Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Rivarts.A

rene2200

Par rene2200
dans Analyses et éradication malwares

 Partager

Messages recommandés

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut Gof et Tirol:)

 

 

rick of today , j'ai édité mon post plus haut =>

rick of today , STP: poste tes rapports dans une discussion à toi !!on y comprends plus rien et on va tout mélanger!

 

Ne tripote pas la base de registre sans être sûr, les risques sont gros!!

 

Dans ton cas précis ce service est légitime et a été installé par a-squared!! n'y touche pas c'est un faux positif

 

Pour Gof : belle manip avec Regdalc!! je me demande si le fait de ne pas avoir effacé toutes les clés d'un coup

et les services et les clés LEGACY! Je jette un oeil!

tirol Extrem Member

tirol

Posté(e)
Posté(e)

Quelques éléments du créateur du driver : Madshi

 

Just found this thread via google. I'm the author of madCodeHook and would like to add a comment:

 

As was already explained by the mods here (thank you!), mchInjDrv is a driver which is internally used by madCodeHook to inject dlls into other processes. This is part of the whole API hooking technology. Now the injection driver in itself is quite innocent. It does nothing but inject a specified dll. It doesn't really know what purpose the dll has.

 

Unfortunately some programmers misused madCodeHook to write rootkits (I really hate that). I've contacted them and asked them to stop doing that. They promised to stop using madCodeHook for rootkits etc, hopefully they'll really do.

 

On the positive side, a lot of good software "antiSomethingBad" is using madCodeHook for good purpose, and I'm quite happy about that.

 

When you see "mchInjDrv" on your PC, you can only check whether the process which wants to use that is a process which you trust or not. The injection driver itself is not bad, but the dll which is injected *can* potentially be bad (unfortunately). If there was a way to detect bad dlls, I'd love to add that functionality to the injection driver, but I don't think that's technically possible.

 

Why don't companies implement their own hooking technology? Because this is a *damn* difficult job to do. I've spent years to make madCodeHook stable and I'm proud to say that I believe it's one of the best available user mode API hooking packages on the market. All those companies using madCodeHook are just trying to not reinvent the wheel but to use a technology which is well tested and proven. Of course they could try to implement their own solution, but it would cost them years and the first versions would most probably be quite unstable (as mine were in the beginning).

 

Thanks for listening. And if you have any questions or suggestions, please let me know.

 

sur le fichier mc21.tmp

 

This seems to be a false alarm. I've been contacted already that Norton fires alarm for all software using madCodeHook. Quite stupid. I'm about to contact Norton to correct this...

 

Ce driver est utilisé par A-squared mais aussi par SpySweeper.

tirol.

  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Modérateurs
Posté(e)

Bon, "standby" pour l'instant Rene2200 ! :P On touche à rien, on va prendre l'air et boire un kawa ! :P

 

J'attends l'avis des gens plus compétents que moi, ne t'inquiète pas. :-P

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

Ouaip ,standby :P

 

J'ai peur qu'il ne faille restaurer la clé suivante :

[HKEY_USERS\S-1-5-21-839522115-1409082233-2147200963-1003\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit]

Je te poste la rectification!

 

Salut Kim :P

Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

Une question rene2200 , j'aimerai que tu ailles voir dans ton registre aux adresses suivantes, pour t'assurer que les clés en gras sont encore présentes:

 

HKEY_USERS\S-1-5-21-839522115-1409082233-2147200963-1003\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit

 

et

 

HKEY_USERS\S-1-5-21-839522115-1409082233-2147200963-1003\Software\Microsoft\Search Assistant\ACMru\5603

 

Je parle bien des clés en gras! Pour les voir fais ceci:

 

*Passe par démarrer > exécuter > tape regedit

 

naviguer jusqu'a ces clés ( en cliquant sur le signe + à gauche).

 

Dis nous stp ce qu'il en est!

Modifié par charles ingals
rick of today Member

rick of today

Posté(e)
Posté(e)

bonjour désolé d'avoir interféré mes problèmes au milieu de ceux de rené!

je posterai mes pb dans un message personnel la prochaine fois!

je comprends donc que A Squared est à l'origine de ces messages.

ce que je ne comprends pas c'est pourquoi microsoft antispyware détecte rivarts.A depuis quelques jours et avant rien? même chose pour toi rené?

rene2200 Member

rene2200

Posté(e)
  • Auteur
Posté(e) (modifié)

Une question rene2200 , j'aimerai que tu ailles voir dans ton registre aux adresses suivantes, pour t'assurer que les clés en gras sont encore présentes:

 

HKEY_USERS\S-1-5-21-839522115-1409082233-2147200963-1003\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit

 

 

 

Non la clé regedit n'y es pas charles ingals

 

 

HKEY_USERS\S-1-5-21-839522115-1409082233-2147200963-1003\Software\Microsoft\Search Assistant\ACMru\5603

 

et celle là non plus :'(

 

pour répondre à ta question rick of today antispy a detecté dans la nuit du jeudi au vendredi

car auparavant il ne là pas detecté merci à vous votre aide, en tous cas je suis obligé de le faire a chaque demarrage car si reboot il revient :'(

 

je laisse quand meme un screen de la base de registre tj mieux en image :P

 

regedit3vw.th.jpg

 

je voudrais juste ajouté que A2 n'as pas été installé avant d'avoir ce soucis c'est quand antispy de microsoft à detecté ca que j'ai essayé d'installé des soft que je connaissais deja pour essayer de l'eradiquer

 

le truc c'est qu'il est sur tout le reseau ici, mon server et mes machines en sous reseau quel bazard :'(

Modifié par rene2200
  • Modérateurs
Gof Devil Member !

Gof

Posté(e)
  • Modérateurs
Posté(e)

Bonjour rene2200,

 

ravi d'avoir de tes nouvelles. Repasse dans la journée ou en début de soirée, Charles te fera remettre ces deux clés absentes qui te sont nécessaires. Je ne peux rester d'avantage ce matin, je vais être à la bourre :P !

 

Mais il faut corriger les conséquences de mon acharnement à t'ôter ce "faux-positif" !

 

Pardonne moi encore :P

 

A ce soir. :-P

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...