boot mebroot

Bonjour ° Bonsoir, le Wed, 05 Nov 2008 18:05:26 +0100, Ludovic - F5PBG
< .> a wroté:

Depuis plus d'1 an que tu balances ces 2 liens.

Cela fait plus d'un an que les gens posent les mêmes
questions ...

T'en es sûr, vraiment sûr que t'avais compris la question, au moins ?
Et ce n'est vraiment pas des exemples qui manquent, yaka...
----------------------------------
Message-ID: <v6pqg419vr7t5to97qtidovn5ulgrkivr0@4ax.com>

le Fri, 31 Oct 2008 23:10:22 +0100, Sylvain SF <sylvain@boiteaspam.info> a wroté:

....

Connaitriez-vous a) un moyen certain de savoir si cette
infection est présente ou non ? b) un moyen efficace de
la virer ?

Si elle apparaît, c'est qu'elle est sans doute présente...

Tu n'as pas répondu à ses 2 questions a) et b)...

Pour ma part, je désinfecte les configs des collègues ainsi :

Donc tout ce qui t'intéresse c'est de balancer tes 2 liens (57,58)...
----------------------------------
ou,
----------------------------------
Message-ID: <rlb014tep6gomqg5boqo7alosvdruuum2b@4ax.com>

Bonjour ° Bonsoir, le Thu, 24 Apr 2008 00:09:35 +0200, Ludovic
<Ludovic.F5PBG@Brest> a wroté:

AVG antivirus à détecter JS/Downloader et Exploit. Il fait un transfert des
fichiers véreux dans le Vault, mais ça pas l'air de fonctionner.
Avec quoi effacer ces deux virus, je n'ai rien trouver de concluant ?
Pour le moment, ça perturbe salement la navigation sur Internet, plein de
message d'erreur avec proposition de lancer le debugger entre autre.
Quelqu'un a t-il déjà eu des pb avec ces virus.

Maintenant, personnellement, voici ma méthode :
http://inforadio.free.fr/monchienestsublimerticles.phpfr&pgX

Ah! Je comprends mieux.
En fait tu t'en fout de son pb, ce qui t'intéresse c'est de balancer
ta 'méthode' de copier/coller qui n'a jamais empêché quiconque
d'attraper des cochonneries.
------------------------------------

S'il auraient été aussi efficaces comme tu le prétends. Pourquoi y
aurait il toujours autant d'utilisateurs infectés ????

Tout simplement parce que les gens ne passent pas
forcément par la page en question...

P'être que ton torchon n'intéresse personne ou qu'ils auraient
tendance à fuir les charlatans.
Mais tu t'es déjà répondu là-dessus ce jour même à 13h25... même pas
6h d'écart.

------------------------------------
Message-ID: <3g73h45hshmhsolletqcgk15ksq65hr2pc@4ax.com>

De toi à moi, si le site était si connu et suivi,
il n'y aurait plus de personnes infectées par
des virus informatiques...

Waou, comme le nuage de Tchernobyl ou la crise financière américaine
qui ont été repoussés à l'approche de la France.

Nous le savons tous ici que s'ils auraient été suivis, tes 'conseils'
issus de méthodes inédites zé ancestrales, leur efficacité aurait
éradiqué les virus de la planète entière, sisisi...
D'ailleurs, je crois que tes disciples auraient tous mis un
autocollant sur leurs pc : 'Protection by Ludovic from Brest'.

On est pas encore vendredi mais ca promet.
-------------------------------------

... à partir desquels tu as pilléS ...

Je n'ai rien pillé du tout. Il ne s'agit que de logique.

Ouaip, épatante logique du pillage sans en citer ni la source ni un
remerciement à son auteur.
Message-ID: <3g73h45hshmhsolletqcgk15ksq65hr2pc@4ax.com>


Je ne sais pas dans quelle école tu avais fréquenté après ton BTS
Electronique, et doté d'une riche expérience d'étaleur de pâte
thermique pendant 20 ans, mais tu est vraiment Exceptionnel !

Tu es simplement et réellement le Meilleur d'entre nous tous, quoi...

ps: à quel niveau de ton stage pourrait-on acquérir tes autocollants ?

--
VaN.

"Sylvain SF" <sylvain@boiteaspam.info> a écrit dans le message de news:
4911ab16$0$923$ba4acef3@news.orange.fr...

un "mbr -f" ne fixe rien du tout.

sur quel systeme ?
je ne crois pas que ce soit une commande XP.
Pour XP ce serait plutot fixmbr, en mode console de recuperation.


--
Cordialement,
Az Sam.

Sylvain SF wrote:

l'outil mbr a également été listé, il m'indique:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x12a18ac1 size 0x1e4 !

il n'indique pas "MBR rootkit code detected"
et la taille du code hostile est diférente de celle figurant sur
<http://forum.malekal.com/viewtopic.php?fX&t139&pw060&hilit=mebroot#p77060>

C'est normal les infections changent

http://www.microsoft.com/security/encyclopedia/details.aspx?name=Win32%2fSinowal

Sinon j'insiste, c'est un rootkit, et qui à la base récupère tes mots de
passe (pas l'infection du MBR seule bien sur)donc il y a d'autres
choses sur ton disque

Vu la chaine, ce n'est pas une infection récente (détectée et éradiquée
par Kaspersky depuis 11 mois) Backdoor.Win32.Sinowal

Si tu ne veux pas te faire désinfecter sur le forum malekal (tu devrais)
tu peux essayer ceci :

Tu vas à :

http://www.ambience.sk/fdisk-master-boot-record-windows-linux-lilo-fixmbr.php

tu récupères :

http://www.ambience.sk/experiments/MbrFix.exe

Tu copies le prog dans la racine du disque ( Disque C: )

Tu boot sur ton CD de win XP

Tu choisis l'option "Command Prompt option" (ligne de commande) après
avoir choisi "réparer l'ordinateur" (Repair my computer)

Tu passes sur ton disque C:

Tu tapotes


MBRFIX /DRIVE (le nom de ton disque) FIXMBR

mais il doit y avoir une aide en ligne de commande

un "mbr -f" ne fixe rien du tout.
(gmer donne le même status et ne répare pas plus).

Une des meilleures prévention contre ce risque est une sauvegarde des
secteurs importants des disques durs, sauvegarde à effectuer AVANT une
infection évidemment !

Qui n'est qu'une partie de l'infection je le rappelle

certes, c'est une option.
ici je considère que les [M]BR sont certes importants pour le système
mais par pour moi (ils ne contiennent aucun document perso), leur
complet remplacement me conviendrait donc, le disk bootant sur sa
première partition principale, le recodage d'un MBR devrait même
être assez simple (le système est mono-boot).

En théorie seulement...

L'infection, si tu fixes le MBR, peut au redémarrage se repositionner.

C'est pour cela qu'il est important de nettoyer également ton ordinateur
avec des outils spécifiques (d'ou le fait de passer par un forum de
"helpeurs") car les AV sont pratiquement tous incapables de le faire
correctement ou alors partiellement.

Et ce n'est pas en suivant la procédure de l'autre zozo que tu y
arriveras qui si je suis sa page il demande :

- D'activer le firewall (là l'infection le désactive ou passe outre et
ouvre un port spécifique pour transmettre en SSL)

- Demande de mettre à jour windows (aucune incidence sur l'infection)

- De désactiver la restauration automatique ( aucun effet)

- D'essayer quelques recettes "magiques" à coup de Spybot, etc
(à la rigueur malware Bytes peut détecter quelque chose mais pas tout)

et qui demande d'utiliser des outils d'analyse APRES avoir utilisé des
programmes au hasard. Ce qui est complètement illogique.

Je te conseille un passage sur :

http://forum.malekal.com/viewforum.php?f=3

ou les autres adresses déja citées.
Au moins tu seras certain de repartir avec un PC sain

Ludovic - F5PBG wrote:

Tu ne fais que balancer ces 2 ou 3 liens vers ton site...
tu le fais depuis si longtemps que ce site est connu partout....

Le but du site est d'éviter les copier-coller...
Certains ont du temps à réécrire à chaque fois
la même chose, c'est bien. Pour ma part, je
n'ai pas que la sécurité informatique comme
pôle d'activité...

Si il existait une méthode miracle ca se saurait.

Au cas ou tu ne le saurais pas il y a plusieurs types d'infection (ou
classes) et toutes ne se résolvent pas de la meme facon.

Et je te défie avec ton lien de nettoyer une infection rootkitée type
vundo (qui est la plus courante je le rappelle)

Ludovic - F5PBG wrote:

Tu n'es pas fatigué de donner ce genre d'arguments ?

C'est passé sous silence la réponse précédente...

Une solution au problème de "mebroot" a été donnée ici. L'as-tu
seulement comprise ?

Tu regarderas l'heure de mon envoi et tu constateras
que je suis le premier à avoir répondu... Il faut lire les
thread...

Répondu peut etre, résolu le problème surement pas.

Il est toujours là

Bref, au revoir...

De même :-)

Az Sam a écrit :

un "mbr -f" ne fixe rien du tout.

sur quel systeme ?

XP

je ne crois pas que ce soit une commande XP.

en effet

Pour XP ce serait plutot fixmbr, en mode console de recuperation.

je ne l'ai pas dit explicitement mais puisque cela fait parti
de la solution symantec indiqué comme testée, j'ai fait un
fixmbr qui n'a rien fixé.

"mbr -f" était placé dans:

[a propos de] l'outil mbr également [] listé:
un "mbr -f" ne fixe rien du tout.

donc mbr n'est pas une commande xp, c'est le nom de mbr!

Sylvain.

"Sylvain SF" <sylvain@boiteaspam.info> a écrit dans le message de news:
491209fa$0$868$ba4acef3@news.orange.fr...

je ne l'ai pas dit explicitement mais puisque cela fait parti
de la solution symantec indiqué comme testée, j'ai fait un
fixmbr qui n'a rien fixé.

"mbr -f" était placé dans:

[a propos de] l'outil mbr également [] listé:
un "mbr -f" ne fixe rien du tout.

donc mbr n'est pas une commande xp, c'est le nom de mbr!

je ne suis pas sur de tout comprendre mais bon, l'important c'est qu'il n'y
a pas meprise sur la commande a passer.


--
Cordialement,
Az Sam.

"houba" <@lacave.net> a écrit dans le message de
news:tam3h41utea5d6nijh1sn9gi8a8qoje01s@4ax.com...

Bonjour ° Bonsoir, le Wed, 05 Nov 2008 18:05:26 +0100, Ludovic - F5PBG
< .> a wroté:

Depuis plus d'1 an que tu balances ces 2 liens.

Cela fait plus d'un an que les gens posent les mêmes
questions ...

T'en es sûr, vraiment sûr que t'avais compris la question, au moins ?
Et ce n'est vraiment pas des exemples qui manquent, yaka...
----------------------------------
Message-ID: <v6pqg419vr7t5to97qtidovn5ulgrkivr0@4ax.com>

le Fri, 31 Oct 2008 23:10:22 +0100, Sylvain SF <sylvain@boiteaspam.info>
a wroté:

....

Connaitriez-vous a) un moyen certain de savoir si cette
infection est présente ou non ? b) un moyen efficace de
la virer ?

Si elle apparaît, c'est qu'elle est sans doute présente...

Tu n'as pas répondu à ses 2 questions a) et b)...

Pour ma part, je désinfecte les configs des collègues ainsi :

Donc tout ce qui t'intéresse c'est de balancer tes 2 liens (57,58)...
----------------------------------
ou,
----------------------------------
Message-ID: <rlb014tep6gomqg5boqo7alosvdruuum2b@4ax.com>

Bonjour ° Bonsoir, le Thu, 24 Apr 2008 00:09:35 +0200, Ludovic
<Ludovic.F5PBG@Brest> a wroté:

AVG antivirus à détecter JS/Downloader et Exploit. Il fait un transfert
des
fichiers véreux dans le Vault, mais ça pas l'air de fonctionner.
Avec quoi effacer ces deux virus, je n'ai rien trouver de concluant ?
Pour le moment, ça perturbe salement la navigation sur Internet, plein de
message d'erreur avec proposition de lancer le debugger entre autre.
Quelqu'un a t-il déjà eu des pb avec ces virus.

Maintenant, personnellement, voici ma méthode :
http://inforadio.free.fr/monchienestsublimerticles.phpfr&pgX

Ah! Je comprends mieux.
En fait tu t'en fout de son pb, ce qui t'intéresse c'est de balancer
ta 'méthode' de copier/coller qui n'a jamais empêché quiconque
d'attraper des cochonneries.
------------------------------------

S'il auraient été aussi efficaces comme tu le prétends. Pourquoi y
aurait il toujours autant d'utilisateurs infectés ????

Tout simplement parce que les gens ne passent pas
forcément par la page en question...

P'être que ton torchon n'intéresse personne ou qu'ils auraient
tendance à fuir les charlatans.
Mais tu t'es déjà répondu là-dessus ce jour même à 13h25... même pas
6h d'écart.

------------------------------------
Message-ID: <3g73h45hshmhsolletqcgk15ksq65hr2pc@4ax.com>

De toi à moi, si le site était si connu et suivi,
il n'y aurait plus de personnes infectées par
des virus informatiques...

Waou, comme le nuage de Tchernobyl ou la crise financière américaine
qui ont été repoussés à l'approche de la France.

Nous le savons tous ici que s'ils auraient été suivis, tes 'conseils'
issus de méthodes inédites zé ancestrales, leur efficacité aurait
éradiqué les virus de la planète entière, sisisi...
D'ailleurs, je crois que tes disciples auraient tous mis un
autocollant sur leurs pc : 'Protection by Ludovic from Brest'.

On est pas encore vendredi mais ca promet.
-------------------------------------

... à partir desquels tu as pilléS ...

Je n'ai rien pillé du tout. Il ne s'agit que de logique.

Ouaip, épatante logique du pillage sans en citer ni la source ni un
remerciement à son auteur.
Message-ID: <3g73h45hshmhsolletqcgk15ksq65hr2pc@4ax.com>


Je ne sais pas dans quelle école tu avais fréquenté après ton BTS
Electronique, et doté d'une riche expérience d'étaleur de pâte
thermique pendant 20 ans, mais tu est vraiment Exceptionnel !

Tu es simplement et réellement le Meilleur d'entre nous tous, quoi...

ps: à quel niveau de ton stage pourrait-on acquérir tes autocollants ?

--
VaN.

Houba houba !


boris ryser

"Depassage" <monadresseamoi@hotmail.com> a écrit dans le message de
news:4911fac3$0$28669$7a628cd7@news.club-internet.fr...

Sylvain SF wrote:

l'outil mbr a également été listé, il m'indique:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x12a18ac1 size 0x1e4 !

il n'indique pas "MBR rootkit code detected"
et la taille du code hostile est diférente de celle figurant sur
<http://forum.malekal.com/viewtopic.php?fX&t139&pw060&hilit=mebroot#p77060>

C'est normal les infections changent

http://www.microsoft.com/security/encyclopedia/details.aspx?name=Win32%2fSinowal

Sinon j'insiste, c'est un rootkit, et qui à la base récupère tes mots de
passe (pas l'infection du MBR seule bien sur)donc il y a d'autres choses
sur ton disque

Vu la chaine, ce n'est pas une infection récente (détectée et éradiquée
par Kaspersky depuis 11 mois) Backdoor.Win32.Sinowal

Si tu ne veux pas te faire désinfecter sur le forum malekal (tu devrais)
tu peux essayer ceci :

Tu vas à :

http://www.ambience.sk/fdisk-master-boot-record-windows-linux-lilo-fixmbr.php

tu récupères :

http://www.ambience.sk/experiments/MbrFix.exe

Tu copies le prog dans la racine du disque ( Disque C: )

Tu boot sur ton CD de win XP

Tu choisis l'option "Command Prompt option" (ligne de commande) après
avoir choisi "réparer l'ordinateur" (Repair my computer)

Tu passes sur ton disque C:

Tu tapotes


MBRFIX /DRIVE (le nom de ton disque) FIXMBR

mais il doit y avoir une aide en ligne de commande

un "mbr -f" ne fixe rien du tout.
(gmer donne le même status et ne répare pas plus).

Une des meilleures prévention contre ce risque est une sauvegarde des
secteurs importants des disques durs, sauvegarde à effectuer AVANT une
infection évidemment !

Qui n'est qu'une partie de l'infection je le rappelle

certes, c'est une option.
ici je considère que les [M]BR sont certes importants pour le système
mais par pour moi (ils ne contiennent aucun document perso), leur
complet remplacement me conviendrait donc, le disk bootant sur sa
première partition principale, le recodage d'un MBR devrait même
être assez simple (le système est mono-boot).

En théorie seulement...

L'infection, si tu fixes le MBR, peut au redémarrage se repositionner.

C'est pour cela qu'il est important de nettoyer également ton ordinateur
avec des outils spécifiques (d'ou le fait de passer par un forum de
"helpeurs") car les AV sont pratiquement tous incapables de le faire
correctement ou alors partiellement.

Et ce n'est pas en suivant la procédure de l'autre zozo que tu y arriveras
qui si je suis sa page il demande :

- D'activer le firewall (là l'infection le désactive ou passe outre et
ouvre un port spécifique pour transmettre en SSL)

- Demande de mettre à jour windows (aucune incidence sur l'infection)

- De désactiver la restauration automatique ( aucun effet)

- D'essayer quelques recettes "magiques" à coup de Spybot, etc
(à la rigueur malware Bytes peut détecter quelque chose mais pas tout)

et qui demande d'utiliser des outils d'analyse APRES avoir utilisé des
programmes au hasard. Ce qui est complètement illogique.

Je te conseille un passage sur :

http://forum.malekal.com/viewforum.php?f=3

ou les autres adresses déja citées.
Au moins tu seras certain de repartir avec un PC sain

Enfin ! Voilà quelque chose de clair pour toi, Sylvain...

Excuse-nous pour tout le brouillard
et le speed de ce forum (depuis des mois) autour de Ludovic....


boris ryser

Depassage a écrit :

C'est normal les infections changent

je croyais que seuls les virus mutaient ;)

Sinon j'insiste, c'est un rootkit, et qui à la base récupère tes mots
de passe (pas l'infection du MBR seule bien sur)donc il y a d'autres
choses sur ton disque

sur, il y a plein d'autres trucs, mais soit c'est un code distinct
qui spam mes pass (pourquoi ça d'ailleurs, ton affirmation me semble
hasardeuse) soit un process system vérolé qui fait des connexions
non souhaités ... NAV ne détecte pas un tel code, ZA pro n'alerte pas
sur une connexion; NAV est incapable d'enlever le rootkit mais prétend
à chaque fois l'avoir bloqué, peut être bloque-t'il réellement
l'infection, sans pouvoir restaurer le MBR.

Vu la chaine, ce n'est pas une infection récente (détectée et éradiquée
par Kaspersky depuis 11 mois) Backdoor.Win32.Sinowal

sûrement ancien, la machine n'est pas exposé déliberemment, par contre
je récupère parfois des softs de mes collèges ... et ce ne serait pas
la première fois.

Si tu ne veux pas te faire désinfecter sur le forum malekal (tu devrais)

pourquoi ce forum ne peut plus remplir ce rôle ?

tu récupères :
http://www.ambience.sk/experiments/MbrFix.exe
Tu boot sur ton CD de win XP [] option "Command Prompt option"
Tu passes sur ton disque C:
MBRFIX /DRIVE (le nom de ton disque) FIXMBR

non, la console de réparation d'un XP SP3 n'autorise que ses
propres commandes et exec. (inattendu), un boot normal en mode
ligne de commande a malgré tout permis de lancer mbrfix.

après ça et pour 3 reboots, aucune alerte mebroot.
je ne dis pas encore victoire mais ça y ressemble un peu.

L'infection, si tu fixes le MBR, peut au redémarrage se repositionner.
C'est pour cela qu'il est important de nettoyer également ton ordinateur
avec des outils spécifiques (d'ou le fait de passer par un forum de
"helpeurs") car les AV sont pratiquement tous incapables de le faire
correctement ou alors partiellement.

comme tu le dis je peux avoir besoin de *passer* un tool particulier,
plus que de passer sur un web-forum ... un nom de tool d'analyse ?

Et ce n'est pas en suivant la procédure de l'autre zozo que tu y
arriveras qui si je suis sa page il demande :

si tu penses que ses indications sont illogiques / inutiles,
pourquoi les citer ? les ignorer me semble suffisant.

Je te conseille un passage sur:
http://forum.malekal.com/viewforum.php?f=3

je garde le lien.

merci.
Sylvain.