ipl_001

... Une erreur, comme par hasard ! ...

Bonsoir KennyCain, bonsoir à tous, Il s'agit des extrêmes : - la zone de confiance est celle dans laquelle sont rangées les URL de la liste blanche = sites auxquels le système accorde sa confiance et donne beaucoup de droits ! - la zone des sites sensibles ("Restricted zone" en Anglais) est celle dans laquelle sont rangées les URL de la liste noire = sites douteux auxquels le système ne donne pas de droits d'accès ! PS : J'ai édité mon post précédent en le complétant ! Supprimer la liste noire revient à laisser, à certains sites, des droits normaux au lieu de droits restreints alors que ce sont des sites douteux/néfastes !

Bonsoir surfOZ, megataupe, bonsoir à tous, Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum ! Levez-vous d'un doute : qu'est-ce que c'est que çà ? pas du P2P ??? Veux-tu bien commencer par désinstaller ce système, s'il te plaît ?

Bonsoir KennyCain, S!Ri, Stonangel, bonsoir à tous, SpyBot Search and Destroy analyse la base de registres maintenant ??? Depuis quand ??? Je ne le savais pas ! De plus, êtes-vous bien sûr qu'il s'agit de la zone de confiance et pas, au contraire, de la zone des sites sensibles ? Je vous renvoie vers ce post de SWI -> "Internet Settings/Zonemap/Domains = porn?" - http://forums.spywareinfo.com/lofiversion/....php/t3659.html réponses de mr bones et duke9106

Farceur !

Rebonsoir à tous, News supplémentaire : (source : http://www.secrets2moteurs.com/article1954.html )

Bonsoir Parallel Universe, megataupe, bonsoir à tous, Merci pour cette information très intéressante ! Je ne suis pas encore allé sur le site Chinois mais par contre, Google rapporte des choses négatives sur un malware "baidu" ! Est-ce une malheureuse homonymie ? Un peu comme le malware SpyBot qui a failli gêner l'anti-spyware bien connu ! - "Adware.ToolBar.Baidu.a - a² Malware" -> http://www.emsisoft.com/en/malware/?Adware.ToolBar.Baidu.a - "{b580cf65-e151-49c3-b73f-70b13fca8e86} BaiDu" -> http://www.actualresearch.com/bholist-75.html -> http://www.emco.is/networkmalwarecleaner/m...rch2005/30.html

LOL Tu me casses le moral, megataupe ! Une base de registres protégée par RegistryProt et ProcessGuard est-elle infectable ???

Rebonjour à tous, J'ajoute un dernier paragraphe au chapitre "Base de registres" de manière à mieux illustrer les choses... Exemple illustré de nettoyage de la BdR ( http://forum.zebulon.fr/index.php?showtopic=71434&st=0 ) Jubey a des dysfonctionnements dans son système et a pu repérer le fautif : winIK.sys ! Le pré-nettoyage en mode sans échec (suppr. fichiers Temp, AntiVir) suivi de l'analyse du rapport HijackThis ne résolvent pas le problème malgré l'élimination, entre autres, de CommonName. Retour aux fondamentaux (comme dit l'entraîneur de tennis de mon fils) : - recherche et élimination de winIK dans la base de registres - recherche et élimination de winIK et (dossier apparenté) sur le disque Recherche de winIK dans la base de registres Résultat de la recherche Création du fichier .REG de nettoyage de la BdR Remarques préliminaires : - la suppression d'une clé se fait par une ligne sur le modèle de [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK] (signe "-" (moins) après le crochet ouvrant) - la suppression d'un clé correspond à la suppression des sous-clés et valeurs associées Il est donc inutile de s'occuper de ce qui est à l'intérieur de HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINIK Ainsi, les lignes seront traitées par la même suppression : D'où le fichier post de création et d'utilisation du fichier .REG : J'espère que ce dernier exemple a permis de bien illustrer la démarche.

Bonsoir angelique, Je rejoins tesgaz pour te dire que je suis très content de ta participation à notre forum Sécurité ! Il ne faut pas qu'on se laisse feinter par ces pirates qui empoisonnent le monde de l'Internet : - les novices qui ne se méfient même pas et se laissent infecter, leur ordinateur devenant une plate-forme utilisée pour mener d'autres attaques - les internautes conscients mais négligeants qui se contentent de reformater lorsqu'ils ne parviennent plus à jouer (ou autre) mais participent aux infections, entre temps ! - les internautes qui ne savent pas se protéger et sont bien perdus ! Il nous faut tous participer pour faire progresser le niveau de connaissance des internautes ! Il nous faut rattrapper le niveau des internautes des pays de l'Europe du Nord qui sont capables, eux, de créer des programmes, des méthodes... L'équipe de Zeb'Sécurité est sur la bonne voie avec beaucoup de très bons éléments ! Merci à toi qui en fait pleinement partie, angelique !

Bonjour ptibou2chou, bonjour à tous, Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum ! Appliquer, s'il te plaît, ce qu'indique cette procédure : HIJACKTHIS Procédure préliminaire à toute demande d'analyse de rapport HijackThis. Phase 1 - faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion. - télécharger Antivir ( http://www.free-av.com ) et le paramétrer selon les indications de tesgaz ( http://speedweb1.free.fr/frames2.php?page=tuto5 ) nb: le choix d'Antivir comme antivirus a utiliser dans le cadre de cette procédure, a reposé sur les critères suivants : --- failles de votre antivirus qui a laissé passer des malwares --- Antivir peut-être installé et désinstallé facilement --- Antivir est reconnu pour son efficacité en mode sans échec --- le tutorial de tesgaz permet de le paramétrer sans problème - télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !) Phase 2 - redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte) -- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée]. NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 ) -- à l'ouverture de session, choisir la session courante et non celle de l'administrateur - Afficher tous les fichiers par cette modification des options de l'explorateur Windows : Menu "Outils", "Option des dossiers", onglet "Affichage" : Activer la case : "Afficher les fichiers et dossiers cachés" Désactiver la case : "Masquer les extensions des fichiers dont le type est connu" Désactiver la case : "Masquer les fichiers protégés du système d'exploitation" Puis, cliquer sur "Appliquer". Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation. Phase 3 - nettoyage rapide du disque dur : Démarrer / Exécuter / taper CleanMgr et valider Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers C:\TEMP C:\WINDOWS\TEMP C:\Documents And Settings\Session utilisateur\Local Settings\Temp C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files Vider la corbeille - recherche et élimination des parasites avec Antivir lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent) - installation et utilisation d'HijackThis -- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau. Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire -- arrêter tous les programmes en cours et fermer toutes les fenêtres -- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile" -- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...) NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran). - désinstallation d'Antivir -- arrêter les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre) : AVGUARD.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton). Phase 4 - redémarrer en mode normal - ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller dans un nouveau post que vous créez sur le forum sécurité (Ctrl-V) de manière à ce que nous vous disions ce qu'il faut faire. - attendre l'analyse et la réponse.

Bonjour punkie93250, papatte, megataupe, bonjour à tous, Je suis très content que tu sois sortie de l'auberge ! Tu m'as bien aidée en faisant exactement ce qui était demandé et je t'en remercie ! Ton cas m'a donné du mal et m'a amené à réfléchir sur la situation actuelle de la lutte antimalware ! J'ai écrit à cette occasion, un petit article qui va, j'espère, aider de nombreux membres de Zebulon "-= Formation de base : Base de Registres et Dos =-" -> http://forum.zebulon.fr/index.php?showtopic=71597

Bonjour à tous, J'ai, en ce moment, des soucis avec les balises qui font que mes citations ont disparu (balises Quote)... je vais tenter d'arranger çà ! Si vous avez des précisions à demander, je suis à votre disposition ! ... suite du texte relatif à la base de registres... (coupure temporaire pour "étudier" mon problème avec les balises Quote) -5- RegKey, standard Windows RegKey utilise la commande Dos RegEdit et l'opérateur /e. Recherche de tout ce qui est attaché à une clé déterminée. -51- je veux connaître ce qui se trouve dans Winlogon\Notify, endroit où se cachent des malwares particulièrement coriaces, je constitue le fichier personnalisé RegKey.bat, je zippe et j'uploade : -52- une variante : Je veux vérifier les restrictions : -53- variante : Bien sûr, je peux enchaîner plusieurs recherches dans le même fichier (en prenant garde d'utiliser un fichier intermédiaire) ! -6- Go to reg key de flrman1 Ouverture de RegEdit sur une clé de registre spécifiée. Un fichier VBS de 697 octets ! Simple et net !!! Je veux voir le contenu de la clé HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run : Fichiers .INF et .VBS Nous avons manipulé des fichiers .REG pour mettre à jour la base de registres. Il existe d'autres fichiers utilisés pour ce faire : - des fichiers .INF très compacts : voici l'exemple du fichier FixSwen.inf de réparation des dégâts commis par le malware Swen et ses descendants (celui qui démolit les associations .EXE .COM .BAT .REG etc) avec .REG non utilisable !!! Voici son contenu : (source : http://download.nai.com/products/mcafee-avert/Fixswen.inf )- des fichiers .VBS ; il s'agit en fait d'un vrai language de programmation abordable par ceux qui ont touché à la programmation ! Fichiers de restauration de parties de la BdR Les spécialistes ont décortiqué la base de registres pour en extraire les clés par grandes fonctions Windows et ont créé des fichiers permettant de les rétablir en cas de dysfonctionnement. Exemples : - DelDomains.inf de Mike Burgess ( http://www.mvps.org/winhelp2002/DelDomains.inf ) - RestoreReg.vbs de Jean-Claude Bellamy ( http://www.bellamyjc.net/download/vbs/restorereg.vbs ) - VirusBdrRepair.vbs de Jean-Marc Fayet ( http://snooky730.free.fr/VirusBdRRepair.vbs ) - IEfix.reg ( http://www.spywareinfo.com/downloads/tools/IEFIX.reg ) Ces fichiers sont innombrables et les mines sont sur les sites : - Doug Knox -> http://www.dougknox.com/security/ - Jean-Claude Bellamy -> http://www.bellamyjc.net/vbscripts.html - Jean-Marc Fayet -> http://perso.wanadoo.fr/doc.jm/ - Bill James -> http://www.billsway.com/vbspage/ - Kelly Theriot -> http://www.kellys-korner-xp.com/xp_tweaks.htm

Any news?

Bonjour tesgaz, charles ingals, bonjour à tous, Eh bien ! les particuliers, les artisans, les PME, les gra,des entreprises... Nous voila propres ! Et quand on pense que l'argent récolté par les pirates est peut-être bien utilisé pour financer l'organisation des attentats... Je noircis peut-être mais ordinateur infecté = - utilisation carte bleue - prélèvement compte en banque - ordinateur zombie : serveur de spam (malwares, phishing) ou intrusions pour infection d'autres ordinateurs - source d'attaques dDoS - etc. S'il vous plaît, protégons nos ordinateurs !

Bonjour Morko, megataupe, bonjour à tous, Morko, tant que tu n'as qu'Alexa, même 10 fois, tu peux t'estimer heureux ! Mais vu ton côté un peu "brouillon", fais bien attention car oui, nous sommes en guerre ! Au fait, Explorer n'est pas un navigateur ! Il n'y a pas d'incompatibilité entre Explorer et Firefox !

Bonjour ender08, bonjour à tous, Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum ! Pour te répondre, je recopie un post de tesgaz, membre éminent de Zebulon ! (source : http://forum.zebulon.fr/index.php?showtopic=68927 )

Je vais fusionner les 2 sujets... après coup, çà fait un peu fouilli tous ces posts !

Bonjour dave30, charles inglas, bonjour à tous, Je te souhaite la bienvenue sur Zeb'Sécurité ! Merci de venir sur notre forum ! Je ne lance pas une analyse de ton rapport car je vois que Stonangel est en train de poster mais tu as bien fait de venir car ton système est infecté !

Bonjour charles ingals, bonjour à tous, En lisant tes lignes, j'ai repassé en revue la situation dans mon propre groupe ! Il n'y a maintenant -je crois- que des sociétés sans moyens tellement est fort l'objectif d'optimisation de chacun des éléments (chaque personne, chaque machine, chaque euro). Le ROCE de 15 % (objectif d'il y a quelques années) une fois atteint -pour chaque Business Unit-, on continue pour, sans cesse, une profitabilité maximale pour la société et ses actionnaires ! Je suis en charge des données informatiques de mon site et, en particulier, celles d'applications utilisées mondialement (par Citrix) stoppées seuleent une heure par semaine (pas d'autre moyen de sauvegarder les fichiers ouverts) ! Parfois, j'en ai froid dans le dos ! Divers niveaux de sauvegarde mais il va falloir que je le vérifie et qu'on fasse un exercice de disaster recovery d'ici quelques semaines ! Mais il est vrai que, pour un matheux et un financier, l'espérance de gain est en défaveur des services d'entretien et de sauvegarde anciens styles ! Cout de l'entretien régulier >> cout du désastre x probabilité de survenance La SNCF n'entretient plus rien et préfère réparer lorsqu'il y a un incident ! Plus de prévention ! Pour la sécurité antimalware de Zebulon, on conserve la prévention car la probabilité de survenance de l'infection est élevée !

Bonjour Olivier, Merci pour ton message ! Je t'écoute soigneusement car nous nous cottoyons depuis bien longtemps, sous plein de cieux (CCM, Computing, Zeb, PCA) et tes posts sont importants pour moi malgré tes quelques dérives et folies bien sympathiques ! Je l'ai relu plusieurs fois... je ne crois pas donner beaucoup d'armes à des gens mal intentionnés (un bon livre leur en apprendrait bien plus). Par contre, je crois pouvoir informer (sinon former) les membres de Zebulon qui n'ont pas le temps et qui n'iront pas acheter un "RegEdit pour les nuls !" malgré les bonnes résolutions ! Je ne parle pas ici de clés réservées ou "confidentielles" mais de "briques" comme je le disais dans une autres discussion (que rapporte S.Birkoff ci-dessus) qui peuvent permettent de mettre le pied à l'étrier pour aller plus loin ! Si je me trompe, insiste ! Passe une excellente journée !

Merci d'avoir trouvé de quoi m'occuper pour la semaine au moins ! ici, j'ai 18°C, pas de plage aujourd'hui ! Bonne journée, tesgaz ! Attention aux coups de soleil et aux estivantes !

Bonjour tesgaz, Tu sais quoi ? Je viens de télécharger et installer les 3 logiciels dont tu parles !.. le début de la "sagesse" (dans le sens connaissance, pour ce qui est de rester tranquille, c'est râpé !) !

Bonjour adams.familly, bonjour à tous, Attention que, j'édite mes posts... je veux dire que je complète mon laïus sur la base de registres et lors de mes modifcations, tu ne reçois pas de message électronique. Tu sais bien que, la lutte antimalware a besoin de bien d'autres "corps de métiers" que les analyseurs de rapports HijackThis !Parmi les experts, tous ne sont pas informaticiens, à commencer par BudFred (ma signature), l'Américain qui m'a patiemment informé !

Bonsoir monsieurtruc, bonsoir à tous, Je te confirme que ton rapport HijackThis ne comporte plus d'élément infectieux ! Pour ton fond d'écran, n'as-tu pas la possibilité de le remettre en place par les propriétés de l'affichage ?