megataupe

Bien vu Léon car cette fonction Reading protége l'application contre la lecture non autorisée. Faut dire aussi que le kill est un vrai "tueur" difficile à neutraliser.

Bonsoir chepiok. J'ai utilisé la version full mais, la méthode de test est la même avec la version lite. Tu trouveras le résultat des blocages de Process Guard dans l'onglet Alerts/ view logfiles, exemple : Tue 10 - 17:50:40 [MODIFY] g:\documents and settings\jch\bureau\apt\apt.exe [2220] was blocked from modifying g:\program files\looknstop\looknstop.exe [1076] Tue 10 - 17:50:55 [TERMINATE] g:\windows\system32\svchost.exe [820] was blocked from terminating g:\program files\looknstop\looknstop.exe [1076]

Bonjour à tous. Afin de vérifier s'il était possible à un attaquant malveillant de « trucider » un antivirus, un firewall, ou tout autre application, je me suis livré à un petit test très révélateur sur la perméabilité de nos cerbères préférés (Avast et Look'n'Stop pour ce qui me concerne). Pour réaliser ce test, j'ai utilisé un petit soft de 43 ko : ADVANCED PROCESS TERMINATION (apt.exe). Ce petit programme permet de tuer une application selon 9 méthodes différentes et remplace efficacement le « TASK MANAGER » en plus puissant. Comment effectuer le test : Tout d'abord, téléchargez ADVANCED PROCESS TERMINATION sur ce site : http://www.diamondcs.com.au/index.php?page=apt -fermez le navigateur ainsi que votre connexion à Internet -dézippez le fichier apt.zip et lancez l'exécutable apt.exe -dans la fenêtre qui va s'ouvrir, sélectionnez votre antivirus, votre firewall ou toute autre application, cliquez sur Kill 1 et cliquez ensuite sur Refresh List (ou F5) pour vérifier que le processus choisi est toujours présent. S'il y est toujours, cliquez sur Kill 2 et Refresh List (et ainsi de suite jusqu'à Kill 9). Si après l'un des kill, vous constatez avec stupeur que votre « joujou » préféré a disparu de la liste ainsi que de la barre des tâches, cela signifiera qu'un attaquant potentiel sera également capable de désactiver vos chères protections (sur mon PC Avast et look'n'Stop ont rendus les armes au 6ème kill ). Alors me direz vous, c'est grave Docteur ce que vous me conté là et comment se prémunir contre ce type d'attaque ? La réponse est dans l'utilisation d'un chien de garde comme Process Guard qui va stopper toutes les tentatives de Kill comme je vais vous le démontrer. Pour ceux (j'espère nombreux) qui ont installé ce précieux compagnon, les autres peuvent le faire en utilisant le raccourci présent dans le dossier apt, il y a lieu d'effectuer les manipulations suivantes : -après avoir lancé l'exécutable apt.exe, Process Guard va vous demander si vous permettez son installation, cochez la case Always perform this action puis, cliquez sur permit. -ouvrez Process Guard, puis l'onglet Sécurité, sélectionnez apt.exe dans la liste déroulante, faites un clic droit dessus et sélectionnez Add to protection list. -ouvrez ensuite l'onglet Protection et sélectionnez de nouveau apt.exe puis, en dessous de Authorize this application to, décochez les 2 cases - Modify protected applications et Read from protected applications. - fermez Process Guard et relancez apt.exe pour effectuer les tests puis, savourez sous forme d'alertes Popup le travail de Process Guard : net et sans bavure . edit :un autre test très simple de pénétration peut également être effectué avec l'utilitaire Zapass. Ce leak test permet d'injecter un parasite (non dangereux) dans un composant actif (donc après que le composant soit monté en mémoire et ait été activé) et voir si les utilitaires de type pare-feu et contrôleurs d'intégrité voient cette attaque et la bloquent. Ce leak test, très simple, apporte la preuve qu'un parasite peut s'allouer des droits illimités et sans aucune notification de l'utilisateur. Plus d'infos et mode d'emploi de Zapass chez nos amis d'Assiste : http://assiste.free.fr/assiste.com.html?ht...test_zapass.php

Bonjour à tous. Avec RegSeeker, on peut tout supprimer sans risques si la sauvegarde est activée. Pour les paranoïaques, il est conseillé de faire une sauvegarde complète de la BDR avec des utilitaires comme SpywareStopper ou TuneUp Utilities.

Bonjour à tous. Afin de terminer cet exposé, vous trouverez ci-dessous un exemple de type d'attaque particulièrement vicieuse puisque dirigée vers plusieurs ports (qui avait-il dans ces packet invalid ?) bloquée par les règles PhantOm's : Src:20475 09/05/05,23:01:31 D-28 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1778 Src:www-http 09/05/05,23:01:32 D-29 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1778 Src:www-http 09/05/05,23:01:43 D-30 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1781 Src:www-http 09/05/05,23:01:44 D-31 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1778 Src:www-http 09/05/05,23:01:46 D-32 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1781 Src:www-http 09/05/05,23:01:46 D-33 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1781 Src:www-http 09/05/05,23:01:50 D-34 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1783 Src:www-http 09/05/05,23:01:52 D-35 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1781 Src:www-http 09/05/05,23:01:52 D-36 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1781 Src:www-http 09/05/05,23:01:53 D-37 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1783 Src:www-http 09/05/05,23:01:54 D-38 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1783 Src:www-http 09/05/05,23:01:59 D-39 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1783 Src:www-http 09/05/05,23:02:00 D-40 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1783 Src:www-http 09/05/05,23:02:04 D-41 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1781 Src:www-http 09/05/05,23:02:08 D-42 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1778 Src:www-http 09/05/05,23:02:11 D-43 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1797 Src:www-http 09/05/05,23:02:12 D-44 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1783 Src:www-http 09/05/05,23:02:14 D-45 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1797 Src:www-http 09/05/05,23:02:16 D-46 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1797 Src:www-http 09/05/05,23:02:20 D-47 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1797 Src:www-http 09/05/05,23:02:22 D-48 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1797 Src:www-http 09/05/05,23:02:29 D-49 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1781 Src:www-http 09/05/05,23:02:34 D-50 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1797 Src:www-http 09/05/05,23:02:36 D-51 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1783 Src:www-http 09/05/05,23:02:57 D-52 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1778 Src:www-http 09/05/05,23:02:58 D-53 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1797 Src:www-http 09/05/05,23:03:17 D-54 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1781 Src:www-http 09/05/05,23:03:24 D-55 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1783 Src:www-http 09/05/05,23:03:46 D-56 '+Invalid TCP packet ' 62.233.34.0 TCP Ports Dest:1797

Si Apple s'y met aussi, ou va t'on..............chez Linux Une vulnérabilité critique a été identifiée dans Apple iTunes, elle pourrait être exploitée par des attaquants afin d'exécuter des commandes arbitraires. Le problème résulte d'une erreur inconnue présente au niveau du code chargé du traitement des fichiers "MPEG4", ce qui pourrait être exploité afin de causer un déni de service ou exécuter des commandes malicieuses en incitant un utilisateur à lire un fichier "MPEG4" spécialement conçu. * Versions Vulnérables * Apple iTunes version 4.7 et inférieures * Solution * Apple iTunes version 4.8 : http://www.apple.com/itunes/download/ * Références * http://www.frsirt.com/bulletins/1204 http://docs.info.apple.com/article.html?artnum=301596 * Crédit * Vulnérabilité découverte par Mark Litchfield

Bonjour Chepiok. Ouvrir l'onglet options et cocher système dans démarage auto et niveau système dans base des registres puis, redémarrer. Tu peux aussi appliquer cette procédure : Le groupe d'options 'Démarrage Auto' permet de lancer automatiquement au démarrage de Windows: soit au niveau du système (par l'intermédiaire de la base des registres), soit en ajoutant une entrée dans le groupe 'Démarrage' du menu 'Démarrer'.

Bonsoir IPL. Beau travail d'équipe une fois de plus. Pourrais-tu m'expliquer les raisons techniques qui font que le scan d'Hijackthis et la fixation des "cochoncetés" ne se fait pas en mode sans échec ? Avant d'apprendre, j'aime bien comprendre.

Bonsoir Nico80. Vérifie si ces fichiers et entrées sont présents sur ton PC : Propriétés de Virtual Bouncer * Connects to the remote server * Displays ads * Registers as BHO Détails de Virtual Bouncer Brings ads to your computer. Creates following files and registry entries: Fichiers : FILE:%PROGRAMFILES%\vbouncer\chilkatzip.dll FILE:%PROGRAMFILES%\vbouncer\virtualbouncer.exe FILE:%PROGRAMFILES%vbouncer\vbouncerinner.exe Base de registre : BHO:{d9ec0a76-03bf-11d4-a509-0090270f86e3} KEY:HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\virtual bouncer RUN:vbouncerinnerxxxx.exe RUN:virtualbouncer.exe Voir aussi chez Pest Patrol : http://www3.ca.com/securityadvisor/pest/pe...px?id=453075744

Bonsoir azerty, bonsoir Chercheur Tu as notamment plusieurs BHO qui traînent sur ton log dont celui-ci : O 1201333E-BAD9-481C-BCF5-6904498CF85B: IEPKbho.dll - UNH Solutions (URL volontairement effacée) Attend que les spécialistes maison te répondent avant de fixer quoi que ce soit avec Hijackthis et évite de parler de la mule si tu ne veux pas qu'IPL te botte le train

Bonjour Pierre. Si ton problème est strictement identique, tu peux mettre en oeuvre la procédure indiquée sur le post.

Re. Je te conseille d'utiliser en plus ProcessGuard pour surveiller toutes tes applications (je vais d'ailleurs bientôt faire un test sur ce superbe soft gratuit). http://assiste.free.fr/assiste.com.html?ht...rocessguard.php

Bonjour Chepiok. A toi de voir si tu veux garder ctfmon actif : ctfmon - ctfmon.exe Le processus ctfmon.exe (dont le nom complet de processus est Alternative User Input Services) est un processus générique de Windows NT/2000/XP servant à gérer les entrées de saisie texte alternatives telles que les logiciels de reconnaissance de la voix (Speech recognition), les logiciels de reconnaissance d'écriture, les claviers braille ou toute alternative au clavier. Le processus ctfmon n'est en aucun cas un Virus résident, un ver, un cheval de Troie, un spyware, ni un AdWare. Le processus ctfmon est un processus système pouvant être arrêté. Tu peux par contre arrêter les entrées du type "samouraï" chinois ou japonais.

OK Tesgaz Je crois que nous pouvons donc donner un sauf conduit à Ewido, ce qui devrait en rassurer quelques-uns. Pour ce qui est du port 445, je fais le même constat que toi ainsi que pour le 135 également mais bon, il suffit de les bloquer au niveau firewall si l'on ne veut pas, pour le 445, réactiver le spooler d'impression à chaque session. Bonne journée

Salut Tesgaz. Merci pour le test car, je pense aussi qu'Ewido n'embarque pas un spy mais a un comportement curieux dans sa gestion des process et son installation ventouse très collante. Peux-tu vérifier et noter les entrées qui restent après désinstallation avec CodeStuffStarter (idem que ProcessExplorer mais, en français). At taleur

Bonjour Roberti. Bonjour et bienvenue sur le forum Zébulon Sécurité Si tu crains que ton PC soit infecté, commence par faire un peu de ménage dans le système : lance l'Explorateur Windows et supprime le contenu de --- C:\Temp --- C:\Windows\Temp suppression des fichiers inutiles par : -----Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour accepter l'examen du disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression des fichiers inutiles ----- EasyCleaner-Inutile(s) de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius sur http://personal.inet.fi/business/toniarts/ecleane.htm examen antivirus en ligne par HouseCall de Trend Micro sur http://www.secuser.com/antivirus/ ; [red](à faire avec Internet Explorer) note le nom du virus et le chemin+nom du fichier infecté ; sélectionne toutes les lignes affichées et clique sur Clean puis sur Delete pour toutes celles qui restent examen antitrojan par A² sur http://www.emsisoft.net/fr/software/free/ ; il est nécessaire de s'enregistrer pour utiliser A² ; mets bien à jour ; supprime tout ce qu'il trouve examen antispyware par ------ Ad-Aware SE 1.05 sur http://www.lavasoft.de/support/download/#free ; mets bien à jour ; supprime tout ce qu'il trouve ----- Spybot Search and Destroy 1.3 sur http://www.safer-networking.org/?page=download ; mets bien à jour ; supprime tout ce qu'il trouve. Pour une meilleure efficacité, il est hautement recommandé d'effectuer les examens antitrojan et antispyware en mode sans échec, de même que le scan d'Hijackthis. Ensuite poste un nouveau rapport hijackthis avec la dernière version du logiciel : - télécharger HijackThis de Merijn Belekom http://www.merijn.org/files/hijackthis.zip - l'installer dans un répertoire spécifique (peu importe où mais pas sur le bureau ni dans le répertoire Temp) - lancer HJT et cliquer sur "Config", s'assurer que "Make backups before fixing items" est activé. - cliquer sur 'Scan', l'affichage est instantané. - à la fin du Scan, cliquer sur 'Save log', indiquer le répertoire dans lequel enregistrer le résultat et cliquer sur OK. - une fenêtre Bloc-notes s'ouvre : Ctrl-A pour sélectionner tout le texte, Ctrl-C pour le copier dans le presse papier. - mettre le texte dans un post ci-dessous (Ctrl-V) de manière à ce que nous te disions ce qu'il faut faire. - fermer la fenêtre du Bloc-notes ; fermer la fenêtre HijackThis. - attendre l'analyse et la réponse. Source : tutorial d'ipl sur les préliminaires à effectuer avant l'utilisation d'Hijackthis

Bonjour Bernie . Rassure toi, je ne me suis pas senti offusqué par cette omission et il est clair que PCA et Zébulon sécurité partage la même ambition : chasser les cafards de nos PC et surtout les empêcher d'y entrer. A bientôt et saches que tu seras toujours le bienvenu sur Zeb (parfois Zen) Sécu.

Bonjour à tous. Voir sous ce lien les infos concernant ce process qui peut être arrêté : http://startup.iamnotageek.com/srch-ALCWZRD.EXE.html

Merci pour l'info ipl, mais je pense que tu vas prendre part à cette discussion et ajouter quelques brèves. Je constate aussi que cette discussion devient plus qu'intéressante, même si à priori notre chasseur de fantômes semble clean. A suivre............

Bonjour ghugh et bienvenue sur Zébulon. Tu peux utiliser l'utilitaire de désinfection Fix Vundo http://www.secuser.com/telechargement/desinfection.htm et poste ensuite un rapport Hijackthis: HijackThis v1.99.1: http://www.merijn.org/files/hijackthis.zip Important: Installer Hijackthis correctement L’installer sous C:\Hijackthis par exemple (pas dans un fichier temp) Scan/save log (rapport)/copier&coller le contenu du rapport ici Tutorial pour l’installation et l'utilisation: http://sitethemacs.free.fr/aide_enregistre...e_hijackthi.htm edit: si tu as d'autres liens queruak, il faut que ghugh attende pour lancer le nettoyage.

Entendu. Je vais aller à la pêche aux bug car, il se peut que notre curieux personnage soit du genre pieuvre très attachée, comme le monstrosaure de l'antivirus.

Qui a dit que le chef lisait le journal. On attend ça avec impatience IPL.

Bonsoir jawabel. Je vais peut être te décevoir, mais il s'avère que je ne suis pas un spécialiste de la lecture d'un log Hijackthis (pour le moment s'entend, mais je compte bien apprendre). Ceci dit, il faudrait refaire ton scan Hijackthis en mode sans échec pour qu'IPL, Stonangel ou queruak (de vrais spécialistes de l'Hijack ) puissent te répondre.

Bonsoir IPL. Je suis bien de ton avis, il faut tester le comportement d'Ewido avant de rendre un verdict. Ce qui m'a semblé pour le moins anormal, c'est qu'installé sous le contrôle de Total Uninstall et après désinstallation, il restait 20 entrées dans la BDR dont des drivers. Je n'ai jamais trouvé autant de résidus après la désinstallation d'un soft contrôlé par TU et de plus, pourquoi ce soft s'arroge t-il le droit de rester actif en permanence même en état d'inactivité ??? Tant que je n'aurai pas de réponses crédibles à ces interrogations, je déconseillerai son utilisation mais, chacun fait ce qu'il veut bien évidemment. edit: queruak, je pense que nous nous sommes bien compris car, l'on est jamais assez prudent, même si c'est une fausse alerte.

Salut Léon Il y a une pré beta en fr ici, mais vaut mieux attendre la prochaine version de Moox et bloquer la faille pour le moment. http://www.infos-du-net.com/forum/85328-7-firefox-1.0.4