Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e)

Bonsoir à tous,

 

J'écris fréquemment que l'objectif d'un pirate est de commettre son forfait sans éveiller l'alerte, de prendre grand soin du système qu'il infecte pour ne pas prendre trop de bande passante, désactiver "gentiment" les protections, etc.

J'écris souvent qu'un malware peut en cacher un autre et qu'il ne faut pas se contenter de traiter le symptôme !

 

En voici une illustration !

 

http://www.techsupportforum.com/showthread...?threadid=60816 (LOL merci megataupe)

 

Je suis tombé sur un rapport HijackThis initial ma foi, pas très impressionnant !

 

Regardez tout de même :

 

- apparition d'autres lignes dans le rapport HijackThis

 

- apparition de très nombreux fichiers infectés sur le disque

 

- à plusieurs étages

 

- la persévérance de sUBs

 

- la grande variété d'outils employés et en particulier les scans antivirus différents

 

Le nettoyage a duré du 11 au 16 juillet 2005 avec pas moins de 7 allers-retours !

 

Les connaisseurs pourront apprécier ! Des leçons pour chacun !

Good job Mr sUBs! :P

 

 

 

Lorsqu'un internaute écrit que son antivirus a détecté tel ou tel "virus", il faut examiner l'ensemble du système !

Posté(e)

Tu as oublié le lien chef :P . Maintenant, je me demande bien pourquoi les pirates "balancent" des noms de fichiers pareils, exemple pris sur un log HJT :

 

C:\Documents and Settings\All Users\Application Data\blehantipartcoal

C:\Documents and Settings\BATARD\Local Settings\Temp\hryjeosl.exe

C:\Documents and Settings\BATARD\Local Settings\Temp\mhhzmcgb.exe

C:\Documents and Settings\BATARD\Local Settings\Temporary Internet Files\Content.IE5\OBFRY8XD

 

Faut être aveugle, ou prendre les nettoyeurs pour des cons, pour ne pas conseiller de les fixer, à moins qu'ils ne cachent d'autres vermines qui elles sont moins repérables ?

Posté(e)

Bonsoir megataupe,

 

Merci pour m'avoir réveillé et alerté qu'il manquait le principal ! :P

 

Pour ce qui est de ton quatrième exemple

C:\Documents and Settings\BATARD\Local Settings\Temporary Internet Files\Content.IE5\OBFRY8XD
Je ne sais pas (si, je crois savoir !) si tu considères Bill Gates comme un pirate mais c'est bien du standard Windows (un sous répertoire de TIF) !
Posté(e) (modifié)

Et après ça : OBFRY8XD (made in crosoft donc) on s'étonnera que les pirates pénétrent aussi facilement dans la meule de Billou. A propos de meule et de trous : Le mardi 9 août sera le mois des corrections chez Microsoft. Pas moins de 6 patchs sont d'ores et déjà prévus pour le mardi à venir, dont un est qualifié de "critique". Devrait y avoir quelques fichiers du genre ZPKPUKILO à la pelle :P .

 

edit: ton lien:

 

http://www.techsupportforum.com/showthread...?threadid=60816

 

est invalide. Merci IPL :P:-P:-(

 

Celui là est bon mais, dans un autre registre qui devrait surement plaire à Charles et Stonangel :P que je salue :

 

http://www.thespykiller.co.uk/chronicles.htm

Modifié par megataupe
Posté(e)

megataupe,

 

Sûr que ton lien est mauvais !

Où donc es-tu allé le chercher ? :P le mien est bon !

Posté(e)

Bonsoir à tous,

...

Celui là est bon mais, dans un autre registre qui devrait surement plaire à Charles et Stonangel :P  que je salue :

 

http://www.thespykiller.co.uk/chronicles.htm

Je fais remarquer que :

 

- ce lien aurait du être sur ma page Web http://gerard.melone.free.fr/IT/IT-HJT2.html#OPs mais dvk01uk a changé l'URL sans m'avertir ! LOL

 

- ce lien "Document last updated: February 29, 2004" n'est pas à jour

 

- le document à consulter est la référence en la matière "The CoolWebSearch Chronicles" de Merijn -> http://www.spywareinfo.com/~merijn/cwschronicles.html

Posté(e)

Bonsoir à tous,

 

Du nouveau concernant CWShredder et les "CoolWebSearch Chronicles" !

 

J'ai trouvé plus récent et plus à jour que le site de Merijn... et çà me fait très plaisir :

 

Trend Micro (Japonais) semble reprendre CWShredder -> version 2.15 May 2005 - http://www.trendmicro.com/cwshredder/

 

et les chronicles (44 variantes) -> http://cwshredder.net/cwshredder/cwschronicles.html

 

Merci à Gladiator !

Posté(e)

Bonjour à tous,

 

De même, pour illustrer encore l'esprit de communauté qui prévaut aux US, voici un exemple de l'entraide entre forums.

Loin d'être concurrents, les experts sont tous membres de nombreux forums sur lesquels ils postent indifféremment (où ils sont utiles), de même qu'ils se rencontrent dans les séminaires entre MVP !

CalamityJane  Aug 2 2005, 03:14 AM

 

Global Board Mom Group: General Admin

 

I hope no-one is offended by this post. I try to help in struggling forums when I see I am needed most - so get around wherever I see the most need.

 

If anyone has some spare time, Suzi's forum is really needing some help (very few qualified helpers doing logs there).

 

If you want some fresh Aurora/L2me/Qoologic infections to sink your teeth into, we seem to have a overflow of victims to work on

 

Thanks in advance to anyone who can help out flowerz.gif

 

P.S. If you're not "ranked" yet at her forum, please feel free to sign up and send me a PM or post here what username you are using at SWW. I'll let her know to get you in a helping position.

Hunter  Aug 2 2005, 03:17 AM

 

The Flying Dutchman Group: General Admin

 

Come on guys..give Suzi some support and we all thank you. yeah.gif

Ce sont là des comportements qui correspondent bien à ce que beaucoup sur Zebulon, ont en tête et dans le coeur !

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...