virus

[Invité tesgaz]

Je t'ai dis d'essayer un autre antivirus...... moi j'ai essayé Bitfedender et y a plus de virus sur mon poste et pas besoin d'Anti-Troyen ou Ad Aware

m'enfin si tu prefere d'emm.....

salut,

je n'ai encore jamais vu un antivirus supprimer des backdoors ou des troyens ni même des vers réseau !!!!!!

 

Donc un antivirus ne suffit pas aujourd'hui pour se protéger convenablement de tout ce qui circule sur le NET

[pgriffet]

Il est possible de faire un scan antivirus en ligne ici :

http://www.secuser.com/outils/antivirus.htm

 

Mais il y a moyen de se débarrasser des virus sans antivirus.

Pour savoir si un programme qui tourne est un virus, un site en anglais répertoriant des milliers d'entrées qu'on voit dans MSConfig

 

http://www.pacs-portal.co.uk/startup_pages...startup_all.php (la page fait 1.2 MB !)

 

 

1) Faire CTRL+ALT+DEL -> onglet processus -> cliquer sur la ligne du programme et ensuite sur "terminer le processus"

2) Aller dans le répertoire où se trouve le virus, s'assurer que les cases "afficher les fichiers cachés" soit cochée dans les options car il a probablement les attributs cachés. Une fois qu'on l'a localisé, le supprimer sans passer par la Corbeille, c'est-à-dire en appuyant sur la touche MAJ au moment de la suppression.

3) Ensuite faire "Démarrer" -> "Exécuter" -> MSconfig (entrée) -> onglet "démarrage"

Décocher le nom du programme parasite.

 

Il faut impérativement faire la procédure ci-dessus dans l'ordre car sinon, on n'arrive pas à effacer le programme s'il est toujours en mémoire et décocher l'entrée de MSConfig sans l'avoir arrêté ne sert sans doute à rien car le virus contrôle sûrement s'il est toujours présent à cet endroit.

 

L'utilitaire Hijackthis permet en un clin d'oeil de se rendre compte de tout ce qui est lancé au démarrage "à l'insu de ton plein gré" et de tout ce qu'il y a en RAM.

tu peux lire mon sujet :

 

http://forum.pcastuces.com/sujet.asp?SUJET_ID=8269

 

copier le contenu du Bloc-notes et coller ici le résultat de l'analyse de HijackThis.

Modifié le 14 novembre 2003 par pgriffet

[virusdav]

Je t'ai dis d'essayer un autre antivirus...... moi j'ai essayé Bitfedender et y a plus de virus sur mon poste et pas besoin d'Anti-Troyen ou Ad Aware

m'enfin si tu prefere d'emm.....

salut,

je n'ai encore jamais vu un antivirus supprimer des backdoors ou des troyens ni même des vers réseau !!!!!!

 

Donc un antivirus ne suffit pas aujourd'hui pour se protéger convenablement de tout ce qui circule sur le NET

ben essaye tu verra mon pote....

[Invité tesgaz]

Ce n'est pas la peine que j'essaie, je sais de quoi je parle,

voici la défintion d'un rootkit indetectable, qui existe et fonctionne parfaitement, juste pour te faire comprendre qu'un antivirus est souvent impuissant face à ce type de code :

 

Ce rootkit permet non seulement de cacher des processus, fichiers, répertoires,

clés registre, connexions, mais encore de récupérer les mots de passe NT ou d'interdire la suppression de certains fichiers, que ce soit à partir de l'explorateur Windows ou d'une simple fenêtre d'émulation MS-DOS. Les fichiers et répertoires sont également invisibles avec ces deux outils intégrés à Windows (et même d'autres, pour les processus par exemple, ils sont également invisibles avec tasklist.exe ou WinTask PRO).

 

Concernant les connexions, toutes celles qui utilisent un port compris entre 65400 et 64999 sont invisibles lors d'un listage par 'netstat.exe'.

 

La récupération des mots de passe NT est possible lorsq'un utilisateur lance un exécutable à partir de la commande 'RunAs'. Le rootkit détourne alors la fonction afin de récupérer le mot de passe qui lui est fourni (les mots de passe sont par ailleurs logués dans le fichier : "%systemroot%\winini.sys".

 

@#! IMPORTANT @#! Le rootkit fonctionne totalement en USER-LAND (RING3), AUCUN module kernel (KMOD) n'est utile . Ce type d'infection se révèle plus stable pour le système et n'est pas détectée par la plupart des antivirus récents.

 

Voila, ce type de rootkit existe malheureusement,

 

un autre juste pour le plaisir de passer les firewall

Outil permettant de récupérer un shell DOS à distance après avoir binder celui ci sur la machine distante grâce à une procédure d'injection et d'exécution du code en mémoire dans un processus, ici 'explorer.exe'. La connexion au shell se fait par reverse connexion, cela permet donc de bypasser pas mal de firewall.

 

Pour finir, les antivirus, c'est comme la lutte Anti-dopage, ils ont une longueur de retard

Modifié le 14 novembre 2003 par tesgaz

[douds]

Salut,

d'après ce que j'ai entendu dire BiteDefender est "le meilleur AV" du moment...et c'est peut-être vrai...un jour c'est l'un, un jour c'est l'autre. Cependant, il n'est pas gratuit ! Et moi j'aime les trucs gratuits alors j'utilise Antivir et Mailwasher, j'évite d'ouvrir les pièces jointes des inconnus...et j'ai blindé le pare-feu XP et les services, je fais les maj critiques quand elles sortent...mais tout arrive !!! Que pensez de AVG ? Il vérifie les emails alors qu'Antivir non...si j'ai bien compris Je ne sais pas si je dois changer

[anatole]

Bonsoir

 

Le débat devient très technique et s'enflamme marestons zen !!!

En ce qui me concerne bien modestement, depuis que j'ai zoneAlarm, je peux voir les programmes installés chez moi.... qui veulent sortir et dont zoneAlarm précise leur origine

Pour l'instant j'ai bloqué un programme "non identifié" nstrue.exe que j'ai trouvé après une recherche dans virusportal.com, associé à Sdbot.Av [même si dans le texte de la description de ce virus-trojan le nom nstrue.exe n'apparait pas ! ?]

Dans ma base nstrue.exe est associé à

[anatole]

restons zen disais-je

Moi dans ma base :

HKLM\software..Windows\Run\ et RunServices

nstrue.exe est associé à une clé "Pofatch" ?

 

Je vais détruire ces entrées, relire tous les derniers messages et voir comment l'aventure continue

 

Bon week-end

[Invité tesgaz]

Zen, toujours,

 

 

bon, profites-en pour faire une recherche dans ta base de registre avec le mot "Pofatch"