J'ai lanc=E9 l'anti-rootkit de Spyware Search and Destroy v. 2, et assez =
rapidement il me signale sur le fichier url.dll, dans le r=E9pertoire=20
syst=E8me :
"No admin in ACL".
Il me dirait que j'ai trop d'admins, et que ce n'est pas raisonnable,=20
bon =E7a OK, mais le contraire ...
Ah non en regardant les d=E9tails je vois que =E7a signifie qu'il n'y a r=
ien=20
de pr=E9cis=E9 pour ce fichier concernant l'acc=E8s des administrateurs. =
A=20
priori =E7a ne me choque pas, tout le monde a le droit de tenter d'ouvrir=
=20
une url si le pare-feu ne l'en emp=EAche pas, non ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Az Sam
"Gloops" a écrit dans le message de news:kb4b7o$dai$ Bonjour tout le monde,
J'ai lancé l'anti-rootkit de Spyware Search and Destroy v. 2, et assez rapidement il me signale sur le fichier url.dll, dans le répertoire système : "No admin in ACL".
Il me dirait que j'ai trop d'admins, et que ce n'est pas raisonnable, bon ça OK, mais le contraire ...
Ah non en regardant les détails je vois que ça signifie qu'il n'y a rien de précisé pour ce fichier concernant l'accès des administrateurs. A priori ça ne me choque pas, tout le monde a le droit de tenter d'ouvrir une url si le pare-feu ne l'en empêche pas, non ?
c'est une invasion de mouches islandaises ou de bêtes a bon dieu colombiennes sans doute. Surtout avec "spyware S&D"....
-- Cordialement, Az Sam.
"Gloops" <gloops@zailes.invalid.org> a écrit dans le message de
news:kb4b7o$dai$1@nntp.pasdenom.info...
Bonjour tout le monde,
J'ai lancé l'anti-rootkit de Spyware Search and Destroy v. 2, et assez
rapidement il me signale sur le fichier url.dll, dans le répertoire
système :
"No admin in ACL".
Il me dirait que j'ai trop d'admins, et que ce n'est pas raisonnable,
bon ça OK, mais le contraire ...
Ah non en regardant les détails je vois que ça signifie qu'il n'y a rien
de précisé pour ce fichier concernant l'accès des administrateurs. A
priori ça ne me choque pas, tout le monde a le droit de tenter d'ouvrir
une url si le pare-feu ne l'en empêche pas, non ?
"Gloops" a écrit dans le message de news:kb4b7o$dai$ Bonjour tout le monde,
J'ai lancé l'anti-rootkit de Spyware Search and Destroy v. 2, et assez rapidement il me signale sur le fichier url.dll, dans le répertoire système : "No admin in ACL".
Il me dirait que j'ai trop d'admins, et que ce n'est pas raisonnable, bon ça OK, mais le contraire ...
Ah non en regardant les détails je vois que ça signifie qu'il n'y a rien de précisé pour ce fichier concernant l'accès des administrateurs. A priori ça ne me choque pas, tout le monde a le droit de tenter d'ouvrir une url si le pare-feu ne l'en empêche pas, non ?
c'est une invasion de mouches islandaises ou de bêtes a bon dieu colombiennes sans doute. Surtout avec "spyware S&D"....
-- Cordialement, Az Sam.
Th.A.C
Le 22/12/2012 14:05, Gloops a écrit :
J'ai lancé l'anti-rootkit de Spyware Search and Destroy v. 2, et assez rapidement il me signale sur le fichier url.dll, dans le répertoire système : "No admin in ACL".
Il me dirait que j'ai trop d'admins, et que ce n'est pas raisonnable, bon ça OK, mais le contraire ...
Ah non en regardant les détails je vois que ça signifie qu'il n'y a rien de précisé pour ce fichier concernant l'accès des administrateurs. A priori ça ne me choque pas, tout le monde a le droit de tenter d'ouvrir une url si le pare-feu ne l'en empêche pas, non ?
chez moi (XP), c'est - administrateurs + system en control total - utilisateurs + utilisateurs avec pouvoir en lecture+lecture/exécution
tu peux comparer avec d'autres fichiers du même dossier comme urlmon.dll
ca ne devrais pas gêner le fonctionnement de ta machine (tu l'aurais déja remarqué j'espère :-) )
ca pourrai (à confirmer) être une forme de protection du fichier pour éviter qu'un programme le modifie à ton insu si tu es en admin/ Regarde dans les différents programmes liés à la sécurité que tu as passé si l'un d'eux n'aurait pas cette option???
ou au contraire les restes d'une infection mal/pas nettoyée....
Thierry
Le 22/12/2012 14:05, Gloops a écrit :
J'ai lancé l'anti-rootkit de Spyware Search and Destroy v. 2, et assez
rapidement il me signale sur le fichier url.dll, dans le répertoire
système :
"No admin in ACL".
Il me dirait que j'ai trop d'admins, et que ce n'est pas raisonnable,
bon ça OK, mais le contraire ...
Ah non en regardant les détails je vois que ça signifie qu'il n'y a rien
de précisé pour ce fichier concernant l'accès des administrateurs. A
priori ça ne me choque pas, tout le monde a le droit de tenter d'ouvrir
une url si le pare-feu ne l'en empêche pas, non ?
chez moi (XP), c'est
- administrateurs + system en control total
- utilisateurs + utilisateurs avec pouvoir en lecture+lecture/exécution
tu peux comparer avec d'autres fichiers du même dossier comme urlmon.dll
ca ne devrais pas gêner le fonctionnement de ta machine (tu l'aurais
déja remarqué j'espère :-) )
ca pourrai (à confirmer) être une forme de protection du fichier pour
éviter qu'un programme le modifie à ton insu si tu es en admin/
Regarde dans les différents programmes liés à la sécurité que tu as
passé si l'un d'eux n'aurait pas cette option???
ou au contraire les restes d'une infection mal/pas nettoyée....
J'ai lancé l'anti-rootkit de Spyware Search and Destroy v. 2, et assez rapidement il me signale sur le fichier url.dll, dans le répertoire système : "No admin in ACL".
Il me dirait que j'ai trop d'admins, et que ce n'est pas raisonnable, bon ça OK, mais le contraire ...
Ah non en regardant les détails je vois que ça signifie qu'il n'y a rien de précisé pour ce fichier concernant l'accès des administrateurs. A priori ça ne me choque pas, tout le monde a le droit de tenter d'ouvrir une url si le pare-feu ne l'en empêche pas, non ?
chez moi (XP), c'est - administrateurs + system en control total - utilisateurs + utilisateurs avec pouvoir en lecture+lecture/exécution
tu peux comparer avec d'autres fichiers du même dossier comme urlmon.dll
ca ne devrais pas gêner le fonctionnement de ta machine (tu l'aurais déja remarqué j'espère :-) )
ca pourrai (à confirmer) être une forme de protection du fichier pour éviter qu'un programme le modifie à ton insu si tu es en admin/ Regarde dans les différents programmes liés à la sécurité que tu as passé si l'un d'eux n'aurait pas cette option???
ou au contraire les restes d'une infection mal/pas nettoyée....
Thierry
Gloops
Th.A.C a écrit, le 26/12/2012 11:55 :
Le 22/12/2012 14:05, Gloops a écrit : > J'ai lancé l'anti-rootkit de Spyware Search and Destroy v. 2, et a ssez > rapidement il me signale sur le fichier url.dll, dans le répertoir e > système : > "No admin in ACL".
chez moi (XP), c'est - administrateurs + system en control total - utilisateurs + utilisateurs avec pouvoir en lecture+lecture/exécuti on
tu peux comparer avec d'autres fichiers du même dossier comme urlmon. dll
ca ne devrais pas gêner le fonctionnement de ta machine (tu l'aurais déja remarqué j'espère :-) )
ca pourrai (à confirmer) être une forme de protection du fichier po ur éviter qu'un programme le modifie à ton insu si tu es en admin/ Regarde dans les différents programmes liés à la sécurité que tu as passé si l'un d'eux n'aurait pas cette option???
ou au contraire les restes d'une infection mal/pas nettoyée....
Thierry
Ah, tu veux dire que les mêmes droits que sur la DLL s'appliquent aux URL ? ça ne se devine pas, ça ...
Naïvement, j'aurais dit que les fichiers d'extension url peuvent effectivement faire l'objet de modifications à restreindre, mais que la DLL, sauf virus, ne doit être modifiée que par le développeur, sur sa machine, et à déployer sous sa responsabilité. S'agit-il d'un autre type de DLL ?
Sinon c'est vrai qu'à en croire Online Armor, cette machine n'est pas franchement nette, et l'était encore moins avant le passage de SSD et l'installation de Microsoft Security Essentials. En fait, pendant un temps j'ai remplacé Online Armor par le pare-feu Windows, donc je n'ai pas suivi précisément ce qui se passait dans ce tte période. Mais à la reprise d'Online Armor il n'y avait plus de "keyloggers", alors que j'en avais dans des programmes que j'avais écri t sans aucune utilisation du clavier.
Le lendemain un programme était concerné, le surlendemain quatre. Pas les mêmes qu'avant.
En tout cas si j'arrive à nettoyer tout ça ce ne sera pas grâce à "Better Business Bureau", dont l'activité principale semble être de diffuser des virus par rafales de cinq, dont un qui laisse Avast indifférent jusque là, mais que Microsoft Security Essentials signale comme s'appelant PWS:Win32/Fareit.
Description : Ce programme est dangereux et capture les mots de passe des utilisateurs.
J'encourage les gens qui souhaitent une machine opérationnelle à détruire tout ce qui vient du domaine bbb.org.
Sauf quand un plaisantin s'amuse à détruire dans le dossier brouillon d'un compte IMAP un mail que vous vous apprêtez à envoyer trente secondes après l'y avoir placé, vous ne voyez rien, tout a un aspect normal. L'alerte a été donnée par Online Armor, grâce à la fonc tion HIPS de son "gardien des programmes".
Th.A.C a écrit, le 26/12/2012 11:55 :
Le 22/12/2012 14:05, Gloops a écrit :
> J'ai lancé l'anti-rootkit de Spyware Search and Destroy v. 2, et a ssez
> rapidement il me signale sur le fichier url.dll, dans le répertoir e
> système :
> "No admin in ACL".
chez moi (XP), c'est
- administrateurs + system en control total
- utilisateurs + utilisateurs avec pouvoir en lecture+lecture/exécuti on
tu peux comparer avec d'autres fichiers du même dossier comme urlmon. dll
ca ne devrais pas gêner le fonctionnement de ta machine (tu l'aurais
déja remarqué j'espère :-) )
ca pourrai (à confirmer) être une forme de protection du fichier po ur
éviter qu'un programme le modifie à ton insu si tu es en admin/
Regarde dans les différents programmes liés à la sécurité que tu as
passé si l'un d'eux n'aurait pas cette option???
ou au contraire les restes d'une infection mal/pas nettoyée....
Thierry
Ah, tu veux dire que les mêmes droits que sur la DLL s'appliquent aux
URL ? ça ne se devine pas, ça ...
Naïvement, j'aurais dit que les fichiers d'extension url peuvent
effectivement faire l'objet de modifications à restreindre, mais que la
DLL, sauf virus, ne doit être modifiée que par le développeur, sur sa
machine, et à déployer sous sa responsabilité. S'agit-il d'un autre type
de DLL ?
Sinon c'est vrai qu'à en croire Online Armor, cette machine n'est pas
franchement nette, et l'était encore moins avant le passage de SSD et
l'installation de Microsoft Security Essentials.
En fait, pendant un temps j'ai remplacé Online Armor par le pare-feu
Windows, donc je n'ai pas suivi précisément ce qui se passait dans ce tte
période. Mais à la reprise d'Online Armor il n'y avait plus de
"keyloggers", alors que j'en avais dans des programmes que j'avais écri t
sans aucune utilisation du clavier.
Le lendemain un programme était concerné, le surlendemain quatre. Pas
les mêmes qu'avant.
En tout cas si j'arrive à nettoyer tout ça ce ne sera pas grâce à
"Better Business Bureau", dont l'activité principale semble être de
diffuser des virus par rafales de cinq, dont un qui laisse Avast
indifférent jusque là, mais que Microsoft Security Essentials signale
comme s'appelant PWS:Win32/Fareit.
Description : Ce programme est dangereux et capture les mots de passe
des utilisateurs.
J'encourage les gens qui souhaitent une machine opérationnelle à
détruire tout ce qui vient du domaine bbb.org.
Sauf quand un plaisantin s'amuse à détruire dans le dossier brouillon
d'un compte IMAP un mail que vous vous apprêtez à envoyer trente
secondes après l'y avoir placé, vous ne voyez rien, tout a un aspect
normal. L'alerte a été donnée par Online Armor, grâce à la fonc tion HIPS
de son "gardien des programmes".
Le 22/12/2012 14:05, Gloops a écrit : > J'ai lancé l'anti-rootkit de Spyware Search and Destroy v. 2, et a ssez > rapidement il me signale sur le fichier url.dll, dans le répertoir e > système : > "No admin in ACL".
chez moi (XP), c'est - administrateurs + system en control total - utilisateurs + utilisateurs avec pouvoir en lecture+lecture/exécuti on
tu peux comparer avec d'autres fichiers du même dossier comme urlmon. dll
ca ne devrais pas gêner le fonctionnement de ta machine (tu l'aurais déja remarqué j'espère :-) )
ca pourrai (à confirmer) être une forme de protection du fichier po ur éviter qu'un programme le modifie à ton insu si tu es en admin/ Regarde dans les différents programmes liés à la sécurité que tu as passé si l'un d'eux n'aurait pas cette option???
ou au contraire les restes d'une infection mal/pas nettoyée....
Thierry
Ah, tu veux dire que les mêmes droits que sur la DLL s'appliquent aux URL ? ça ne se devine pas, ça ...
Naïvement, j'aurais dit que les fichiers d'extension url peuvent effectivement faire l'objet de modifications à restreindre, mais que la DLL, sauf virus, ne doit être modifiée que par le développeur, sur sa machine, et à déployer sous sa responsabilité. S'agit-il d'un autre type de DLL ?
Sinon c'est vrai qu'à en croire Online Armor, cette machine n'est pas franchement nette, et l'était encore moins avant le passage de SSD et l'installation de Microsoft Security Essentials. En fait, pendant un temps j'ai remplacé Online Armor par le pare-feu Windows, donc je n'ai pas suivi précisément ce qui se passait dans ce tte période. Mais à la reprise d'Online Armor il n'y avait plus de "keyloggers", alors que j'en avais dans des programmes que j'avais écri t sans aucune utilisation du clavier.
Le lendemain un programme était concerné, le surlendemain quatre. Pas les mêmes qu'avant.
En tout cas si j'arrive à nettoyer tout ça ce ne sera pas grâce à "Better Business Bureau", dont l'activité principale semble être de diffuser des virus par rafales de cinq, dont un qui laisse Avast indifférent jusque là, mais que Microsoft Security Essentials signale comme s'appelant PWS:Win32/Fareit.
Description : Ce programme est dangereux et capture les mots de passe des utilisateurs.
J'encourage les gens qui souhaitent une machine opérationnelle à détruire tout ce qui vient du domaine bbb.org.
Sauf quand un plaisantin s'amuse à détruire dans le dossier brouillon d'un compte IMAP un mail que vous vous apprêtez à envoyer trente secondes après l'y avoir placé, vous ne voyez rien, tout a un aspect normal. L'alerte a été donnée par Online Armor, grâce à la fonc tion HIPS de son "gardien des programmes".
Gloops
Gloops a écrit, le 27/12/2012 02:40 :
Sinon c'est vrai qu'à en croire Online Armor, cette machine n'est pas franchement nette, et l'était encore moins avant le passage de SSD et l'installation de Microsoft Security Essentials.
On dirait que ce dernier veille au grain, car depuis j'ai vidé la liste des keyloggers de Online Armor et redémarré, et le redémarrage n'a été agrémenté d'aucun message d'alerte. Ce qui au passage confirme bien q ue ce qui a déclenché l'alerte ne fait pas partie des logiciels tels que conçus par leurs auteurs.
Pourtant, je ne crois pas cliquer sur tout ce qui bouge, Thunderbird n'ouvre pas par défaut les pièces jointes ... Mais à force d'arrose r, il finit par transpirer une goutte.
D'où l'intérêt des fonctions HIPS : deux ans de sueurs froides, mai s à force de chercher on finit par trouver un antivirus qui connaît l'infection en question.
Et alors un message à l'attention des concepteurs d'antivirus : quand o n reçoit des salves répétitives de virus sur un compte mail, ça peu t rendre service de pouvoir consulter les champs des mails concernés, ne serait-ce que pour ajouter des filtres sur le serveur mail, juste un cran en amont. ça libère d'autant les ressources de la machine client e.
Étant donné que l'élément pertinent peut se trouver dans le corps du mail, peut-être bien que le plus simple est de ne détruire que la piè ce jointe, et agrémenter le mail d'un drapeau.
Gloops a écrit, le 27/12/2012 02:40 :
Sinon c'est vrai qu'à en croire Online Armor, cette machine n'est pas
franchement nette, et l'était encore moins avant le passage de SSD et
l'installation de Microsoft Security Essentials.
On dirait que ce dernier veille au grain, car depuis j'ai vidé la liste
des keyloggers de Online Armor et redémarré, et le redémarrage n'a été
agrémenté d'aucun message d'alerte. Ce qui au passage confirme bien q ue
ce qui a déclenché l'alerte ne fait pas partie des logiciels tels que
conçus par leurs auteurs.
Pourtant, je ne crois pas cliquer sur tout ce qui bouge, Thunderbird
n'ouvre pas par défaut les pièces jointes ... Mais à force d'arrose r, il
finit par transpirer une goutte.
D'où l'intérêt des fonctions HIPS : deux ans de sueurs froides, mai s à
force de chercher on finit par trouver un antivirus qui connaît
l'infection en question.
Et alors un message à l'attention des concepteurs d'antivirus : quand o n
reçoit des salves répétitives de virus sur un compte mail, ça peu t
rendre service de pouvoir consulter les champs des mails concernés, ne
serait-ce que pour ajouter des filtres sur le serveur mail, juste un
cran en amont. ça libère d'autant les ressources de la machine client e.
Étant donné que l'élément pertinent peut se trouver dans le corps du
mail, peut-être bien que le plus simple est de ne détruire que la piè ce
jointe, et agrémenter le mail d'un drapeau.
Sinon c'est vrai qu'à en croire Online Armor, cette machine n'est pas franchement nette, et l'était encore moins avant le passage de SSD et l'installation de Microsoft Security Essentials.
On dirait que ce dernier veille au grain, car depuis j'ai vidé la liste des keyloggers de Online Armor et redémarré, et le redémarrage n'a été agrémenté d'aucun message d'alerte. Ce qui au passage confirme bien q ue ce qui a déclenché l'alerte ne fait pas partie des logiciels tels que conçus par leurs auteurs.
Pourtant, je ne crois pas cliquer sur tout ce qui bouge, Thunderbird n'ouvre pas par défaut les pièces jointes ... Mais à force d'arrose r, il finit par transpirer une goutte.
D'où l'intérêt des fonctions HIPS : deux ans de sueurs froides, mai s à force de chercher on finit par trouver un antivirus qui connaît l'infection en question.
Et alors un message à l'attention des concepteurs d'antivirus : quand o n reçoit des salves répétitives de virus sur un compte mail, ça peu t rendre service de pouvoir consulter les champs des mails concernés, ne serait-ce que pour ajouter des filtres sur le serveur mail, juste un cran en amont. ça libère d'autant les ressources de la machine client e.
Étant donné que l'élément pertinent peut se trouver dans le corps du mail, peut-être bien que le plus simple est de ne détruire que la piè ce jointe, et agrémenter le mail d'un drapeau.
Th.A.C
Le 27/12/2012 02:40, Gloops a écrit :
Ah, tu veux dire que les mêmes droits que sur la DLL s'appliquent aux URL ? ça ne se devine pas, ça ...
heu, non non, je voulais juste dire que c'est une forme _possible_ de protection sur le fichier url.dll qui empêcherait _peut-être_ un virus pas trop intelligent de toucher à ce fichier.
Par exemple, si je ne laisse que les droits lecture/exécution et que le propriétaire du fichier est 'system', tu ne devrais pas pouvoir effacer/modifier le fichier sans te l'approprier, même si tu es administrateur.
Et a l'inverse, c'est aussi un des moyens qu'un virus pourrait employer pour t'empêcher de restaurer manuellement cette dll
Attention, je ne dis pas que c'est ca, mais que ca pourrait l'être
Naïvement, j'aurais dit que les fichiers d'extension url peuvent effectivement faire l'objet de modifications à restreindre, mais que la DLL, sauf virus, ne doit être modifiée que par le développeur, sur sa machine, et à déployer sous sa responsabilité. S'agit-il d'un autre type de DLL ?
je parlai de modification sur les droits d'accès du fichier, pas de modification de son contenu. :-)
Thierry
Le 27/12/2012 02:40, Gloops a écrit :
Ah, tu veux dire que les mêmes droits que sur la DLL s'appliquent aux
URL ? ça ne se devine pas, ça ...
heu, non non, je voulais juste dire que c'est une forme _possible_ de
protection sur le fichier url.dll qui empêcherait _peut-être_ un virus
pas trop intelligent de toucher à ce fichier.
Par exemple, si je ne laisse que les droits lecture/exécution et que le
propriétaire du fichier est 'system', tu ne devrais pas pouvoir
effacer/modifier le fichier sans te l'approprier, même si tu es
administrateur.
Et a l'inverse, c'est aussi un des moyens qu'un virus pourrait employer
pour t'empêcher de restaurer manuellement cette dll
Attention, je ne dis pas que c'est ca, mais que ca pourrait l'être
Naïvement, j'aurais dit que les fichiers d'extension url peuvent
effectivement faire l'objet de modifications à restreindre, mais que la
DLL, sauf virus, ne doit être modifiée que par le développeur, sur sa
machine, et à déployer sous sa responsabilité. S'agit-il d'un autre type
de DLL ?
je parlai de modification sur les droits d'accès du fichier, pas de
modification de son contenu. :-)
Ah, tu veux dire que les mêmes droits que sur la DLL s'appliquent aux URL ? ça ne se devine pas, ça ...
heu, non non, je voulais juste dire que c'est une forme _possible_ de protection sur le fichier url.dll qui empêcherait _peut-être_ un virus pas trop intelligent de toucher à ce fichier.
Par exemple, si je ne laisse que les droits lecture/exécution et que le propriétaire du fichier est 'system', tu ne devrais pas pouvoir effacer/modifier le fichier sans te l'approprier, même si tu es administrateur.
Et a l'inverse, c'est aussi un des moyens qu'un virus pourrait employer pour t'empêcher de restaurer manuellement cette dll
Attention, je ne dis pas que c'est ca, mais que ca pourrait l'être
Naïvement, j'aurais dit que les fichiers d'extension url peuvent effectivement faire l'objet de modifications à restreindre, mais que la DLL, sauf virus, ne doit être modifiée que par le développeur, sur sa machine, et à déployer sous sa responsabilité. S'agit-il d'un autre type de DLL ?
je parlai de modification sur les droits d'accès du fichier, pas de modification de son contenu. :-)
Thierry
Gloops
Th.A.C a écrit, le 27/12/2012 13:44 :
je parlai de modification sur les droits d'accès du fichier, pas de modification de son contenu. :-)
Thierry
Ah, c'est vrai que ce sont les administrateurs qui peuvent appliquer les mises à jour, il faut bien un moyen, pour ça.
C'est vrai qu'une fois dit comme ça ça devient évident ...
Th.A.C a écrit, le 27/12/2012 13:44 :
je parlai de modification sur les droits d'accès du fichier, pas de
modification de son contenu. :-)
Thierry
Ah, c'est vrai que ce sont les administrateurs qui peuvent appliquer les
mises à jour, il faut bien un moyen, pour ça.
C'est vrai qu'une fois dit comme ça ça devient évident ...
