis le doigt sur la faille qui a permis au malware d'entrer. Cà ne devrait pas être trop difficile vu les anomalies que je connais déjà (Windows Update non effectués, pas d'antivirus). Cà va chauffer !

Bonsoir megataupe, Il est rare qu'il y ait des malwares sur les serveurs bien que -je l'ai souvent rapporté ici- les protections ne sont pas ce qu'elles devraient être ! Ce qui m'a bien plu a été de désinfecter tout çà à la main sans les outils dont on parle ici et sans rebooter le serveur ! --- En cas de problème, j'aurais obtenu l'arrêt du serveur et l'autorisation d'utilisation des outils qui me plaisaient... je me demande si je n'aurais pas du faire plus de bruit... maintenant que tout est nettoyé, on va revenir dans la routine insécuritaire et j'aurai plus de mal à convaincre qu'on pourrait avoir une catastrophe ! - pas d'antivirus (mais autorisation obtenue pour NAV Corporate) - W2K Server pas à jour de ses mises à jour critiques

Rebonsoir à tous, Ci-dessous, un document technique de ma boîte. Travail effectué dans la matinée même si le Compte-Rendu en a été fait plus tard ! Je n'ai rien changé à ce CR et je suis désolé pour les codes -nom des serveurs- peu compréhensibles pour vous !

Bonsoir à tous, Je me suis régalé quelques heures aujourd'hui, à dénouer l'organisation de RBot et je voudrais vous en parler ! Je veux vous en parler parce qu'en fait, j'ai eu à travailler dans de mauvaises conditions : - pas moyen d'appliquer la méthode Zeb'Sécurité ! Pas question de redémarrer en mode sans échec et de tranquillement scanner avec Antivir, etc. - RBot est un de ses malwares qui tisse sa toile et met en place un système bien protégé comme on va le voir - les 3 serveurs en question sont ceux d'une filiale rachetée de fraîche date - pas d'antivirus installé !!! - ces serveurs sont utilisés de tous les points du monde et il est hors de question de les arrêter sauf catastrophe... du reste, avant de les arrêter ou de faire quoi que ce soit d'important, il me faut réunir (par Internet) tous les experts du groupe pour obtenir l'aval... ce qui est maintenant fait pour l'installation de Norton AV Corporate ! Dans les jours à venir, çà va chauffer et je vais bousculer les mauvaises habitudes d'aussi mal protéger un système aussi important ! Bref, je vais voir si je peux reproduire ci-dessous, le compte rendu fait dans une de nos bases techniques ! Tout d'abord, j'ai été content de constater que c'est Sophos, AV installé sur mon serveur de sauvegarde, qui m'a signalé ces 3 malwares grace à BrightStor, mon logiciel de sauvegarde... Le système d'exploitation du serveur infecté a refusé à BrightStor, la sauvegarde d'un fichier et Sophos a analysé et détecté l'infection puis m'a envoyé un e-mail ! Le système d'infection de mon RBot comprenait : - 5 processus dont un difficile à stopper et capable de remettre l'infection en place de manière dynamique - un fichier infectieux difficile à supprimer - 9 implantations de l'infection dans la base de registres dont 6 sont remises en place lors dynamiquement après suppression.

Bonsoir Olivier, tesgaz, bonsoir à tous, Je crois qu'il est important de connaître le pourquoi et le comment des choses et de s'intéresser à l'histoire... Regardez de quoi est parti Bill Gates et son génie (ja n'ai pas dit qu'il est un génie en technique) !Il est parti du Quick and Dirty Operating System pour arriver où il en est aujourd'hui ! et ce Dos n'est toujours pas mort !

Bonsoir philae, BipBip, bonsoir à tous, Philae, je te remercie vivement pour ton post ! Je sais que çà te coûte de venir sur Zebulon ! J'ai beaucoup d'amitié pour toi et tu me manques beaucoup ! Ta présence sur un forum est très précieuse, je te l'ai souvent écrit : je me souviens de tes premiers posts lorsque tu nous faisais nettoyer le système de ton père ! Tu nous as rendu tout de suite de grands services en, simplement, prenant bien soin à ce que tous les problèmes soient traités et tu nous faisais remonter les discussions négligées ! En faisant cela, tu avais un rôle très important sur PCA ! Maintenant, tu apportes une contribution capitale en traitant tous les problèmes ! Je ne vais pas plus raconter ta vie et les discussions passionnantes que tu initiais... Tu dis avoir du mal à suivre les lignes écrites ci-dessus... tu connais ma réponse classique : si tu ne comprends pas bien, c'est que j'ai mal expliqué et il me faut y mettre plus de soins ! Je crois qu'il est important que tu sois à l'aise avec l'utilisation de la base de registres pour le nettoyage du système, signale moi les passages peu clairs à tes yeux, je veux mieux te les expliquer !

Bonsoir ZoX', bonsoir à tous, Je te remercie pour ton message ! Je l'ai lu dans la journée mais je n'ai pas eu le temps de répondre plus tôt... Je considère qu'HijackThis est vraiment un excellent programme ! Je suis content d'avoir pu échanger quelques mots avec Merijn à l'époque où il venait de vendre ses droits sur CWShredder ! Il se faisait bousculer par ses pairs qui lui en tenaient tout de même rigueur et je lui ai dit mon admiration et mes remerciements pour ses programmes. Merijn a rétorqué que CWShredder était son programme, son propre programme et qu'il faisait ce qu'il en voulait !... en effet, Merijn a passé beaucoup de son temps à décortiquer et comprendre et expliquer les malwares de la famille des Cool Web Search (il n'y a qu'à lire ses CWS Chronicles)) ! Par contre, HijackThis a été programmé par Merijn mais conçu par les experts de SpyWareInfo ! Une particularité de ce programme, qui fait sa force est qu'il n'y a pas de définitions de malwares au du moins pas de liste de malwares mais ce programme travaille au niveau du comportement ! Il scrute les clés majeures de la base de registres et par là, reste valable au fil des mois... tant que les pirates ne trouvent pas des clés non surveillées ! HijackThis est un très bon programme ! Dommage que Merijn sature et s'en détache un peu, ce qui fait que les pirates reprennent de l'avance !

Bonjour S.Birkoff, bonjour à tous, Je te remercie pour ton post et tes mots sympas ! Ce document a été écrit pour venir en complément d'HijackThis car il est de plus en plus difficile d'enlever les malwares avec les méthodes habituelles : - fichiers infectieux cachés soit qu'ils sont dans des clés examinées par HJT mais non visibles, soit dans des endroits qu'HJT ne surveille pas... comme WinIK ! Les pirates connaissent HJT sur le bout des doigts et font tout pour passer à côté des "caméras" ! - parfois, les antivirus parviennent à signaler des fichiers infectieux sans les éliminer. - en marge d'HJT, il peut être nécessaire d'éliminer les traces d'une vieille application comme par exemple cette pieuvre de Norton ! Nombreux sont les indices fournis par les scans antimalwares ou par un nom de fichier douteux dans le log HJT mais qu'il n'arrive pas à enlever... Tout dépend de la manière utilisée et du niveau tant de l'analyste que de l'internaute :- modification manuelle de la BdR (effectivement, une modification par quelqu'un qui ne sait pas où est l'Explorateur Windows et qui clique partout sera bien risqué). On en a vu qui supprimait Explorer.exe à 1 heure du matin ! - modification par fichier externe sur lequel il suffit de double cliquer... là, çà ne dépend plus que de l'analyste. Pour préparer le fichier de mise à jour (.REG, .INF, .VBS, etc.), on commence par rechercher les clés et à partir de là, on crée le fichier. Il est sage de sauvegarder les clés à modifier. Avec ME et XP, il y a aussi les points de contrôles automatiques ou volontaires ! Tout dépend du mot clé utilisé !Si tu utilises le mot clé "Symantec" et "Norton" pour enlever toute trace d'un vieux Norton AntiVirus, c'est pertinent à la condition de ne pas avoir un autre produit Symantec tel que PC-Anywhere ! Si tu choisis un mot clé "WINIK" pour éradiquer les implantations de cette bête, il y a fort peu de chance pour que tu tombes sur un fichier légitime ! A l'analyste à choisir judicieusement ses clés... et à se méfier des résultats fournis ! Ce document sur la BdR a été écrit pour les membres capables de nettoyer les système et qui connaissent un minimum le système et la Base de registres ! Si j'arrive à trouver le temps disponible, je vais écrire un petit chapitre sur le mode commande (Dos)... recherche et suppression de fichiers , toujours dans l'optique désinfection et complément à HJT !

Bonsoir à tous, Cà aura été difficile d'accoucher de la chose mais la partie "Base de registres" est révisée et me donne satisfaction !... juste 3 bricoles à retoucher bientôt !

Rebonsoir Sébastien, rebonsoir à tous, Okay, Ferris semble avoir respecté l'accord ! ... Merci à Grand Dad, memre de l'ASAP, Administrateur sur Gladiator http://news.com.com/Microsoft+investigates...ml?tag=nefd.top

Bonsoir fay-floyd, bonsoir à tous, Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum ! Applique notre "Pré-Nettoyage d'un PC infecté, procédure pré-HijackThis" -> http://forum.zebulon.fr/index.php?showtopic=69176

Bonsoir Pey, BipBip, bonsoir à tous, Résolu ! Eh bien ! Félicitations à BipBip et Pey !

Bonsoir orange_bleue, bonsoir à tous, Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum ! Qu'est-ce que c'est qui va mieux ? Tu ne nous parles pas de tes dysfonctionnements.As-tu une infection ou souhaites-tu simplement gagner en nervosité ?