ipl_001

Rebonjour punkie93250, S.Birkoff, bonjour à tous, S.Birkoff, tu es un champion ! Tu as gardé l'esprit clair ! Simple ! Là, le virus était l'index de la main droite ! NB : Je te félicite pour ta signature : elle est sobre et contient tout ce qu'il faut pour la lutte antimalware ! Avec une spécialisation aussi marquée, j'espère que tu posteras très souvent sur Zeb'Sécurité !

Bonjour S.Birkoff, rebonjour à tous, Je te remercie pour ton message !Je ne vais pas écrire longuement mais oui ! - HJT est pris de vitesse et il faut inventer de nouvelles méthodes - lorsqu'on n'a pas encore ces nouveaux outils, il est important de repartir des connaissances de base (qu'on oublie lorsqu'on applique des méthodes)... ce sont ces bases dont je vais parler... Stonangel a écrit qu'il avait besoin de quelques explications Ces connaissances de base permettent de raisonner et de trouver des pistes.

Bonjour megataupe, Olivier, charles ingals, bonjour à tous, Si je suis sceptique concernant les éléments signalés par RootkitRevealer, je ne partage pas votre conclusion de rejet parce que : - si les choses me semblent bizarres dans la liste résultant du scan de RKR c'est parce que, comme HJT, il liste les anomalies constatées sans les interpréter et je ne sais pas encore les analyser - pour différentes raisons (voir http://forum.zebulon.fr/index.php?act=ST&f...=40#entry543922 ), des problèmes d'infection sont de plus en plus difficiles à traiter ; les outils de défense deviennent inopérants et tout nouveau programme, même non parfait, est le bienvenu car on a grand besoin de progrès en la matière ! Je vais lancer une discussion pour regrouper les forces vives du forum et préparer un certain nombre de briques pour pouvoir revenir aux bases !

Rebonjour punkie93250, Qu'est-ce que c'est que cette histoire ? depuis quand ?? avec quels éditeurs de texte ???

Rebonjour punkie93250, rebonjour à tous, Merci pour les nouvelles ! J'espère que çà va durer ! Les choses évoluent sans cesse et les certitudes sont à réviser et adapter ! Il y a peu, j'aurais dit que tout malware est visible dans le rapport HijackThis... HijackThis est un programme merveilleux qui n'est plus tenu à jour par Merijn (qui sature et s'adonne à d'autres loisirs). Les pirates veulent exploiter un secteur où ils ont beaucoup d'argent à gagner (les malwares peuvent rapporter très gros) et mènent des recherches continuelles ! Il y a actuellement de nouvelles techniques d'activation qui passent à côté des éléments surveillés par HJT (les pirates connaissent HJT mieux que quiconque puisque c'est leur principal ennemi), on le voit avec les nouveaux malwares qui donnent de plus en plus de mal et on est ramené à la période d'avant HJT où on y allait à l'aveuglette en essayant 36 trucs ! Je ressens de plus en plus le besoin de rejoindre les forces anti-malwares pour me tenir au courant et être plus efficace ! Mes "croyances actuelles" Un malware arrive par : - un module sur le disque et dans la base de registres qui peut éventuellement, télécharger des programmes et/ou - une faille dans le système qui permet d'intervenir de l'extérieur et/ou - un/des port(s) ouvert(s) préalablement par une attaque de malware (partiellement nettoyée) qui permet une intervention extérieure Attention : Les malwares sont très mal connus... un éditeur antivirus est pris par le temps (il faut qu'il supplante la concurrence en parlant le premier) et sort ses défences à la hâte en n'étudiant que partiellement les agissements d'un malware si bien que même réparé, un système ayant été infecté comporte encore des séquelles ! Ce ne sont pas les grands effets de manche visibles de tous qu'il faut prendre en compte dans la description d'un malware mais les petites lignes qui parlent des ports ouverts !!!

Merci pour ton post, tesgaz !

Rebonjour Noisette, Zebulon ne t'empêche pas de graver un CD pour le donner à quelqu'un ! Pourtant, c'est illicite ! ( http://www.dropload.com/ ) Ce n'est pas la technique P2P mais l'utilisation qui en est faite pourrrait, bien sûr, tomber sous le coup de la loi ! Je ne vois pas en quoi il y aurait lieu de lancer une longue discussion à son sujet concernant la sécurité !?!?!? Je t'avertis tout de même que : - tu fournis là gratuitement au moins deux adresses de messagerie - tu peux te faire repérer et laisser des traces comme échangeant certains types de fichiers - il y a beaucoup d'organismes qui ont promis, juré que leur fichier clients ne serait jamais au grand jamais transmis à qui que ce soit... et pourtant ! - à partir du moment où un internaute effectue une action répréhensible, tout contrat tombe ! - les anti-P2P (les majors en tête) sont prêts à n'importe quelle traitrise pour coincer les contrevenants - il y a des surprises avec des malwares sur les blogs, sur les sites privés... - alors qu'on lève les bras au ciel et qu'on crie au scandale lorsqu'on voit que telle société collecte peut-être des informations concernant son propre produit, on se met là entre les mains d'un organisme inconnu ! It's up to you! See if risks or drawbacks may be better than advantages!

Bonjour Noisette, Olivier, Tirol, megataupe, bonjour à tous, Il ne s'agit pas de loi mais de réglement sur Zebulon !Non, l'ami Gérard ne sait pas mieux ! Je ne connais pas le P2P, je n'utilise jamais ce truc... je sais que la technique elle-même est super et mériterait d'être utilisée dans beaucoup de domaines techniques ! Le P2P est source de nombreux dysfonctionnements du système et, en particulier de la part des organismes qui ont à défendre leur "industrie" et qui utilisent toute traitrise pour ce faire ! Ce que je sais est que le sujet du P2P a été la cause de troll et d'accrochages sur beaucoup de forums et que Yann n'en veut pas sur Zebulon ! Nous avons une dérogation sur Sécurité pour en traiter les dysfonctionnements en matière de malwares mais en aucun cas de favoriser son utilisation ! Donc : - pas de conseil pour favoriser le P2P - pas d'apologie du P2P

Rebonjour punkie93250, Je relis l'ensemble de la discussion... Tu ne m'as pas rendu compte des recherches effectuées (message #28 et #29) : Informations à exploiter : --- le résultat des recherches disque (swizzor et STA*.*) (message #28) --- le résultat des recherches BdR (swizzor et STAF.exe STA9.exe STA12.exe) (message #29) --- la doc Sophos (message #38) --- la doc ComputerAssociates (message #38)

Bonjour punkie93250, Any news?

Bump!

Bonjour charles ingals, bonjour à tous, Oui, J'ai fait lancer 2 fois ce programme dans des discussions hier : - une fois, je n'ai pas exploité les informations qui me semblaient bizarres ( http://forum.zebulon.fr/index.php?act=ST&f...t=0#entry543056 ) - une autre fois, j'ai pris des précautions en sauvegardant une clé de la base de registres avant de supprimer ( http://forum.zebulon.fr/index.php?act=ST&f...=40#entry543724 ) J'ai lancé Rootkitrevealer : HKLM\SOFTWARE\DeterministicNetworks\DNE\Parameters 26/11/2004 17:45 0 bytes Security mismatch. HKLM\SOFTWARE\DeterministicNetworks\DNE\Parameters\SymbolicLinkValue 26/11/2004 17:45 132 bytes Hidden from Windows API. 2 discrepancies found.

Bonjour boubilou, bonjour à tous, Mets ton système parfaitement à jour (WindowsUpdate) ? Installe ZebProtect Lance le scan en ligne de RAV dans Internet Explorer -> http://www.ravantivirus.com/scan/ clique sur To continue without subscribing click here Attend l'affichage de "Ready to scan" Coche "Autoclean" puis clique sur "Scan my PC"

Bonjour Cortana, bonjour à tous, Pour les services, tu peux les désactiver aussi bien en mode normal qu'en mode sans échec Oui, supprime ALCXMNTR.EXE de la corbeille !

Bonjour Krystyna, MissMonde, pticoucou95, bonjour à tous, Merci pour ta visite et ton intervention, Krystyna ! J'espère que l'ordinateur de pticoucou95 retrouvera la forme grâce à toi !

Bonsoir boubilou, bonsoir à tous, LOL Je n'ai pas trouvé le remède contre le message mais tu n'as pas bien créé ta photo : il y a une grande marge autour et sa taille est de 952 x 768 ! Lorsque tu copies-colles l'image dans Paint, il te faut régler la taille à 10 x 10...

megataupe, Pas de problème, j'ai l'URL de leur base de données mais j'y voyais un accès facilité : une liste des processus avec un accès aux explications par un clic droit ! -> http://www.what-process.com/lists.aspx

Va jeter un oeil sur la faq -> http://forum.zebulon.fr/index.php?showforum=25

Rebonsoir punkie93250, Pourrais-tu effectuer une exportation de cette clé puis la supprimer : HKLM\SOTFWARE\Microsoft\Cryptography\RNG\Seed Pourrais-tu logguer ton ordinateur avec un compte autre que babou mais avec droits d'administrateur et supprimer tout ce qui est à l'intérieur de C:\Documents and Setting\babou\local settings\Temporary Internet Files (attention, vérifie soigneusement la taille de TIF et le nombre de fichier et dossier car ce n'est pas facile et Windows n'obéit pas facilement !) et en particulier C:\Documents and Setting\babou\local settings\Temporary Internet Files\content.IE5\0HYVAHAJ\index[1] C:\Documents and Setting\babou\local settings\Temporary Internet Files\content.IE5\0HYVAHAJ\index[2]

Rebonsoir à tous, Quelques infos : http://www.sophos.fr/virusinfo/analyses/trojswizzorbq.html Troj/Swizzor-BQ est un cheval de Troie téléchargeur. Troj/Swizzor-BQ tente de télécharger des fichiers et de les exécuter sans le consentement de l'utilisateur. Pour se lancer automatiquement au démarrage d'Internet Explorer, Troj/Swizzor-BQ s'installe sous la forme d'un Browser Help Object et paramètre les entrées suivantes du registre : HKCR\CLSID\(CLSID)\InprocServer32 (Par défaut) <chemin vers la DLL du cheval de Troie> HKCR\CLSID\(CLSID)\InprocServer32 ThreadingModel Apartment HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ Browser Helper Objects (CLSID) où la valeur CLSID est basée sur l'ordinateur infecté. ---------- http://www3.ca.com/securityadvisor/pest/pe...px?id=453088757 Supprimer les fichiers: Remove these files (if present) with Windows Explorer:

Rebonsoir punkie93250, rebonsoir à tous, Ton système est-il à jour (Windows Updates) ? As-tu installé ZebProtect ?

Merci megataupe, Pour What Process, je voyais la liaison avec leur base de données fournissant des informations sur la légitimité de la bête.

Bonsoir Tirol, bonsoir à tous, Pourquoi AntiVir ? Pourquoi pas ? Il y a plusieurs antivirus gratuits qui sont efficaces ! Il fallait bien en choisir : - rapidement installable et utilisable en mode sans échec - léger, sans de multiples processus - efficace en mode sans échec - qui ne nécessite pas la réception d'un email de validation - facile à mettre à jour Alors, pourquoi pas AntiVir ? A priori, l'antivirus installé dans le système est douteux : - il a laissé passer l'infection (puisqu'on parle de nettoyer) - il arrive qu'un malware désactive les défenses Il ne faut pas 2 antivirus résident dans le système : en mode sans échec, il n'y a pas 2 AV résidents ; il n'y en a même aucun !!! Une fois le système en mode normal, il convient de n'en conserver qu'un... AntiVir est facile à désinstaller ! En matière d'infection, il est parfois utile d'avoir plusieurs sons de cloche et donc, un scan en mode sans échec n'est pas à repousser ! Ai-je répondu à tes questions ? Tirol, as-tu encore des problèmes ?

Bonsoir à tous, Est-ce que ces utilitaires valent le coup ? Qui les a essayés ? What Is What Process? Security Task Manager

Rebonsoir Cortana, rebonsoir à tous, tesgaz a préconisé la désactivation de 3 services mais on en retrouve 2 dans le dernier rapport HijackThis :