Bonsoir,
je ne sais pas si ce forum est le meilleur pour ce sujet, mais je
voudrai dénoncer un rootkit présent sur un logiciel que je trouvais
intéressant, WebMediaPlayer. Logiciel qui présente quelques centaines de
radio locales sur Internet. Dommage!
Après son installation, j'ai eu une alarme de Zone Alarm qui demandait
l'autorisation de passer, avec un logiciel dont le nom est aléatoire
(suite de consonnes, peu de voyelles) suivi du fatidique .EXE
Refusé, il y a eu plusieurs tentatives avortées. Inquiet de ce remue
ménage, j'ai installé Avastr Anti-rootkit qui me l'a trouvé (bien sûr,
il est invisible, même si on demande à voir tous les fichiers extensions
comprises). Tout désinstallé, je n'avais plus rien.
Voulant en avoir le coeur net, j'ai réinstallé ce logiciel (car j'en
avais installé 2 ou 3 le même jour), et le rootkit est réaparu.
J'en ai donc eu la certitude que c'était bien lui.
Attention, lors de la désinstallation, il réclame à corps et a cri le
branchement sur Internet, sinon il refuse de se désinstaller. ... sauf
si on clique plusieurs fois sur le bouton "reéssayer" . Accès refusé sur
le Net, désinstallation un peu à la cosaque. Puis passage de Ccleaner.
Et de plusieurs anti-spywares. et vérification finale par Avast
anti-rootkit.
Je ne sais pas s'il existe un site pour dénoncer ces saletés, ce serait
une bonne chose.
Ha, le programme de désinstallation s'appelle AU_.exe, qui est dans un
des fichiers temp du dossier Documents and settings/propriétaire/Local
settings/~nsu.tmp.
Le rootkit (invisible, sauf pour un anti-rootkit) est dans le dossier
Documents and settings/propriétaire/Local settings/Application data.
Amicalement, Michel
--
http://martin.michel47.free.fr/
je ne sais pas si ce forum est le meilleur pour ce sujet, mais je voudrai dénoncer un rootkit présent sur un logiciel que je trouvais intéressant, WebMediaPlayer.
Ah ben oui, faut pas installer sur son PC n'importe quelle cochonnerie téléchargée sur Internet. De même, il est déconseiller de manger quelque chose qui traîne par terre dans la rue.
En plus, en cherchant "WebMediaPlayer" dans Google, le deuxième lien indique "WebMediaPlayer is a backdoor application that allows remote access to the computer".
(bien sûr, il est invisible, même si on demande à voir tous les fichiers extensions comprises).
Même en décochant le bug "Masquer les fichiers protégés du système d'exploitation" ?
Voulant en avoir le coeur net, j'ai réinstallé ce logiciel (car j'en avais installé 2 ou 3 le même jour), et le rootkit est réaparu.
J'espère que tu es bien conscient que ton PC est maintenant compromis, et que tu dois réinstaller le système.
On 21 Oct 2007 18:41:08 GMT, Michel MARTIN <martin.michel47@free.fr>:
je ne sais pas si ce forum est le meilleur pour ce sujet, mais je
voudrai dénoncer un rootkit présent sur un logiciel que je trouvais
intéressant, WebMediaPlayer.
Ah ben oui, faut pas installer sur son PC n'importe quelle cochonnerie
téléchargée sur Internet. De même, il est déconseiller de manger
quelque chose qui traîne par terre dans la rue.
En plus, en cherchant "WebMediaPlayer" dans Google, le deuxième lien
indique "WebMediaPlayer is a backdoor application that allows remote
access to the computer".
(bien sûr,
il est invisible, même si on demande à voir tous les fichiers extensions
comprises).
Même en décochant le bug "Masquer les fichiers protégés du système
d'exploitation" ?
Voulant en avoir le coeur net, j'ai réinstallé ce logiciel (car j'en
avais installé 2 ou 3 le même jour), et le rootkit est réaparu.
J'espère que tu es bien conscient que ton PC est maintenant compromis,
et que tu dois réinstaller le système.
je ne sais pas si ce forum est le meilleur pour ce sujet, mais je voudrai dénoncer un rootkit présent sur un logiciel que je trouvais intéressant, WebMediaPlayer.
Ah ben oui, faut pas installer sur son PC n'importe quelle cochonnerie téléchargée sur Internet. De même, il est déconseiller de manger quelque chose qui traîne par terre dans la rue.
En plus, en cherchant "WebMediaPlayer" dans Google, le deuxième lien indique "WebMediaPlayer is a backdoor application that allows remote access to the computer".
(bien sûr, il est invisible, même si on demande à voir tous les fichiers extensions comprises).
Même en décochant le bug "Masquer les fichiers protégés du système d'exploitation" ?
Voulant en avoir le coeur net, j'ai réinstallé ce logiciel (car j'en avais installé 2 ou 3 le même jour), et le rootkit est réaparu.
J'espère que tu es bien conscient que ton PC est maintenant compromis, et que tu dois réinstaller le système.
Michel MARTIN
Le 21 Oct 2007 19:00:41 GMT, Fabien LE LEZ a écrit dans <news::
On 21 Oct 2007 18:41:08 GMT, Michel MARTIN :
je ne sais pas si ce forum est le meilleur pour ce sujet, mais je voudrai dénoncer un rootkit présent sur un logiciel que je trouvais intéressant, WebMediaPlayer.
Ah ben oui, faut pas installer sur son PC n'importe quelle cochonnerie téléchargée sur Internet. De même, il est déconseiller de manger quelque chose qui traîne par terre dans la rue. Le problème est que j'ai dû, peut-être et comme beaucoup d'autres,
confondre le Web Mediaplayer (présenté par Clubic, et apparement correct, avec le WebMediaPlayer apparement d'origine russe, et qui cause problème.
En plus, en cherchant "WebMediaPlayer" dans Google, le deuxième lien indique "WebMediaPlayer is a backdoor application that allows remote access to the computer". C'est vrai que je n'ai pas cherché sur google s'il lui était donné une
mauvaise note AVANT son installation. Je me rappelle que ce logiciel avait été donné sur un forum de discussion, mais je ne me rappelle plus lequel (je recherche ...). J'ai bien passé un anti-virus et un anti-spyware AVANT d'installer, mais je n'avais pas pensé à l'anti-rootkit. Heureusement que je regarde bien toutes les alarmes de Zone Alarm. C'est lui qui m'a alerté qu'un fichier voulait aller voir ailleurs!!! ET là, j'ai dis: STOP. Heureusement.
(bien sûr, il est invisible, même si on demande à voir tous les fichiers extensions comprises).
Même en décochant le bug "Masquer les fichiers protégés du système d'exploitation" ? OUI, tout est coché ou décoché suivant le cas, pour que je puisse
contrôler TOUS les fichiers, y compris les extensions LNK (même si ce n'est pas très beau, en particulier sur le bureau).
Voulant en avoir le coeur net, j'ai réinstallé ce logiciel (car j'en avais installé 2 ou 3 le même jour), et le rootkit est réaparu.
J'espère que tu es bien conscient que ton PC est maintenant compromis, et que tu dois réinstaller le système.
Oulala, tu me fais peur. D'après toi, tous les passages de logiciels de sécurité ne sont pas suffisants? Tous me répondent qu'il n'y a rien (y compris Secuser.com, ou plutôt Trend Micro, avec son AV en ligne). Je viens encore, par sécurité, de (re)passer CCleaner, et toutes les listes présentées ont été vérifiées au peigne fin, il ne reste absolument aucune trace de quelque chose de bizarre. Alors, que penser? Amicalement, Michel -- http://martin.michel47.free.fr/
Le 21 Oct 2007 19:00:41 GMT, Fabien LE LEZ a écrit dans
<news:938nh3pd8s8tms6pqm7j4d9bire1sr91rt@4ax.com>:
On 21 Oct 2007 18:41:08 GMT, Michel MARTIN <martin.michel47@free.fr>:
je ne sais pas si ce forum est le meilleur pour ce sujet, mais je
voudrai dénoncer un rootkit présent sur un logiciel que je trouvais
intéressant, WebMediaPlayer.
Ah ben oui, faut pas installer sur son PC n'importe quelle cochonnerie
téléchargée sur Internet. De même, il est déconseiller de manger
quelque chose qui traîne par terre dans la rue.
Le problème est que j'ai dû, peut-être et comme beaucoup d'autres,
confondre le Web Mediaplayer (présenté par Clubic, et apparement
correct, avec le WebMediaPlayer apparement d'origine russe, et qui cause
problème.
En plus, en cherchant "WebMediaPlayer" dans Google, le deuxième lien
indique "WebMediaPlayer is a backdoor application that allows remote
access to the computer".
C'est vrai que je n'ai pas cherché sur google s'il lui était donné une
mauvaise note AVANT son installation. Je me rappelle que ce logiciel
avait été donné sur un forum de discussion, mais je ne me rappelle plus
lequel (je recherche ...). J'ai bien passé un anti-virus et un
anti-spyware AVANT d'installer, mais je n'avais pas pensé à
l'anti-rootkit. Heureusement que je regarde bien toutes les alarmes de
Zone Alarm. C'est lui qui m'a alerté qu'un fichier voulait aller voir
ailleurs!!! ET là, j'ai dis: STOP. Heureusement.
(bien sûr,
il est invisible, même si on demande à voir tous les fichiers extensions
comprises).
Même en décochant le bug "Masquer les fichiers protégés du système
d'exploitation" ?
OUI, tout est coché ou décoché suivant le cas, pour que je puisse
contrôler TOUS les fichiers, y compris les extensions LNK (même si ce
n'est pas très beau, en particulier sur le bureau).
Voulant en avoir le coeur net, j'ai réinstallé ce logiciel (car j'en
avais installé 2 ou 3 le même jour), et le rootkit est réaparu.
J'espère que tu es bien conscient que ton PC est maintenant compromis,
et que tu dois réinstaller le système.
Oulala, tu me fais peur. D'après toi, tous les passages de logiciels de
sécurité ne sont pas suffisants? Tous me répondent qu'il n'y a rien (y
compris Secuser.com, ou plutôt Trend Micro, avec son AV en ligne).
Je viens encore, par sécurité, de (re)passer CCleaner, et toutes les
listes présentées ont été vérifiées au peigne fin, il ne reste
absolument aucune trace de quelque chose de bizarre.
Alors, que penser?
Amicalement, Michel
--
http://martin.michel47.free.fr/
Le 21 Oct 2007 19:00:41 GMT, Fabien LE LEZ a écrit dans <news::
On 21 Oct 2007 18:41:08 GMT, Michel MARTIN :
je ne sais pas si ce forum est le meilleur pour ce sujet, mais je voudrai dénoncer un rootkit présent sur un logiciel que je trouvais intéressant, WebMediaPlayer.
Ah ben oui, faut pas installer sur son PC n'importe quelle cochonnerie téléchargée sur Internet. De même, il est déconseiller de manger quelque chose qui traîne par terre dans la rue. Le problème est que j'ai dû, peut-être et comme beaucoup d'autres,
confondre le Web Mediaplayer (présenté par Clubic, et apparement correct, avec le WebMediaPlayer apparement d'origine russe, et qui cause problème.
En plus, en cherchant "WebMediaPlayer" dans Google, le deuxième lien indique "WebMediaPlayer is a backdoor application that allows remote access to the computer". C'est vrai que je n'ai pas cherché sur google s'il lui était donné une
mauvaise note AVANT son installation. Je me rappelle que ce logiciel avait été donné sur un forum de discussion, mais je ne me rappelle plus lequel (je recherche ...). J'ai bien passé un anti-virus et un anti-spyware AVANT d'installer, mais je n'avais pas pensé à l'anti-rootkit. Heureusement que je regarde bien toutes les alarmes de Zone Alarm. C'est lui qui m'a alerté qu'un fichier voulait aller voir ailleurs!!! ET là, j'ai dis: STOP. Heureusement.
(bien sûr, il est invisible, même si on demande à voir tous les fichiers extensions comprises).
Même en décochant le bug "Masquer les fichiers protégés du système d'exploitation" ? OUI, tout est coché ou décoché suivant le cas, pour que je puisse
contrôler TOUS les fichiers, y compris les extensions LNK (même si ce n'est pas très beau, en particulier sur le bureau).
Voulant en avoir le coeur net, j'ai réinstallé ce logiciel (car j'en avais installé 2 ou 3 le même jour), et le rootkit est réaparu.
J'espère que tu es bien conscient que ton PC est maintenant compromis, et que tu dois réinstaller le système.
Oulala, tu me fais peur. D'après toi, tous les passages de logiciels de sécurité ne sont pas suffisants? Tous me répondent qu'il n'y a rien (y compris Secuser.com, ou plutôt Trend Micro, avec son AV en ligne). Je viens encore, par sécurité, de (re)passer CCleaner, et toutes les listes présentées ont été vérifiées au peigne fin, il ne reste absolument aucune trace de quelque chose de bizarre. Alors, que penser? Amicalement, Michel -- http://martin.michel47.free.fr/
Ewa (siostra Ani) N.
Le dimanche 21 octobre 2007 à 23:39:08, dans <n0y5865oxuol$ vous écriviez :
J'espère que tu es bien conscient que ton PC est maintenant compromis, et que tu dois réinstaller le système.
Oulala, tu me fais peur. D'après toi, tous les passages de logiciels de sécurité ne sont pas suffisants? Tous me répondent qu'il n'y a rien (y compris Secuser.com, ou plutôt Trend Micro, avec son AV en ligne). Je viens encore, par sécurité, de (re)passer CCleaner, et toutes les listes présentées ont été vérifiées au peigne fin, il ne reste absolument aucune trace de quelque chose de bizarre. Alors, que penser? Amicalement, Michel
C'est bien à ton honneur, tout ce que tu as fait déjà. Seulement personne ne sait ce que fait précisément un rootkit donné.
Autant réinstaller.
-- Niesz http://www.krolestwa.com
Le dimanche 21 octobre 2007 à 23:39:08, dans <n0y5865oxuol$.usz3ocnl3wos.dlg@40tude.net> vous écriviez :
J'espère que tu es bien conscient que ton PC est maintenant compromis,
et que tu dois réinstaller le système.
Oulala, tu me fais peur. D'après toi, tous les passages de logiciels de
sécurité ne sont pas suffisants? Tous me répondent qu'il n'y a rien (y
compris Secuser.com, ou plutôt Trend Micro, avec son AV en ligne).
Je viens encore, par sécurité, de (re)passer CCleaner, et toutes les
listes présentées ont été vérifiées au peigne fin, il ne reste
absolument aucune trace de quelque chose de bizarre.
Alors, que penser?
Amicalement, Michel
C'est bien à ton honneur, tout ce que tu as fait déjà. Seulement
personne ne sait ce que fait précisément un rootkit donné.
Le dimanche 21 octobre 2007 à 23:39:08, dans <n0y5865oxuol$ vous écriviez :
J'espère que tu es bien conscient que ton PC est maintenant compromis, et que tu dois réinstaller le système.
Oulala, tu me fais peur. D'après toi, tous les passages de logiciels de sécurité ne sont pas suffisants? Tous me répondent qu'il n'y a rien (y compris Secuser.com, ou plutôt Trend Micro, avec son AV en ligne). Je viens encore, par sécurité, de (re)passer CCleaner, et toutes les listes présentées ont été vérifiées au peigne fin, il ne reste absolument aucune trace de quelque chose de bizarre. Alors, que penser? Amicalement, Michel
C'est bien à ton honneur, tout ce que tu as fait déjà. Seulement personne ne sait ce que fait précisément un rootkit donné.
Autant réinstaller.
-- Niesz http://www.krolestwa.com
Ludovic
On 21 Oct 2007 21:45:31 GMT, "Ewa (siostra Ani) N." wrote:
C'est bien à ton honneur, tout ce que tu as fait déjà. Seulement personne ne sait ce que fait précisément un rootkit donné.
Autant réinstaller.
Bof, pour ma part, je fais cela : http://inforadio.free.fr/nettoy.htm puis http://inforadio.free.fr/protect-virus.htm
Les collègues ne s'en plaignent pas. Maintenant, si tu as du temps à perdre...
On n'arrête pas le progrès : Maintenant, on ne te donne plus de réponse sur les newsgroups, on te dit carrément de faire un format c: ...
LoL...
Cordialement, Ludovic.
On 21 Oct 2007 21:45:31 GMT, "Ewa (siostra Ani) N." <niesz@yahoo.com> wrote:
C'est bien à ton honneur, tout ce que tu as fait déjà. Seulement
personne ne sait ce que fait précisément un rootkit donné.
Autant réinstaller.
Bof, pour ma part, je fais cela :
http://inforadio.free.fr/nettoy.htm
puis
http://inforadio.free.fr/protect-virus.htm
Les collègues ne s'en plaignent pas.
Maintenant, si tu as du temps à perdre...
On n'arrête pas le progrès : Maintenant,
on ne te donne plus de réponse sur les
newsgroups, on te dit carrément de faire
un format c: ...
On 21 Oct 2007 21:45:31 GMT, "Ewa (siostra Ani) N." wrote:
C'est bien à ton honneur, tout ce que tu as fait déjà. Seulement personne ne sait ce que fait précisément un rootkit donné.
Autant réinstaller.
Bof, pour ma part, je fais cela : http://inforadio.free.fr/nettoy.htm puis http://inforadio.free.fr/protect-virus.htm
Les collègues ne s'en plaignent pas. Maintenant, si tu as du temps à perdre...
On n'arrête pas le progrès : Maintenant, on ne te donne plus de réponse sur les newsgroups, on te dit carrément de faire un format c: ...
LoL...
Cordialement, Ludovic.
mpg
Le (on) lundi 22 octobre 2007 00:30, Ludovic a écrit (wrote) :
Maintenant, si tu as du temps à perdre...
Bah il me semble qu'il y a une différence entre essayer de protéger une
machine propre, et vouloir faire confiance à une machine compromise pour se tester elle-même. Dans l'absolu c'est pour le moins douteux de faire confiance à une machine qui se prétend saine une fois qu'elle ne l'a pas toujours été...
On n'arrête pas le progrès : Maintenant, on ne te donne plus de réponse sur les newsgroups, on te dit carrément de faire un format c: ...
Il me semble que c'est justement une réponse, non ?
LoL...
Mdr : on est dans la hiérarchie francophone ;-p
Manuel.
Le (on) lundi 22 octobre 2007 00:30, Ludovic a écrit (wrote) :
Maintenant, si tu as du temps à perdre...
Bah il me semble qu'il y a une différence entre essayer de protéger une
machine propre, et vouloir faire confiance à une machine compromise pour se
tester elle-même. Dans l'absolu c'est pour le moins douteux de faire
confiance à une machine qui se prétend saine une fois qu'elle ne l'a pas
toujours été...
On n'arrête pas le progrès : Maintenant,
on ne te donne plus de réponse sur les
newsgroups, on te dit carrément de faire
un format c: ...
Il me semble que c'est justement une réponse, non ?
Le (on) lundi 22 octobre 2007 00:30, Ludovic a écrit (wrote) :
Maintenant, si tu as du temps à perdre...
Bah il me semble qu'il y a une différence entre essayer de protéger une
machine propre, et vouloir faire confiance à une machine compromise pour se tester elle-même. Dans l'absolu c'est pour le moins douteux de faire confiance à une machine qui se prétend saine une fois qu'elle ne l'a pas toujours été...
On n'arrête pas le progrès : Maintenant, on ne te donne plus de réponse sur les newsgroups, on te dit carrément de faire un format c: ...
Il me semble que c'est justement une réponse, non ?
LoL...
Mdr : on est dans la hiérarchie francophone ;-p
Manuel.
Fabien LE LEZ
On 21 Oct 2007 22:30:56 GMT, Ludovic :
on te dit carrément de faire un format c: ...
Qué "format c:" ? On réinstalle un backup de son OS, ça prend cinq à dix minutes.
On 21 Oct 2007 22:30:56 GMT, Ludovic <Ludovic@F5PBG.Brest>:
on te dit carrément de faire
un format c: ...
Qué "format c:" ? On réinstalle un backup de son OS, ça prend cinq à
dix minutes.
Qué "format c:" ? On réinstalle un backup de son OS, ça prend cinq à dix minutes.
Fabien LE LEZ
On 21 Oct 2007 21:39:08 GMT, Michel MARTIN :
Le problème est que j'ai dû, peut-être et comme beaucoup d'autres, confondre le Web Mediaplayer (présenté par Clubic, et apparement correct, avec le WebMediaPlayer apparement d'origine russe, et qui cause problème.
Tu noteras que sur la page de Clubic, ils indiquent le problème. Et franchement, je conseille à l'éditeur du logiciel sans rootkit de changer immédiatement le nom du logiciel. Diffuser un logiciel qui a un nom de malware (quelle que soit l'antériorité), c'est pas bon du tout.
Oulala, tu me fais peur. D'après toi, tous les passages de logiciels de sécurité ne sont pas suffisants? Tous me répondent qu'il n'y a rien
Le rootkit en question a très bien pu modifier le système, pour qu'il masque une partie des fichiers. Il est donc possible qu'il soit toujours en partie là ; comme tes logiciels de sécurité tournent sur l'OS en question, ils ne voient rien non plus.
À partir du moment où un malware a été exécuté sur un PC, on ne peut plus faire confiance au système d'exploitation.
On 21 Oct 2007 21:39:08 GMT, Michel MARTIN <martin.michel47@free.fr>:
Le problème est que j'ai dû, peut-être et comme beaucoup d'autres,
confondre le Web Mediaplayer (présenté par Clubic, et apparement
correct, avec le WebMediaPlayer apparement d'origine russe, et qui cause
problème.
Tu noteras que sur la page de Clubic, ils indiquent le problème.
Et franchement, je conseille à l'éditeur du logiciel sans rootkit de
changer immédiatement le nom du logiciel. Diffuser un logiciel qui a
un nom de malware (quelle que soit l'antériorité), c'est pas bon du
tout.
Oulala, tu me fais peur. D'après toi, tous les passages de logiciels de
sécurité ne sont pas suffisants? Tous me répondent qu'il n'y a rien
Le rootkit en question a très bien pu modifier le système, pour qu'il
masque une partie des fichiers. Il est donc possible qu'il soit
toujours en partie là ; comme tes logiciels de sécurité tournent sur
l'OS en question, ils ne voient rien non plus.
À partir du moment où un malware a été exécuté sur un PC, on ne peut
plus faire confiance au système d'exploitation.
Le problème est que j'ai dû, peut-être et comme beaucoup d'autres, confondre le Web Mediaplayer (présenté par Clubic, et apparement correct, avec le WebMediaPlayer apparement d'origine russe, et qui cause problème.
Tu noteras que sur la page de Clubic, ils indiquent le problème. Et franchement, je conseille à l'éditeur du logiciel sans rootkit de changer immédiatement le nom du logiciel. Diffuser un logiciel qui a un nom de malware (quelle que soit l'antériorité), c'est pas bon du tout.
Oulala, tu me fais peur. D'après toi, tous les passages de logiciels de sécurité ne sont pas suffisants? Tous me répondent qu'il n'y a rien
Le rootkit en question a très bien pu modifier le système, pour qu'il masque une partie des fichiers. Il est donc possible qu'il soit toujours en partie là ; comme tes logiciels de sécurité tournent sur l'OS en question, ils ne voient rien non plus.
À partir du moment où un malware a été exécuté sur un PC, on ne peut plus faire confiance au système d'exploitation.
Ludovic
On 22 Oct 2007 01:34:40 GMT, Fabien LE LEZ wrote:
Qué "format c:" ? On réinstalle un backup de son OS, ça prend cinq à dix minutes.
Là c'est mieux... Enfin... La majorité des gens ayant un backup d'origine, ils ne verront pas trop la différence...
Maintenant voici ce que je viens de lire : "même si vous n'avez jamais entendu parler de ce terme. Les rootkits, valeur montante du hacking, développés initialement sous Unix, s'attaquent aujourd'hui à Windows. Plus retors que les autres menaces, les rootkits présentent la particularité d'être capables de se cacher ou de cacher d'autres programmes, de masquer des clés de registre ou des connexions réseau. Un antispyware ne pourra pas les détecter. Télécharger Seem (seem.about.free.fr) et le lancer directement, sans installation. C'est la section SSDT (System Service Descriptor Table) qui nous intéresse. Elle dresse la liste des appels système du noyau : une ligne colorée en rouge est le signe d'une anomalie, éventuellement d'un crochetage mis en place par un rootkit, c'est-à-dire le détournement d'un appel système vers un exécutable malicieux. Cet exécutable, s'il existe, réside dans le répertoire indiqué par Seem. Un clic droit sur la ligne suspecte vous permet de faire une recherche sur Google afin d'en savoir plus et de faire le nécessaire. Eventuellement, supprimer l'intrus, redémarrer et vérifier une nouvelle fois."
Il ne parle pas de "format c:" (vu que certains n'ont pas de "Ghost"...). Si tu as des sources Fabien, cela m'intéresse (Si cela peut faire gagner du temps sur Google...).
A priori, il y a d'autres pistes : http://www.google.fr/search?hl=fr&q=supprimer+un+rootkit+de+son+pc&btnG=Recherche+Google&meta Bref ne pas se précipiter trop vite vers le backup d'origine...
Cordialement, Ludovic.
On 22 Oct 2007 01:34:40 GMT, Fabien LE LEZ <gramster@gramster.com> wrote:
Qué "format c:" ? On réinstalle un backup de son OS, ça prend cinq à
dix minutes.
Là c'est mieux... Enfin... La majorité des gens ayant un backup d'origine,
ils ne verront pas trop la différence...
Maintenant voici ce que je viens de lire :
"même si vous n'avez jamais entendu parler de ce terme. Les rootkits, valeur
montante du hacking, développés initialement sous Unix, s'attaquent aujourd'hui
à Windows. Plus retors que les autres menaces, les rootkits présentent la
particularité d'être capables de se cacher ou de cacher d'autres programmes, de
masquer des clés de registre ou des connexions réseau. Un antispyware ne pourra
pas les détecter. Télécharger Seem (seem.about.free.fr) et le lancer
directement, sans installation. C'est la section SSDT (System Service Descriptor
Table) qui nous intéresse. Elle dresse la liste des appels système du noyau :
une ligne colorée en rouge est le signe d'une anomalie, éventuellement d'un
crochetage mis en place par un rootkit, c'est-à-dire le détournement d'un appel
système vers un exécutable malicieux. Cet exécutable, s'il existe, réside dans
le répertoire indiqué par Seem. Un clic droit sur la ligne suspecte vous permet
de faire une recherche sur Google afin d'en savoir plus et de faire le
nécessaire. Eventuellement, supprimer l'intrus, redémarrer et vérifier une
nouvelle fois."
Il ne parle pas de "format c:" (vu que certains n'ont pas de "Ghost"...).
Si tu as des sources Fabien, cela m'intéresse (Si cela peut faire gagner
du temps sur Google...).
A priori, il y a d'autres pistes :
http://www.google.fr/search?hl=fr&q=supprimer+un+rootkit+de+son+pc&btnG=Recherche+Google&meta Bref ne pas se précipiter trop vite vers le backup d'origine...
Qué "format c:" ? On réinstalle un backup de son OS, ça prend cinq à dix minutes.
Là c'est mieux... Enfin... La majorité des gens ayant un backup d'origine, ils ne verront pas trop la différence...
Maintenant voici ce que je viens de lire : "même si vous n'avez jamais entendu parler de ce terme. Les rootkits, valeur montante du hacking, développés initialement sous Unix, s'attaquent aujourd'hui à Windows. Plus retors que les autres menaces, les rootkits présentent la particularité d'être capables de se cacher ou de cacher d'autres programmes, de masquer des clés de registre ou des connexions réseau. Un antispyware ne pourra pas les détecter. Télécharger Seem (seem.about.free.fr) et le lancer directement, sans installation. C'est la section SSDT (System Service Descriptor Table) qui nous intéresse. Elle dresse la liste des appels système du noyau : une ligne colorée en rouge est le signe d'une anomalie, éventuellement d'un crochetage mis en place par un rootkit, c'est-à-dire le détournement d'un appel système vers un exécutable malicieux. Cet exécutable, s'il existe, réside dans le répertoire indiqué par Seem. Un clic droit sur la ligne suspecte vous permet de faire une recherche sur Google afin d'en savoir plus et de faire le nécessaire. Eventuellement, supprimer l'intrus, redémarrer et vérifier une nouvelle fois."
Il ne parle pas de "format c:" (vu que certains n'ont pas de "Ghost"...). Si tu as des sources Fabien, cela m'intéresse (Si cela peut faire gagner du temps sur Google...).
A priori, il y a d'autres pistes : http://www.google.fr/search?hl=fr&q=supprimer+un+rootkit+de+son+pc&btnG=Recherche+Google&meta Bref ne pas se précipiter trop vite vers le backup d'origine...
Cordialement, Ludovic.
Fabien LE LEZ
On 22 Oct 2007 05:18:15 GMT, Ludovic :
Télécharger Seem (seem.about.free.fr) et le lancer directement, sans installation. C'est la section SSDT (System Service Descriptor Table) qui nous intéresse.
Il suffit maintenant à l'auteur du rootkit d'intercepter les appels de Seem au système, pour lui faire croire que tout va bien.
Par contre, en démarrant sur un live CD (Linux, Bart PE, etc.), il est (en théorie au moins) possible d'analyser l'OS qui se trouve sur disque dur. (Bien évidemment, il faut graver le CD en question sur un PC sain.)
Mais bon, réinstaller le système est, de loin, la solution la plus simple et la plus fiable.
http://www.indexel.net/1_6_4797__3_/2/12/1/Securite___reprendre_le_controle_de_son_PC.htm Il ne parle pas de "format c:"
Ben non, cet article parle de ce qu'il faut faire pour éviter d'attraper une cochonnerie, et, dans le pire des cas, la détecter le plus vite possible. Il n'indique à peu près rien sur la réparation proprement dite.
(vu que certains n'ont pas de "Ghost"...).
C'est triste à dire, mais personne ne semble comprendre l'utilité des backups avant d'avoir perdu des données. Il ne reste plus qu'à réinstaller l'OS à la dure, sans oublier, une fois que c'est fait, de faire un backup -- pour la prochaine fois. Il n'y a même pas d'objection financière, puisque Partimage est gratuit.
On 22 Oct 2007 05:18:15 GMT, Ludovic <Ludovic@F5PBG.Brest>:
Télécharger Seem (seem.about.free.fr) et le lancer
directement, sans installation. C'est la section SSDT (System Service Descriptor
Table) qui nous intéresse.
Il suffit maintenant à l'auteur du rootkit d'intercepter les appels de
Seem au système, pour lui faire croire que tout va bien.
Par contre, en démarrant sur un live CD (Linux, Bart PE, etc.), il est
(en théorie au moins) possible d'analyser l'OS qui se trouve sur
disque dur. (Bien évidemment, il faut graver le CD en question sur un
PC sain.)
Mais bon, réinstaller le système est, de loin, la solution la plus
simple et la plus fiable.
http://www.indexel.net/1_6_4797__3_/2/12/1/Securite___reprendre_le_controle_de_son_PC.htm
Il ne parle pas de "format c:"
Ben non, cet article parle de ce qu'il faut faire pour éviter
d'attraper une cochonnerie, et, dans le pire des cas, la détecter le
plus vite possible. Il n'indique à peu près rien sur la réparation
proprement dite.
(vu que certains n'ont pas de "Ghost"...).
C'est triste à dire, mais personne ne semble comprendre l'utilité des
backups avant d'avoir perdu des données. Il ne reste plus qu'à
réinstaller l'OS à la dure, sans oublier, une fois que c'est fait, de
faire un backup -- pour la prochaine fois.
Il n'y a même pas d'objection financière, puisque Partimage est
gratuit.
Télécharger Seem (seem.about.free.fr) et le lancer directement, sans installation. C'est la section SSDT (System Service Descriptor Table) qui nous intéresse.
Il suffit maintenant à l'auteur du rootkit d'intercepter les appels de Seem au système, pour lui faire croire que tout va bien.
Par contre, en démarrant sur un live CD (Linux, Bart PE, etc.), il est (en théorie au moins) possible d'analyser l'OS qui se trouve sur disque dur. (Bien évidemment, il faut graver le CD en question sur un PC sain.)
Mais bon, réinstaller le système est, de loin, la solution la plus simple et la plus fiable.
http://www.indexel.net/1_6_4797__3_/2/12/1/Securite___reprendre_le_controle_de_son_PC.htm Il ne parle pas de "format c:"
Ben non, cet article parle de ce qu'il faut faire pour éviter d'attraper une cochonnerie, et, dans le pire des cas, la détecter le plus vite possible. Il n'indique à peu près rien sur la réparation proprement dite.
(vu que certains n'ont pas de "Ghost"...).
C'est triste à dire, mais personne ne semble comprendre l'utilité des backups avant d'avoir perdu des données. Il ne reste plus qu'à réinstaller l'OS à la dure, sans oublier, une fois que c'est fait, de faire un backup -- pour la prochaine fois. Il n'y a même pas d'objection financière, puisque Partimage est gratuit.
Fabien LE LEZ
On 22 Oct 2007 05:18:15 GMT, Ludovic :
Bref ne pas se précipiter trop vite vers le backup d'origine...
Accessoirement, rappelons que dès qu'une cochonnerie est détectée sur un PC, il faut débrancher le câble réseau (pour éviter la propagation) et, autant que possible, éteindre le PC (pour éviter la corruption des données).
On 22 Oct 2007 05:18:15 GMT, Ludovic <Ludovic@F5PBG.Brest>:
Bref ne pas se précipiter trop vite vers le backup d'origine...
Accessoirement, rappelons que dès qu'une cochonnerie est détectée sur
un PC, il faut débrancher le câble réseau (pour éviter la propagation)
et, autant que possible, éteindre le PC (pour éviter la corruption des
données).
Bref ne pas se précipiter trop vite vers le backup d'origine...
Accessoirement, rappelons que dès qu'une cochonnerie est détectée sur un PC, il faut débrancher le câble réseau (pour éviter la propagation) et, autant que possible, éteindre le PC (pour éviter la corruption des données).
