Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Demande D'information

FLORIAN

Par FLORIAN
dans Analyses et éradication malwares

 Partager

Messages recommandés

megataupe Godlike Member

megataupe

Posté(e)
Posté(e)

Ca devient passionnant ce cas d'école car, même Hijackthis arrive à se faire contourner, mais il est vrai que les concepteurs de vers connaîssent bien HJT et c'est un peu une lutte à distance entre le génial Merjin et les crackers égocentriques.

queruak Full Patch Member

queruak

Posté(e)
Posté(e) (modifié)

Bonsoir à tous,

 

J'ai lu la discussion ,et OldTimer ,à aucun moment ne demande de traiter ces lignes.

J'ai parcouru d'autres discusions sur d'autres forums aussi réputés que Bleeping (SpywareInfo entre autres..) et personne n'a signalé ce lignes comme etant illégitimes.

J'ai donné dans un post précedent le site de réference(http://www.fbeej.dk/NewHJTEntries.htm ),qui ne fait pas mention de ces lignes.

 

En quoi ce lignes sont néfastes ?

Modifié par queruak
ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)
Ca devient passionnant ce cas d'école car, même Hijackthis arrive à se faire contourner, mais il est vrai que les concepteurs de vers connaîssent bien HJT et c'est un peu une lutte à distance entre le génial Merjin et les crackers égocentriques.

515729[/snapback]

Oui, les pirates connaissent bien HJT qui a connu son heure de gloire avec des attaques en DDoS contre son site et tous les forums antispywares !

 

Hélas, Merijn est bien pris par ailleurs et m'a l'air de saturer un peu ! Il s'est un peu éloigné du groupe d'experts de SWI et est un peu déboussolé si j'en crois les sites miroirs qui n'arrêtent pas de changer !... Il a certes été critiqué pour avoir cédé ses droits sur CWShredder mais c'est bien dommage qu'il se retrouve seul ! Je lui ai personnellement dit que je ne lui en voulais pas et je l'ai remercié pour ce qu'il a apporté à l'Internet !

Pas de place pour l'émotionnel chez les crackers : très pragmatiques et redoutables !

ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)
Bonsoir à tous,

 

J'ai lu la discussion ,et OldTimer ,à aucun moment ne demande de traiter ces lignes.

J'ai parcouru d'autres discusions sur d'autres forums aussi réputés que Bleeping (SpywareInfo entre autres..) et personne n'a signalé ce lignes comme etant illégitimes.

J'ai donné dans un post précedent le site de réference(http://www.fbeej.dk/NewHJTEntries.htm ),qui ne fait pas mention de ces lignes.

 

En quoi ce lignes sont néfastes ?

515751[/snapback]

OldTimer (formé sur SWI) ne traite pas ces lignes car il sait qu'elles le seront par les outils qu'il fait lancer !... le fait est qu'elles sont parties... et donc, néfastes !

Quant à FBJ... je le connais un peu (échanges par MP) !... bof !

Invité tesgaz

Invité tesgaz

Posté(e)
Posté(e)

Salut queruak :P

 

En quoi ce lignes sont néfastes ?

 

je répondrais par uune autre question:

en quoi ces lignes sont légitimes sur un système sain, puisqu'elle n'existent pas d'origine ?

queruak Full Patch Member

queruak

Posté(e)
Posté(e) (modifié)
Salut queruak :P

je répondrais par uune autre question:

en quoi ces lignes sont légitimes sur un système sain, puisqu'elle n'existent pas d'origine ?

515764[/snapback]

 

Salut tesgaz :-(

 

Les fichiers en question Shell32.dll, Stobject.dll, qui sont légitimes,et qui sont dans leur emplacement légitime C:\WINDOWS\System32\.

 

Ce ne sont pas des noms aléatoires,et aucun trojan connu ne leur est associé.

 

Sur de nombreux rapport,on voit beaucoup de lignes018,020,021,023 inhabituelles,mai elles ne sont pas pour autant néfastes.

 

Te rappelles tu la discussion qu'on a eu sur un autre forum au sujet d'un ligne020 ?

(O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll )

Modifié par queruak
queruak Full Patch Member

queruak

Posté(e)
Posté(e)
OldTimer (formé sur SWI) ne traite pas ces lignes car il sait qu'elles le seront par les outils qu'il fait lancer !... le fait est qu'elles sont parties... et donc, néfastes !

Quant à FBJ... je le connais un peu (échanges par MP) !... bof !

515762[/snapback]

 

Salut ipl :P

Personne d'autre n'a fixé ces lignes...

Pour FBJ,tu me parles de la personne ,ou des informations qui sont sur son site?

 

On sait que FBJ est quelqu'un de susceptible,limite enfantin,mais doit on pour cela remettre en cause toutes les informations qu'il donne au sujet des lignes020,021,022 ?

A ma connaissance son site est toujours une réference ,non ?

ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Rebonsoir queruak, rebonsoir à tous,

 

Pourquoi les pipes ?

 

>Pour FBJ,tu me parles de la personne ,ou des informations qui sont sur son site?

Des deux !

FBJ n'effectue aucun travail personnel. Il se contente d'éplucher les discussions de forums et de renseigner ses pages... c'est mieux que rien mais il a beaucoup de retard sur la réalité !

Mais à part Google, je n'ai pas mieux à proposer !

 

Veux-tu parler de la discussion NavLogon que j'avais lancée ?

Invité tesgaz

Invité tesgaz

Posté(e)
Posté(e)

oui queruak,

 

mais, je reste pragmatique sur ce sujet, dans un système sain ne donne pas ces lignes O21

 

que les dll soit légitimes est une chose, mais les || derriere ne me disent rien de bon

 

 

quand on execute autoruns, on trouve bien c'est 3 lignes dans le registre

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

 

mais, il n'y a pas les pipes derrieres, et donc hijackthis ne les sort pas sur le rapport

ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Les pipes sont devant et derrière ! Volonté de masquer de la part de...

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...