Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

un souci avec un truc fantome (Résolu)

Aritz

Par Aritz
dans Analyses et éradication malwares

 Partager

Messages recommandés

ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Bonjour Aritz, Sacles, horus agressor, bonjour à tous,

 

Les propos de cette discussion commencent à quitter le sujet...

Aritz Junior Member

Aritz

Posté(e)
  • Auteur
Posté(e)

Bonjour Aritz, Sacles, horus agressor, bonjour à tous,

 

Les propos de cette discussion commencent à quitter le sujet...

 

La, je suis d'accord avec toi.

Je suis ce forum et ce site (Zebulon) depuis fort longtemps. Il a été ma source de beaucoup d'infos et d'aide.

Puis un jour, sur un autre forum dont je tairais le nom un des membres nous a fait découvrir un soft (bon, je ne le cite pas , tout le monde sait du quel je parle) je n'ai jamais eu de souci avec (environ 1 an). Puis, la semaine dernière, suite à une visite sur un site (russe pour tout dire) j'ai subit une attaque.

Mon soft a réagit et m'a trouvé plusieurs choses (des sniffers en autres). Je suis comme St Thomas, je ne me fie pas à tout les softs. Je fais un scan avec pestpatrol, j'en fais un autre avec search & Destroy, je fais un scan avec Windows defender. Chacun de ces softs m'ont trouvé 1 voire 2 trucs me confirmant ce que me disait mon fameux soft (tout en un et qui fait le café :P )

Je viens sur ce forum, je lis un peu tout et je fais la marche à suivre décrite, je dl ewido etc... je scanne, je redémare en sans échec etc....

Bon, jusque là, tout est correct non!

Je réussi a virer toutes les merdes que j'ai, sauf une qui se réinstalle et qui est dérecté.

Jusque là, tout est toujours bon.

 

Je mets les mains dans le cambouis, je cherche dans ma bdr pour voir si c'est pas une fausse alerte, Et je trouve cette fameuse clef. Je la vire manuellement, je refais un scan, elle n'est plus détecté. Je cris victoire et je reboote. Je rescanne et bingo, elle est de nouveau là.

 

Dans ma petite tête d'ouvrier du bâtiment, je me dis: " Mon gars, c'est trop fort pour toi, demande de l'aide à ceux qui connaissent et qui aident les autres"

 

Je m'inscris sur ce forum, je pose une question toute simple (voir plus haut) j'explique mon soucis (peut être moins bien que maintenant il est vrai) et je demande si quelqu'un peux voir mon log et me dire quel est le programme qui me recopie cette clef.

 

Y a pas plus simple!!!

 

La, on commence a m'aider et je lui suis reconnaissant. Puis, un autre arrive et commence a me dire " ton soft ne vaut rien il a mauvaise réputation etc etc...

 

Je ne vois pas le rapport avec mon souci. Il peut être mauvais (mon soft), ou pas aimé soit mais, j'ai un soucis et d'autres softs mon trouvé des morceaux de ces soucis. Alors, je viens pour une aide et on m'envoie bouler sans essayer de comprendre et me disant que l'on a de meilleurs softs que moi, que je ne cherche qu'a engraisser les multinationales etc....

 

C'est pour ça que moi aussi j'ai pris le bouillis et que j'ai fais remarquer que si on voulait évoluer, il ne fallait pas camper sur ses positions et écouter les autres.

 

En bref, je suis venu demander de l'aide et en retour on a critiqué mes softs, on c'est foutu de moi. Et quand je suis rentré dans le même jeu en faisant des remarques (c'est vrai sorti du contexte de l'informatique) ça n'a pas plu.

 

Mais, je vous rassure, je n'ai de la haine pour personne. Et contrairement à ce que l'on pourrait penser, dans le milieu de l'informatique (que j'ai commencé en 88 avec un MSX) je n'ai aucune certitude.

Car, je sais qu'un truc que l'on trouve bien pendant des années peut vous lacher du jour au lendemain (voir le passage sur Ad-Aware dont j'ai donné le lien pour plus de crédibilité) et d'autres softs qui ont mauvaises presse devenir bon par la suite.

Mais, cela est une autre histoire

 

On disait bien que Firefox était très bien et n'aspire pas les virus contrairement à IE! ( pour info, Firefox est mon navigateur) et pourtant, il est de plus en plus attaqué et cela fait 2 fois en 1 mois qu'une faille est découverte (et réparée)

 

On ne dit pas aux internautes si tu as des virus ou des spy c'est parce que tu as une daube de navigateur (IE) et que c'est ta faute.

 

Si on veut aider, on regarde le log fourni, à défaut, on en demande un autre ou on donne une marche à suivre pour fournir un log qui peux être exploité.

On n'agit pas comme cela c'est passé.

 

Amitié à ceux qui m'on aidé ou pas jugé.

Aritz

horus agressor Godlike Member

horus agressor

Posté(e)
Posté(e) (modifié)
Puis, un autre arrive et commence a me dire " ton soft ne vaut rien il a mauvaise réputation etc etc...

 

Je ne vois pas le rapport avec mon souci.

Bonjour,

 

Il est sûrement peut être là le rapport à mon avis...

 

Utilitaires et sites suspects, trompeurs, crapuleux

http://assiste.free.fr/p/faux_utilitaires/...res_accueil.php ...ça existe...

 

...peut être que ton soft est crapuleux, peut être pas ?

 

Pas de place pour le doute sur mes C:\ :P

 

Password Stealer

http://assiste.free.fr/p/internet_attaques/mots_de_passe.php

 

Amicalement.

 

EDIT : Produits et services anti-keyloggers

http://assiste.free.fr/p/internet_contre_m...i_keylogger.php

Modifié par horus agressor
Aritz Junior Member

Aritz

Posté(e)
  • Auteur
Posté(e) (modifié)

Bonjour,

 

Il est sûrement peut être là le rapport à mon avis...

 

Utilitaires et sites suspects, trompeurs, crapuleux

http://assiste.free.fr/p/faux_utilitaires/...res_accueil.php ...ça existe...

 

...peut être que ton soft est crapuleux, peut être pas ?

 

Pas de place pour le doute sur mes C:\ :P

 

Password Stealer

http://assiste.free.fr/p/internet_attaques/mots_de_passe.php

 

Amicalement.

 

EDIT : Produits et services anti-keyloggers

http://assiste.free.fr/p/internet_contre_m...i_keylogger.php

 

Je te remercie de continuer a m'aider.

J'avais déja vu ce site car tu m'avais donné le lien.

J'y ai téléchargé certain anty spy, j'ai scanné et c'est toujours pareil.

Au fait, comme malgrès tout je vous ai écouté, j'ai viré le soft en question (je ne le nomme plus, mais tu sais auquel je fais allusion) depuis un bon moment déja (en fait, avant que cela ne dégénère)

Mais, cette foutue clef reviens sans cesse. Je la vire manuellement mais elle revient.

Conclusion, j'en suis au même point.

 

J'ai fait un test avec TcpView pour voir qui c'est qui se connecte sur la toile (ou si un soft caché) et je n'ai rien trouvé d'anormal. "avast, outpost et 2 autres trucs que je connais et qui me servent"

 

Précision: je n'ai aucun progs de P2P. .

 

Il me reste la solution de formater et de tout réinstaller en passant par Total Uninstall 3 ce qui me permetra de voir qui c'est qui me met cette clef, mais, c'est fastidieux et je n'ai rien de vraiement important sur ma machine. Le doute que j'ai est plus irritant (surtout, de ne pas trouver) que la gène que me procure cette clef.

 

Re-Merci l'ami et @+

Aritz

Modifié par Aritz
horus agressor Godlike Member

horus agressor

Posté(e)
Posté(e)

Salut Aritz,

 

L'orage est passé...

Mais, cette foutue clef reviens sans cesse. Je la vire manuellement mais elle revient.

 

=> IceSword :P

Neutralisation des fichiers malsains.

 

IceSword a la capacité d'interrompre le fonctionnement d'un rootkit ... « clic droit » sur le fichier malsain ...

http://www.open-files.com/forum/index.php?showtopic=29383

 

IceSword un des deux seuls IDS détecteurs de « rootkits » et autres « services furtifs » qui traînent dans un PC qui ait été considéré « difficile à contourner » par « Hacker Defender » (maintenant passé dans la clandestinité) . C'est une grande référence, surtout pour un logiciel gratuit.

http://www.open-files.com/forum/index.php?showtopic=29383

Détection des fichiers douteux.

 

Pour détecter les traces d'un processus douteux, consultez en priorité ...

 

* [ Process ]

* [ Win32 services ]

 

 

Si des programmes exécutables ou des services sont cachés, ils seront affichés en [ rouge ].

Image IPB ... ''3psilon'' ...

 

Les processus et services cachés qui touchent au « noyau » du système peuvent également avoir laissé des traces et être repérés dans d'autres modules d'IceSword ... [ Kernel Module ], [ Startup ], [ SSDT ] etc.

http://www.open-files.com/forum/index.php?showtopic=29383

IceSword et Contrôleur d'intégrité, Processus protégés, Empêcher véroles de désactiver vos outils sécuritaires

http://forum.zebulon.fr/index.php?showtopic=96713

 

Amicalement.

Aritz Junior Member

Aritz

Posté(e)
  • Auteur
Posté(e)

Salut.

 

Ok merci, je vois ça, je télécharge, je controle tout et je te tiens au courant.

 

Quoi qu'il en soit, tu m'as permis de découvrir d'autres utilitaires (ceux que tu viens de me citer et que je vais tester), je les mets de coté car sa sert ou peux servir

 

Amicalement Aritz

 

Ps, je vois que tu es devant ta machine de très bonne heure 06h07 ne dors tu jamais? :P

horus agressor Godlike Member

horus agressor

Posté(e)
Posté(e)
Ps, je vois que tu es devant ta machine de très bonne heure 06h07 ne dors tu jamais? :P

:P

 

Devant ma bécane depuis 3h30 ce matin, tu crois quoi :-P ...

 

J'ai viré Zone Alarme (proprement et en faisant un Ghost préalable) sur mon 2ème PC et je teste Outpost free...Je suis un ancien utilisateur de Outpost Pro, mais trop usine à gaz, la free me semble plus légère...et plus "réglable" que ZA free...

 

J'ai aussi étudié à fond le tuto sur IceSword...Une bête de combat ce log :P , allié avec Process Guard, je t'explique pas que je suis en train de devenir le maître à 100% de mes PC...Mes PC et Windows = bientôt mes esclaves :-( ...et il faut les fouetter pour les soumettre, surtout Windows, qui est troué comme de l'Emmental...

J'ai fait quelques tests de pénétration : impénétrable mes PC...Mais je reste méfiant, rien n'est jamais acquis et rien ne dure, tout change, et je ne me repose jamais sur mes lauriers, c'est pour cela que je teste Outpost, au cas où ZA serait défaillant...

 

As-tu déjà jeté un oeil sur ma config ?

 

Horus Agressor

http://assiste.forum.free.fr/viewtopic.php?t=11017

 

Amicalement.

Aritz Junior Member

Aritz

Posté(e)
  • Auteur
Posté(e) (modifié)

:P

 

Devant ma bécane depuis 3h30 ce matin, tu crois quoi :-P ...

 

J'ai viré Zone Alarme (proprement et en faisant un Ghost préalable) sur mon 2ème PC et je teste Outpost free...Je suis un ancien utilisateur de Outpost Pro, mais trop usine à gaz, la free me semble plus légère...et plus "réglable" que ZA free...

 

J'ai aussi étudié à fond le tuto sur IceSword...Une bête de combat ce log :P , allié avec Process Guard, je t'explique pas que je suis en train de devenir le maître à 100% de mes PC...Mes PC et Windows = bientôt mes esclaves :-( ...et il faut les fouetter pour les soumettre, surtout Windows, qui est troué comme de l'Emmental...

J'ai fait quelques tests de pénétration : impénétrable mes PC...Mais je reste méfiant, rien n'est jamais acquis et rien ne dure, tout change, et je ne me repose jamais sur mes lauriers, c'est pour cela que je teste Outpost, au cas où ZA serait défaillant...

 

As-tu déjà jeté un oeil sur ma config ?

 

Horus Agressor

http://assiste.forum.free.fr/viewtopic.php?t=11017

 

Amicalement.

 

Oui, je viens de lancer un oeil :P

Si tu n'es pas trop suceptible (ce que je ne cois pas, car tu aurait cesser de m'aider si tu l'avais été)

Ta config m'inspire une remarque.

 

La sécurité d'une machine est primordiale mais, il ne faut quand même pas aller trop loin et ne vivre que dans la crainte d'une attaque.

Ensuite, tu as raison de dire que le meilleur anti virus, antispy etc... est quand même soi car, les 3/4 du temps, quand tu as une mer.... c'est toi qui te la fait rentrer (ouvrir un fichier joint d'un site bizarre ou un spam, ou une banière de pub de x etc....)

 

L'ordi et le web sont des choses magnifiques, sources de pleins d'infos mais malheureusement aussi pleines de gens qui veulent faire de l'argent. Comme partout!

 

Ma config.

2 machines presque identiques (assemblée par moi)

Cm: Asus A7N8X

Pocc: Athlon 2100+ 512 de ram pour le 1er

1 ddur dr 80go

2partitions ntfs

Athlon 2100+ 1go de ram pour le 2eme

carte graphique Radeo 9500 pro / 9700 pour le 2eme

2 Ddur de 120 go

un ddur en 3 partitions (20 go pour tout ce qui est système, 40go swap, temp et le reste pour les softs)

le deuxième, 1 seule partition. ce qui me permet de bosser tranquile sur des photos ou des vidéos.

(ce qui me permet aussi de défragmenter plus facilement et plus vite avec O&O defrag il est plus puissant et réglable que diskeeper à mon gout).

Modem routeur.

 

le principe de mes 2 machines.

Un mini réseau. Dans le sens ou mon 1er ordi est branché sur le modem et mon 2 sur le 1.

Ce qui me permet de protéger mon ordi de travail.

 

Explication: (enfin, si je ne me trompe pas car le montage n'est pas tout récent)

Sur le modem, il y a déja un parrefeu (dans le sens ou presque tout les ports sont fermé. si tu veux ouvrir des ports spécifiques, il faut créer des regles directement dans la config du modem) donc, pour les attaques par scan de ports, ça limite déja pas mal.

 

Ensuite, sur l'UC, parrefeu: Outpost pro qui est plus complexe à configurer que Za mais, si bien configuré est plus puissant quoique la version pro de ZA est pas mal non plus.

 

Anti virus, comme tout le monde ou presque, je me suis retrouvé avec Norton car vendu partout en OEM (pub quand tu nous tient)!

 

Pour moi, j'ai bien dit pour moi, c'est une vrai usine à gaz qui bouffe beaucoup de ressource et qui comme certain spy, ne se laisse pas désinstaller facilement.

 

J'ai testé Nod32,

bitdefender (dernière version) je n'ai pas réussi a m'y faire et je l'ai viré

Kaspersky (enfin pendant 2 ans avec toutes les mise à jour) puis, la dernière version.

Et depuis environ 6 ou 7 mois, je suis avec avast.

 

Conclusion, en fonction de mes surfs, chaque fois que sur un site, un trojan ou un virus voulait rentrer, mes anti-virus (quels qu'ils soient) ont réagi.

Quel est le meilleur? je ne sait pas! Par contre, celui qui me bouffe le moins de ressource (mais qui est plus long a te rendre la main au démarrage), c'est avast pro

 

Après, j'ai pas mal d'outils de protection. Pestpatrol, search & destroy 1.4, Ewido plus, un compte surA2 personal etc... + 1 qui m'a permi de m'inscrire sur ce forum et qui ne m'avait posé aucun problème jusqu'a maintenant :P

Dans le doute, je l'ai viré.

 

J'ai aussi 2 softs dont un risque de faire réagir des antispy "ZebProtect.exe" qui te permet de fermer pratiquement tout les ports sensibles de ton Uc dont ces 2 qui sont vraiment dangereux (UpNp5000 et le port 135 RPC)

et "SmitfraudFix" qui lui aussi est pas mal pour vérifier une intégrité.

 

Pour gérer mes démarages, j'utilise "CodeStuff Starter" très bien

 

etc. etc....

 

Enfin, tu as compris le principe.

Le premier est connecté sur le net et me sert de filtre pour le deuxième.

Jusqu'a présent, je n'ai jamais eu de soucis sur le 2.

Quand je dl quelques chose, il est passé systèmatiquement à mon anti virus de ce fait, tout ce qui vient sur ma deuxième machine est en principe sur et testé. Car je dezippe ou derare sur le premier. Etc etc...

 

Par contre, je ne suis pas obnibulé par la sécurité. Je fais confiance a mon parrefeu qui est réglé pour gérer mes fichiers host (ce qui m'a foutu le bordel quand j'ai voulu tester le prog cité sur une autre réponse (Outpost me signalait une attaque de mon fichier host par je sais plus combien de signatures de vers trojans etc. et me les désactivait et en suivant, le soft me plantait outpost ), les pubs, les dns, etc.

 

Ps: j'ai lu ton tuto pour configurer outpost.

Bien fait,

mais, si tu le permets, je t'apporte une combine. Tu n'es pas obligé de débrancher ton cable Ethernet ou Usb. Tu cliques (bouton de gauche) sur ton icone de connexion au réseau local, tu fais "désactivé" et c'est bon (enfin, pareil) et pour remettre en service, même combine sur "activer".

Et pour paramettrer outpost, tu restes en mode apprentissage pendant un petit moment, tu auras des demandes de construction de règles pour chaque soft. le seul hic, ce sont les softs qui se lancent en ouvrant des "svchost" . Sur le moment, tu ne sait pas si ils sont dangereux car tu ne sait pas qui c'est.

 

Amité

Modifié par Aritz
horus agressor Godlike Member

horus agressor

Posté(e)
Posté(e)

Salut,

 

Tu n'es pas obligé de débrancher ton cable Ethernet ou Usb. Tu cliques (bouton de gauche) sur ton icone de connexion au réseau local, tu fais "désactivé" et c'est bon (enfin, pareil) et pour remettre en service, même combine sur "activer".
:P presque une année avec Outpost Pro et plus de 2 ans sous XP :P

 

Je fais confiance a mon parrefeu
Tu as tort :-P Tu connais les tests de pénétration...Tu verra ta tête :-( Tu n'as rien lu de ma page de config, ou tu n'a rien compris :-P

 

Essaye :

 

Leak Tests contre les pare-feu (firewall)

http://assiste.free.fr/p/leak_test/leak_tests_accueil.php

 

Firewalls outbound application filtering VS Leak Tests

http://www.firewallleaktester.com/tests.htm

 

File stats for: LeakTest

http://www.grc.com/lt/leaktest.htm

 

What Firewall Leak Tester is testing ?

http://www.firewallleaktester.com/

 

Le but du jeux est de simuler une attaque...Et ces attaques vont faire tomber ton parefeu et ton antivirus :P à 99.99% :P

 

Revois ta copie, tu as du boulot.

 

J'ai une bonne quantité d'outils, mais très peu sont "branchés à la prise", une très grande partie de mes outils sont en non-résident, partant du principe de la complémentarité, et que l'outil magique qui fait tout n'a pas encore été inventé. Je les utilise pour scanner les fichiers que je télécharge ainsi que pour les pièces jointes que je reçois par mail, on est jamais assez prudent. http://assiste.forum.free.fr/viewtopic.php?t=11017

 

ProcessGuard v3.150 Full , lire ceci et cela et encore cette rubrique d'Assiste dédiée aux contrôleurs d'intégrité...
Citation:

Pourquoi en ai-je besoin ?

Tous les utilisateurs un tant soit peu conscients du risque sécuritaire sur Internet ont, de nos jours, un antivirus et un pare-feu. Pourtant, il y a encore peu de personnes portant attention à des attaques de plus en plus nombreuses et aussi simples que tuer le pare-feu et l'antivirus, ou les modifier, ce qui rend le système de défense totalement hors circuit. Ces attaques, de plus en plus courantes, ne sont portées à l'attention du public que dans les forums d'entraide informatique, lorsqu'un internaute en détresse explique son cas, mais il est trop tard : le système a été pénétré, l’intégrité et la confidentialité des données sont définitivement compromises. Par exemple:

* Un parasite porté dans un cheval de Troie peut très simplement terminer (tuer) l’exécution de votre pare-feu avant de transmettre vos informations personnelles sur le Net, vous laissant sur une fausse sensation de sécurité.

* Un parasite peut modifier votre antivirus directement en mémoire, faisant en sorte qu'il ne détecte plus rien même si sa base de données est à jour et même si le parasite est connu.

* Les "RootKits" sont une autre menace majeure car, une fois un système infesté avec ces outils, les attaques deviennent extrêmement difficiles à détecter. Ces outils modifient le système d'exploitation lui-même, le cœur de Windows, à la racine et donnent à n'importe quel utilisateur sans aucun privilège le droit de cacher des fichiers, de cacher des processus, d'exécuter des commandes... comme s'il avait des droits de super-utilisateur (des droits "Root", raison pour laquelle on les appelle "RootKits"). Les attaques deviennent totalement furtives. ProcessGuard est l'un des rares outils capables d'empêcher l'implantation des pilotes de ces RootKits.

* Les Hookers : ces outils détectent automatiquement toute tentative de voir ou tracer certains processus, par les anti-trojans standards comme par des recherches manuelles, et bloquent ces tentatives ou, au contraire, donnent volontairement des réponses fausses et anodines aux investigations conduites.

* Le contournement des pare-feu est un autre sport pratiqué par ceux qui souhaitent faire sortir de l'information d'une machine. Tous les Leak Tests le démontrent et tous les pare-feu sont pénétrés ou contournés par ces processus. Seuls des outils comme ProcessGuard permettent de bloquer les processus eux-mêmes, leur interdire d'agir.

ProcessGuard est donc l'un des outils de contrôle d'intégrité et surveillance système qui permet d'ajouter une couche préventive à la sécurisation de votre système. ProcessGuard est plus aisé à manipuler que les autres grands outils de sa classe et est le seul à la portée d'un utilisateur "normal" conscient du risque sécuritaire et comprenant le fonctionnement de son ordinateur.

http://assiste.free.fr/p/internet_utilitai...rocessguard.php

http://assiste.forum.free.fr/viewtopic.php?t=11017

 

Ice Sword , permet de terminer des processus cachés + détection, d'informations système (gratuit) , infos sur Assiste et sur Zebulon

Citation:

IceSword un des deux seuls IDS détecteurs de « rootkits » et autres « services furtifs » qui traînent dans un PC qui ait été considéré « difficile à contourner » par « Hacker Defender » (maintenant passé dans la clandestinité) . C'est une grande référence, surtout pour un logiciel gratuit.

http://www.open-files.com/forum/index.php?showtopic=29383

http://assiste.forum.free.fr/viewtopic.php?t=11017

Mais c'est chacun son truc côté config...Je résiste facilement au Leaktest :-P et c'est mon but.

 

Ma config, c'est presque rien par rapport à mes ressources :

 

msconfig2kr.th.png

 

ressources1rw.th.png

 

services7kk.th.png

 

tches1ek.th.png

 

Amicalement.

Aritz Junior Member

Aritz

Posté(e)
  • Auteur
Posté(e) (modifié)

bon, après cette semaine très chaude ou j'ai été à la plage tout les soirs, je reviens juste pour vous remercier ( plus particulièrement Horus Agressor) pour l'aide et vous dire : "à la prochaine...."

 

Amicalement Aritz

Modifié par Aritz

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...