Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

ipl_001

Désinfection type sur Tech Support Forums

Messages recommandés

Bonsoir à tous,

 

J'écris fréquemment que l'objectif d'un pirate est de commettre son forfait sans éveiller l'alerte, de prendre grand soin du système qu'il infecte pour ne pas prendre trop de bande passante, désactiver "gentiment" les protections, etc.

J'écris souvent qu'un malware peut en cacher un autre et qu'il ne faut pas se contenter de traiter le symptôme !

 

En voici une illustration !

 

http://www.techsupportforum.com/showthread...?threadid=60816 (LOL merci megataupe)

 

Je suis tombé sur un rapport HijackThis initial ma foi, pas très impressionnant !

 

Regardez tout de même :

 

- apparition d'autres lignes dans le rapport HijackThis

 

- apparition de très nombreux fichiers infectés sur le disque

 

- à plusieurs étages

 

- la persévérance de sUBs

 

- la grande variété d'outils employés et en particulier les scans antivirus différents

 

Le nettoyage a duré du 11 au 16 juillet 2005 avec pas moins de 7 allers-retours !

 

Les connaisseurs pourront apprécier ! Des leçons pour chacun !

Good job Mr sUBs! :P

 

 

 

Lorsqu'un internaute écrit que son antivirus a détecté tel ou tel "virus", il faut examiner l'ensemble du système !

Partager ce message


Lien à poster
Partager sur d’autres sites

Tu as oublié le lien chef :P . Maintenant, je me demande bien pourquoi les pirates "balancent" des noms de fichiers pareils, exemple pris sur un log HJT :

 

C:\Documents and Settings\All Users\Application Data\blehantipartcoal

C:\Documents and Settings\BATARD\Local Settings\Temp\hryjeosl.exe

C:\Documents and Settings\BATARD\Local Settings\Temp\mhhzmcgb.exe

C:\Documents and Settings\BATARD\Local Settings\Temporary Internet Files\Content.IE5\OBFRY8XD

 

Faut être aveugle, ou prendre les nettoyeurs pour des cons, pour ne pas conseiller de les fixer, à moins qu'ils ne cachent d'autres vermines qui elles sont moins repérables ?

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir megataupe,

 

Merci pour m'avoir réveillé et alerté qu'il manquait le principal ! :P

 

Pour ce qui est de ton quatrième exemple

C:\Documents and Settings\BATARD\Local Settings\Temporary Internet Files\Content.IE5\OBFRY8XD
Je ne sais pas (si, je crois savoir !) si tu considères Bill Gates comme un pirate mais c'est bien du standard Windows (un sous répertoire de TIF) !

Partager ce message


Lien à poster
Partager sur d’autres sites

Et après ça : OBFRY8XD (made in crosoft donc) on s'étonnera que les pirates pénétrent aussi facilement dans la meule de Billou. A propos de meule et de trous : Le mardi 9 août sera le mois des corrections chez Microsoft. Pas moins de 6 patchs sont d'ores et déjà prévus pour le mardi à venir, dont un est qualifié de "critique". Devrait y avoir quelques fichiers du genre ZPKPUKILO à la pelle :P .

 

edit: ton lien:

 

http://www.techsupportforum.com/showthread...?threadid=60816

 

est invalide. Merci IPL :P:-P:-(

 

Celui là est bon mais, dans un autre registre qui devrait surement plaire à Charles et Stonangel :P que je salue :

 

http://www.thespykiller.co.uk/chronicles.htm

Modifié par megataupe

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir à tous,

...

Celui là est bon mais, dans un autre registre qui devrait surement plaire à Charles et Stonangel :P  que je salue :

 

http://www.thespykiller.co.uk/chronicles.htm

Je fais remarquer que :

 

- ce lien aurait du être sur ma page Web http://gerard.melone.free.fr/IT/IT-HJT2.html#OPs mais dvk01uk a changé l'URL sans m'avertir ! LOL

 

- ce lien "Document last updated: February 29, 2004" n'est pas à jour

 

- le document à consulter est la référence en la matière "The CoolWebSearch Chronicles" de Merijn -> http://www.spywareinfo.com/~merijn/cwschronicles.html

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir à tous,

 

Du nouveau concernant CWShredder et les "CoolWebSearch Chronicles" !

 

J'ai trouvé plus récent et plus à jour que le site de Merijn... et çà me fait très plaisir :

 

Trend Micro (Japonais) semble reprendre CWShredder -> version 2.15 May 2005 - http://www.trendmicro.com/cwshredder/

 

et les chronicles (44 variantes) -> http://cwshredder.net/cwshredder/cwschronicles.html

 

Merci à Gladiator !

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour à tous,

 

De même, pour illustrer encore l'esprit de communauté qui prévaut aux US, voici un exemple de l'entraide entre forums.

Loin d'être concurrents, les experts sont tous membres de nombreux forums sur lesquels ils postent indifféremment (où ils sont utiles), de même qu'ils se rencontrent dans les séminaires entre MVP !

CalamityJane  Aug 2 2005, 03:14 AM

 

Global Board Mom Group: General Admin

 

I hope no-one is offended by this post. I try to help in struggling forums when I see I am needed most - so get around wherever I see the most need.

 

If anyone has some spare time, Suzi's forum is really needing some help (very few qualified helpers doing logs there).

 

If you want some fresh Aurora/L2me/Qoologic infections to sink your teeth into, we seem to have a overflow of victims to work on

 

Thanks in advance to anyone who can help out flowerz.gif

 

P.S. If you're not "ranked" yet at her forum, please feel free to sign up and send me a PM or post here what username you are using at SWW. I'll let her know to get you in a helping position.

Hunter  Aug 2 2005, 03:17 AM

 

The Flying Dutchman Group: General Admin

 

Come on guys..give Suzi some support and we all thank you. yeah.gif

Ce sont là des comportements qui correspondent bien à ce que beaucoup sur Zebulon, ont en tête et dans le coeur !

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×