Bonjour.
J'attendais un fichier .doc et il s'est avéré que c'était un fichier .scr, mais
je m'en suis aperçu trop tard, j'ai cliqué, j'ai vu l'icone du centre de
sécurité s'afficher en anomalie, et depuis c'est la pagaille : chaque fois que
je lance un programme, une fen^^etre "Exportation de votre clé de signature
privée" s'affiche, dans laquelle "Une application demande l'accès à un élément
protégé". Quand je clique sur "Détail", ça me donne le chemin du programme que
je veux ouvrir.
En outre, le système est fortement ralenti.
Je suis en train de passer MalwareBytes, AVG 8.5 Free et je ferai examiner un
log de Hijack quand je me reconnecterai, mais est-ce que d'ores et déjà on peut
m'expliquer ce qui se passe, et quel genre de cochonnerie j'ai attrapée (je
m'aperçois aussi que la touche accent circonflexe a un comportement étrange --
ça rappelle de bien vieux souvenirs de virus) ?
Si ça s'avère trop lourd, je suis pr^^et (ahem) à réinstaller tout (j'y
pensais), mais je me demande si ça va bien se passer, car au départ j'ai un XP
SP1, et je crois avoir lu qu'il n'est plus "serviced" : est-ce que ça signifie
que je ne pourrai pas bénéficier des updates ?
Je repasserai (si faire se peut...) avec les résultats des scans, mais si on
peut déjà m'orienter, je prendrai volontiers ; merci d'avance pour toute info...
--
a.
"Depassage" a écrit dans le message de news: 4a4262c7$0$290$
Là je pense qu'on se posera la question de savoir "pourquoi un SP0 ?"...
Les SP ne font pas que stabiliser l'OS, mais apportent également des corrections de failles
Ensuite Baggle s'attrape avec des cracks et c'est là que ca va coincer.
tu veux dire que si on choppe baggle faut pas venir demandé de prise en charge ? ;-)
Heu... :-)
Le baggle s'attrape exclusivement avec les cracks.
Le problème c'est qu'il y a un grand nombre d'abrutis qui venaient se faire désinfecter, puis on les revoyait régulièrement (sous divers pseudos)avec les toujours memes infections dont la cause était la meme.
En fait, ils partaient du principe que meme si leurs protections étaient inefficaces (ils étaient sous Avast pour la majorité d'entre eux ou avec des AV crackés ou un Windows tombé du camion)ce n'était pas grave, car il suffisait de venir sur le forum pour repartir tout propre.
En plus comme certaines infections étaient un peu complexes à virer, certains ralaient ou s'énervaient du fait des manips à effectuer ou parce que cela n'allait pas assez vite pour eux (normal quand on se pointe à 1h du matin tous les helpeurs ne sont pas présents)
Bagle a évolué... Il utilise des techniques de rootkit et ce n'est pas en passant des programmes au petit bonheur la chance (méthode ludo) que tu vas t'en débarasser facilement du fait des variantes.
s'il est rootkité il faudra qu'un programme lui donne l'indice. en quoi choisir l'un plutot que l'autre, ou meme les autres si l'un reste negatif, serait une recherche au petit bonheur ? c'ets bien pour cela que des multi AV existent.
Les AV ne sont pas très doués pour ce type de détection, il faut des outils adaptés à l'infection
ce n'est pas toujours le standard hjt qui le montrera. Ca ne marche que quand le malware contenait tout un tas de betises, si c'est un rootkit bien foutu il restera furtif.
Tout a fait et du reste il n'y a aucun outil de détection pour les rootkits qui soit efficace à 100%
Pour arriver à déterminer l'infection il y a d'autres indices, de type comportemental par ex ou des outils qui n'ont rien à voir avec la détection d'infection (quelques outils de sysinternals, wireshark etc etc)
Perso, je pars du principe qu'un OS compromis au niveau du kernel devrait etre réinstallé (formatage et réinstallation) mais bon...
Par contre si c'est un rootkit kernel, avec quoi le verra t il ? quels outils ?
Ce type d'infection veut toujours communiquer vers l'extérieur c'est une de ses failles
Ensuite il y a le comportement du PC, mais là il faut un peu d'expérience pour en arriver à classifier l'infection présente meme si on n'arrive pas à la trouver
dans ce sujet du 15 Aoû 2007, je lis : "Avast! est loin de ce que l'on a fait de mieux en matière de protection, " Je comprendrais jamais...
Avast dans l'absolu n'est pas mauvais du tout, il serait meme très bon pour la détection Son gros problème c'est le labo qui ne suit pas pour intégrer les nouvelles infections (et meme pour certaines (dont les infections MSN) dont on a vu parfois plus d'un mois et demi de décalage
Ensuite la désinfection n'est pas son fort
et dans le dernier post du sujet datant du 21 Oct 2008 on peut lire que ce sont les AV qui le voit. Mais dans le cas present le dropper n'a pas été vu, donc pas bloqué. (si dropper et rootkit il y a ...)
Cela a toujours été le problème entre le dropper et le payload...
Az Sam wrote:
"Depassage" <monadresseamoi@hotmail.com> a écrit dans le message de
news: 4a4262c7$0$290$7a628cd7@news.club-internet.fr...
Là je pense qu'on se posera la question de savoir "pourquoi un SP0 ?"...
Les SP ne font pas que stabiliser l'OS, mais apportent également des
corrections de failles
Ensuite Baggle s'attrape avec des cracks et c'est là que ca va coincer.
tu veux dire que si on choppe baggle faut pas venir demandé de prise en
charge ? ;-)
Heu... :-)
Le baggle s'attrape exclusivement avec les cracks.
Le problème c'est qu'il y a un grand nombre d'abrutis qui venaient se
faire désinfecter, puis on les revoyait régulièrement (sous divers
pseudos)avec les toujours memes infections dont la cause était la meme.
En fait, ils partaient du principe que meme si leurs protections étaient
inefficaces (ils étaient sous Avast pour la majorité d'entre eux ou avec
des AV crackés ou un Windows tombé du camion)ce n'était pas grave, car
il suffisait de venir sur le forum pour repartir tout propre.
En plus comme certaines infections étaient un peu complexes à virer,
certains ralaient ou s'énervaient du fait des manips à effectuer ou
parce que cela n'allait pas assez vite pour eux (normal quand on se
pointe à 1h du matin tous les helpeurs ne sont pas présents)
Bagle a évolué... Il utilise des techniques de rootkit et ce n'est pas
en passant des programmes au petit bonheur la chance (méthode ludo)
que tu vas t'en débarasser facilement du fait des variantes.
s'il est rootkité il faudra qu'un programme lui donne l'indice.
en quoi choisir l'un plutot que l'autre, ou meme les autres si l'un
reste negatif, serait une recherche au petit bonheur ?
c'ets bien pour cela que des multi AV existent.
Les AV ne sont pas très doués pour ce type de détection, il faut des
outils adaptés à l'infection
ce n'est pas toujours le standard hjt qui le montrera. Ca ne marche que
quand le malware contenait tout un tas de betises, si c'est un rootkit
bien foutu il restera furtif.
Tout a fait et du reste il n'y a aucun outil de détection pour les
rootkits qui soit efficace à 100%
Pour arriver à déterminer l'infection il y a d'autres indices, de type
comportemental par ex ou des outils qui n'ont rien à voir avec la
détection d'infection (quelques outils de sysinternals, wireshark etc etc)
Perso, je pars du principe qu'un OS compromis au niveau du kernel
devrait etre réinstallé (formatage et réinstallation) mais bon...
Par contre si c'est un rootkit kernel, avec quoi le verra t il ? quels
outils ?
Ce type d'infection veut toujours communiquer vers l'extérieur
c'est une de ses failles
Ensuite il y a le comportement du PC, mais là il faut un peu
d'expérience pour en arriver à classifier l'infection présente meme si
on n'arrive pas à la trouver
dans ce sujet du 15 Aoû 2007, je lis : "Avast! est loin de ce que l'on a
fait de mieux en matière de protection, "
Je comprendrais jamais...
Avast dans l'absolu n'est pas mauvais du tout, il serait meme très bon
pour la détection
Son gros problème c'est le labo qui ne suit pas pour intégrer les
nouvelles infections (et meme pour certaines (dont les infections MSN)
dont on a vu parfois plus d'un mois et demi de décalage
Ensuite la désinfection n'est pas son fort
et dans le dernier post du sujet datant du 21 Oct 2008 on peut lire que
ce sont les AV qui le voit.
Mais dans le cas present le dropper n'a pas été vu, donc pas bloqué. (si
dropper et rootkit il y a ...)
Cela a toujours été le problème entre le dropper et le payload...
"Depassage" a écrit dans le message de news: 4a4262c7$0$290$
Là je pense qu'on se posera la question de savoir "pourquoi un SP0 ?"...
Les SP ne font pas que stabiliser l'OS, mais apportent également des corrections de failles
Ensuite Baggle s'attrape avec des cracks et c'est là que ca va coincer.
tu veux dire que si on choppe baggle faut pas venir demandé de prise en charge ? ;-)
Heu... :-)
Le baggle s'attrape exclusivement avec les cracks.
Le problème c'est qu'il y a un grand nombre d'abrutis qui venaient se faire désinfecter, puis on les revoyait régulièrement (sous divers pseudos)avec les toujours memes infections dont la cause était la meme.
En fait, ils partaient du principe que meme si leurs protections étaient inefficaces (ils étaient sous Avast pour la majorité d'entre eux ou avec des AV crackés ou un Windows tombé du camion)ce n'était pas grave, car il suffisait de venir sur le forum pour repartir tout propre.
En plus comme certaines infections étaient un peu complexes à virer, certains ralaient ou s'énervaient du fait des manips à effectuer ou parce que cela n'allait pas assez vite pour eux (normal quand on se pointe à 1h du matin tous les helpeurs ne sont pas présents)
Bagle a évolué... Il utilise des techniques de rootkit et ce n'est pas en passant des programmes au petit bonheur la chance (méthode ludo) que tu vas t'en débarasser facilement du fait des variantes.
s'il est rootkité il faudra qu'un programme lui donne l'indice. en quoi choisir l'un plutot que l'autre, ou meme les autres si l'un reste negatif, serait une recherche au petit bonheur ? c'ets bien pour cela que des multi AV existent.
Les AV ne sont pas très doués pour ce type de détection, il faut des outils adaptés à l'infection
ce n'est pas toujours le standard hjt qui le montrera. Ca ne marche que quand le malware contenait tout un tas de betises, si c'est un rootkit bien foutu il restera furtif.
Tout a fait et du reste il n'y a aucun outil de détection pour les rootkits qui soit efficace à 100%
Pour arriver à déterminer l'infection il y a d'autres indices, de type comportemental par ex ou des outils qui n'ont rien à voir avec la détection d'infection (quelques outils de sysinternals, wireshark etc etc)
Perso, je pars du principe qu'un OS compromis au niveau du kernel devrait etre réinstallé (formatage et réinstallation) mais bon...
Par contre si c'est un rootkit kernel, avec quoi le verra t il ? quels outils ?
Ce type d'infection veut toujours communiquer vers l'extérieur c'est une de ses failles
Ensuite il y a le comportement du PC, mais là il faut un peu d'expérience pour en arriver à classifier l'infection présente meme si on n'arrive pas à la trouver
dans ce sujet du 15 Aoû 2007, je lis : "Avast! est loin de ce que l'on a fait de mieux en matière de protection, " Je comprendrais jamais...
Avast dans l'absolu n'est pas mauvais du tout, il serait meme très bon pour la détection Son gros problème c'est le labo qui ne suit pas pour intégrer les nouvelles infections (et meme pour certaines (dont les infections MSN) dont on a vu parfois plus d'un mois et demi de décalage
Ensuite la désinfection n'est pas son fort
et dans le dernier post du sujet datant du 21 Oct 2008 on peut lire que ce sont les AV qui le voit. Mais dans le cas present le dropper n'a pas été vu, donc pas bloqué. (si dropper et rootkit il y a ...)
Cela a toujours été le problème entre le dropper et le payload...
Albédo
Rebonjour. Voici des nouvelles. Pour info, je n'ai pas attrapé Bagle avec un crack : comme tous les mercredis j'attendais un .doc, puis j'ai appris que ce serait un .pdf, alors en le voyant arriver (en *croyant* le voir arriver) je l'ai mécaniquement enregistré-sous puis lancé, juste avant de m'aviser que c'était en fait un .scr. Et puis apparemment ça n'était peut-être même pas Bagle (en tout cas le fixer a planté). Or donc : apparemment MalwareByte en a eu la plus grande partie. Pour info, un log ci-dessous (je sais pas bien pourquoi il renvoie "-> No action taken." ; si j'ai bien suivi, ce log est celui écrit au chargement, alors que le log en mode sans échec contenait plutôt "Action on reboot", ou quelque chose comme ça) :
Valeur(s) du Registre infectée(s): 1 Elément(s) de données du Registre infecté(s): 2 Dossier(s) infecté(s): 1 Fichier(s) infecté(s): 7
(...)
Valeur(s) du Registre infectée(s): HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionNetworkUID (Malware.Trace) -> No action taken.
Elément(s) de données du Registre infecté(s): HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit (Backdoor.Bot) -> Data: c:windowssystem32twext.exe -> No action taken. HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit (Hijack.Userinit) -> Bad: (C:WINDOWSSYSTEM32Userinit.exe,C:WINDOWSsystem32twext.exe,) Good: (Userinit.exe) -> No action taken.
Dossier(s) infecté(s): C:WINDOWSsystem32twain_32 (Backdoor.Bot) -> No action taken.
Fichier(s) infecté(s): c:WINDOWSsystem32twain_32local.ds (Backdoor.Bot) -> No action taken. c:WINDOWSsystem32twain_32local.d_ (Backdoor.Bot) -> No action taken. c:WINDOWSsystem32twain_32user.ds (Backdoor.Bot) -> No action taken. c:WINDOWSsystem32twain_32user.ds.cla (Backdoor.Bot) -> No action taken. c:WINDOWSsystem32twain_32user.ds.cl_ (Backdoor.Bot) -> No action taken. c:WINDOWSsystem32twain_32user.d_ (Backdoor.Bot) -> No action taken. C:WINDOWSsystem32twext.exe (Backdoor.Bot) -> No action taken.
Avant lui, AVG Anti-rootkit avait trouvé quatre infections aux mêmes endroits, toutes liées à twext.exe.
Ensuite, après que j'aie passé MalwareByte, AVG a encore trouvé ça :
"C:WINDOWSsystem32vzbjfwc.dat";"Cheval de Troie : NaviPromo.AA";"Infecté"
...En tout cas, je ne suis plus embêté, apparemment. -- a.
Rebonjour.
Voici des nouvelles.
Pour info, je n'ai pas attrapé Bagle avec un crack : comme tous les mercredis
j'attendais un .doc, puis j'ai appris que ce serait un .pdf, alors en le voyant
arriver (en *croyant* le voir arriver) je l'ai mécaniquement enregistré-sous
puis lancé, juste avant de m'aviser que c'était en fait un .scr.
Et puis apparemment ça n'était peut-être même pas Bagle (en tout cas le fixer a
planté).
Or donc : apparemment MalwareByte en a eu la plus grande partie. Pour info, un
log ci-dessous (je sais pas bien pourquoi il renvoie "-> No action taken." ; si
j'ai bien suivi, ce log est celui écrit au chargement, alors que le log en mode
sans échec contenait plutôt "Action on reboot", ou quelque chose comme ça) :
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 7
(...)
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionNetworkUID
(Malware.Trace) -> No action taken.
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionWinlogonUserinit (Backdoor.Bot) -> Data:
c:windowssystem32twext.exe -> No action taken.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionWinlogonUserinit (Hijack.Userinit) -> Bad:
(C:WINDOWSSYSTEM32Userinit.exe,C:WINDOWSsystem32twext.exe,) Good:
(Userinit.exe) -> No action taken.
Dossier(s) infecté(s):
C:WINDOWSsystem32twain_32 (Backdoor.Bot) -> No action taken.
Fichier(s) infecté(s):
c:WINDOWSsystem32twain_32local.ds (Backdoor.Bot) -> No action taken.
c:WINDOWSsystem32twain_32local.d_ (Backdoor.Bot) -> No action taken.
c:WINDOWSsystem32twain_32user.ds (Backdoor.Bot) -> No action taken.
c:WINDOWSsystem32twain_32user.ds.cla (Backdoor.Bot) -> No action taken.
c:WINDOWSsystem32twain_32user.ds.cl_ (Backdoor.Bot) -> No action taken.
c:WINDOWSsystem32twain_32user.d_ (Backdoor.Bot) -> No action taken.
C:WINDOWSsystem32twext.exe (Backdoor.Bot) -> No action taken.
Avant lui, AVG Anti-rootkit avait trouvé quatre infections aux mêmes endroits,
toutes liées à twext.exe.
Ensuite, après que j'aie passé MalwareByte, AVG a encore trouvé ça :
"C:WINDOWSsystem32vzbjfwc.dat";"Cheval de Troie : NaviPromo.AA";"Infecté"
...En tout cas, je ne suis plus embêté, apparemment.
--
a.
Rebonjour. Voici des nouvelles. Pour info, je n'ai pas attrapé Bagle avec un crack : comme tous les mercredis j'attendais un .doc, puis j'ai appris que ce serait un .pdf, alors en le voyant arriver (en *croyant* le voir arriver) je l'ai mécaniquement enregistré-sous puis lancé, juste avant de m'aviser que c'était en fait un .scr. Et puis apparemment ça n'était peut-être même pas Bagle (en tout cas le fixer a planté). Or donc : apparemment MalwareByte en a eu la plus grande partie. Pour info, un log ci-dessous (je sais pas bien pourquoi il renvoie "-> No action taken." ; si j'ai bien suivi, ce log est celui écrit au chargement, alors que le log en mode sans échec contenait plutôt "Action on reboot", ou quelque chose comme ça) :
Valeur(s) du Registre infectée(s): 1 Elément(s) de données du Registre infecté(s): 2 Dossier(s) infecté(s): 1 Fichier(s) infecté(s): 7
(...)
Valeur(s) du Registre infectée(s): HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionNetworkUID (Malware.Trace) -> No action taken.
Elément(s) de données du Registre infecté(s): HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit (Backdoor.Bot) -> Data: c:windowssystem32twext.exe -> No action taken. HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit (Hijack.Userinit) -> Bad: (C:WINDOWSSYSTEM32Userinit.exe,C:WINDOWSsystem32twext.exe,) Good: (Userinit.exe) -> No action taken.
Dossier(s) infecté(s): C:WINDOWSsystem32twain_32 (Backdoor.Bot) -> No action taken.
Fichier(s) infecté(s): c:WINDOWSsystem32twain_32local.ds (Backdoor.Bot) -> No action taken. c:WINDOWSsystem32twain_32local.d_ (Backdoor.Bot) -> No action taken. c:WINDOWSsystem32twain_32user.ds (Backdoor.Bot) -> No action taken. c:WINDOWSsystem32twain_32user.ds.cla (Backdoor.Bot) -> No action taken. c:WINDOWSsystem32twain_32user.ds.cl_ (Backdoor.Bot) -> No action taken. c:WINDOWSsystem32twain_32user.d_ (Backdoor.Bot) -> No action taken. C:WINDOWSsystem32twext.exe (Backdoor.Bot) -> No action taken.
Avant lui, AVG Anti-rootkit avait trouvé quatre infections aux mêmes endroits, toutes liées à twext.exe.
Ensuite, après que j'aie passé MalwareByte, AVG a encore trouvé ça :
"C:WINDOWSsystem32vzbjfwc.dat";"Cheval de Troie : NaviPromo.AA";"Infecté"
...En tout cas, je ne suis plus embêté, apparemment. -- a.
Eric Demeester
dans (in) fr.comp.securite.virus, "Albédo" ecrivait (wrote) :
Bonjour,
Or donc : apparemment MalwareByte en a eu la plus grande partie. Pour info, un log ci-dessous (je sais pas bien pourquoi il renvoie "-> No action taken." ; si j'ai bien suivi, ce log est celui écrit au chargement, alors que le log en mode sans échec contenait plutôt "Action on reboot", ou quelque chose comme ça) :
Je suppose que c'est ainsi que tu as procédé, mais il est utile de rappeler que pour utiliser MalwareBytes avec un maximum d'efficacité, il faut :
- télécharger la dernière mise à jour de la base de données ; - rebooter en mode sans échec sans prise en compte du réseau ; - passer Malwarebytes.
En mode normal, MalwareBytes détecte bien les problèmes, mais peut dans certains cas ne pas être en mesure de les corriger correctement.
-- Eric
dans (in) fr.comp.securite.virus, "Albédo" <ac.albedo@banane.fr>
ecrivait (wrote) :
Bonjour,
Or donc : apparemment MalwareByte en a eu la plus grande partie. Pour info, un
log ci-dessous (je sais pas bien pourquoi il renvoie "-> No action taken." ; si
j'ai bien suivi, ce log est celui écrit au chargement, alors que le log en mode
sans échec contenait plutôt "Action on reboot", ou quelque chose comme ça) :
Je suppose que c'est ainsi que tu as procédé, mais il est utile de
rappeler que pour utiliser MalwareBytes avec un maximum d'efficacité, il
faut :
- télécharger la dernière mise à jour de la base de données ;
- rebooter en mode sans échec sans prise en compte du réseau ;
- passer Malwarebytes.
En mode normal, MalwareBytes détecte bien les problèmes, mais peut dans
certains cas ne pas être en mesure de les corriger correctement.
dans (in) fr.comp.securite.virus, "Albédo" ecrivait (wrote) :
Bonjour,
Or donc : apparemment MalwareByte en a eu la plus grande partie. Pour info, un log ci-dessous (je sais pas bien pourquoi il renvoie "-> No action taken." ; si j'ai bien suivi, ce log est celui écrit au chargement, alors que le log en mode sans échec contenait plutôt "Action on reboot", ou quelque chose comme ça) :
Je suppose que c'est ainsi que tu as procédé, mais il est utile de rappeler que pour utiliser MalwareBytes avec un maximum d'efficacité, il faut :
- télécharger la dernière mise à jour de la base de données ; - rebooter en mode sans échec sans prise en compte du réseau ; - passer Malwarebytes.
En mode normal, MalwareBytes détecte bien les problèmes, mais peut dans certains cas ne pas être en mesure de les corriger correctement.
-- Eric
Az Sam
"Depassage" a écrit dans le message de news: 4a431748$0$291$
tu veux dire que si on choppe baggle faut pas venir demandé de prise en charge ? ;-)
Heu... :-)
ah d'accord.. Je ne manquerais pas de le ressortir concernant le Forum Malekal alors ;-) non je plaisante.. Mais c'est vrai que parfois, a lire certaine reaction de "helpeur" on se demande en quoi ils sont une "aide".
Les AV ne sont pas très doués pour ce type de détection, il faut des outils adaptés à l'infection
absolument d'ou ma reaction dans le fil baggle du forum malekal qui releve la nouvelle forme rootkitée de baggle par des AV... Il y a qomme une contradiction Et pour connaitre l'outil adapté, il faut deja connaitre l'infection .
Tout a fait et du reste il n'y a aucun outil de détection pour les rootkits qui soit efficace à 100%
ca me rassure de trouver un point commun meme pour un lieu devenu commun . ;-)
Pour arriver à déterminer l'infection il y a d'autres indices, de type comportemental par ex ou des outils qui n'ont rien à voir avec la détection d'infection (quelques outils de sysinternals, wireshark etc etc)
d'accord , dont ceux que je donnais en piste, Puis je esperer que cela ne soit pas une "recherche au petit bonheur la chance" ?.
Perso, je pars du principe qu'un OS compromis au niveau du kernel devrait etre réinstallé (formatage et réinstallation) mais bon...
moi aussi. Sauf que les outils anti rootkit vont eventuellement montrer des rootkit user-mode, pas les autres. sauf a comparer une base systeme "propre" avec l'actuelle comment determine qu'il y a ait un rootkit kernel dedans..
Ce type d'infection veut toujours communiquer vers l'extérieur c'est une de ses failles
quand ca spam ou zombifie activement oui. mais quand ca ne fait que transmettre quelques contenus, rapidement, ca va etre plus dur. si il faut sniffer et analyser toutes les trames sur de longues periodes, c'est un sacre temps perdu il en passe des choses sur un reseau, meme sans rien faire .
Ensuite il y a le comportement du PC, mais là il faut un peu d'expérience pour en arriver à classifier l'infection présente meme si on n'arrive pas à la trouver
et je dois dire que c'est ce que j'attends des forum specialises de desinfection.. C'est quand meme pas souvent le cas. Les helpeurs ont beau etre formes, c'est insuffisant et ils se contentent , comme tout support finalement, de suivre une procedure standardisée. Or une telle recherche demande justement de sortir des sentiers battus.
dans ce sujet du 15 Aoû 2007, je lis : "Avast! est loin de ce que l'on a fait de mieux en matière de protection, " Je comprendrais jamais...
Avast dans l'absolu n'est pas mauvais du tout, il serait meme très bon pour la détection Son gros problème c'est le labo qui ne suit pas pour intégrer les nouvelles infections (et meme pour certaines (dont les infections MSN) dont on a vu parfois plus d'un mois et demi de décalage
Ensuite la désinfection n'est pas son fort
et "protection" dans ce cas là, ca signifie quoi ? detection ? desinfection ? mise a jour ? non, je pense que cette phrase a été oubliee d'etre corrigée tout simplement. surtout que juste au dessus on peut lire : "nous vous recommandons d'abandonner Avast! pour Antivir." :-))
"Depassage" <monadresseamoi@hotmail.com> a écrit dans le message de news:
4a431748$0$291$7a628cd7@news.club-internet.fr...
tu veux dire que si on choppe baggle faut pas venir demandé de prise en
charge ? ;-)
Heu... :-)
ah d'accord.. Je ne manquerais pas de le ressortir concernant le Forum Malekal
alors ;-)
non je plaisante..
Mais c'est vrai que parfois, a lire certaine reaction de "helpeur" on se demande
en quoi ils sont une "aide".
Les AV ne sont pas très doués pour ce type de détection, il faut des outils
adaptés à l'infection
absolument d'ou ma reaction dans le fil baggle du forum malekal qui releve la
nouvelle forme rootkitée de baggle par des AV...
Il y a qomme une contradiction
Et pour connaitre l'outil adapté, il faut deja connaitre l'infection .
Tout a fait et du reste il n'y a aucun outil de détection pour les rootkits
qui soit efficace à 100%
ca me rassure de trouver un point commun meme pour un lieu devenu commun . ;-)
Pour arriver à déterminer l'infection il y a d'autres indices, de type
comportemental par ex ou des outils qui n'ont rien à voir avec la détection
d'infection (quelques outils de sysinternals, wireshark etc etc)
d'accord , dont ceux que je donnais en piste,
Puis je esperer que cela ne soit pas une "recherche au petit bonheur la chance"
?.
Perso, je pars du principe qu'un OS compromis au niveau du kernel devrait etre
réinstallé (formatage et réinstallation) mais bon...
moi aussi.
Sauf que les outils anti rootkit vont eventuellement montrer des rootkit
user-mode, pas les autres.
sauf a comparer une base systeme "propre" avec l'actuelle comment determine
qu'il y a ait un rootkit kernel dedans..
Ce type d'infection veut toujours communiquer vers l'extérieur
c'est une de ses failles
quand ca spam ou zombifie activement oui.
mais quand ca ne fait que transmettre quelques contenus, rapidement, ca va etre
plus dur.
si il faut sniffer et analyser toutes les trames sur de longues periodes, c'est
un sacre temps perdu il en passe des choses sur un reseau, meme sans rien faire
.
Ensuite il y a le comportement du PC, mais là il faut un peu d'expérience pour
en arriver à classifier l'infection présente meme si on n'arrive pas à la
trouver
et je dois dire que c'est ce que j'attends des forum specialises de
desinfection.. C'est quand meme pas souvent le cas.
Les helpeurs ont beau etre formes, c'est insuffisant et ils se contentent ,
comme tout support finalement, de suivre une procedure standardisée.
Or une telle recherche demande justement de sortir des sentiers battus.
dans ce sujet du 15 Aoû 2007, je lis : "Avast! est loin de ce que l'on a fait
de mieux en matière de protection, "
Je comprendrais jamais...
Avast dans l'absolu n'est pas mauvais du tout, il serait meme très bon pour la
détection
Son gros problème c'est le labo qui ne suit pas pour intégrer les nouvelles
infections (et meme pour certaines (dont les infections MSN) dont on a vu
parfois plus d'un mois et demi de décalage
Ensuite la désinfection n'est pas son fort
et "protection" dans ce cas là, ca signifie quoi ? detection ? desinfection ?
mise a jour ?
non, je pense que cette phrase a été oubliee d'etre corrigée tout simplement.
surtout que juste au dessus on peut lire :
"nous vous recommandons d'abandonner Avast! pour Antivir."
:-))
"Depassage" a écrit dans le message de news: 4a431748$0$291$
tu veux dire que si on choppe baggle faut pas venir demandé de prise en charge ? ;-)
Heu... :-)
ah d'accord.. Je ne manquerais pas de le ressortir concernant le Forum Malekal alors ;-) non je plaisante.. Mais c'est vrai que parfois, a lire certaine reaction de "helpeur" on se demande en quoi ils sont une "aide".
Les AV ne sont pas très doués pour ce type de détection, il faut des outils adaptés à l'infection
absolument d'ou ma reaction dans le fil baggle du forum malekal qui releve la nouvelle forme rootkitée de baggle par des AV... Il y a qomme une contradiction Et pour connaitre l'outil adapté, il faut deja connaitre l'infection .
Tout a fait et du reste il n'y a aucun outil de détection pour les rootkits qui soit efficace à 100%
ca me rassure de trouver un point commun meme pour un lieu devenu commun . ;-)
Pour arriver à déterminer l'infection il y a d'autres indices, de type comportemental par ex ou des outils qui n'ont rien à voir avec la détection d'infection (quelques outils de sysinternals, wireshark etc etc)
d'accord , dont ceux que je donnais en piste, Puis je esperer que cela ne soit pas une "recherche au petit bonheur la chance" ?.
Perso, je pars du principe qu'un OS compromis au niveau du kernel devrait etre réinstallé (formatage et réinstallation) mais bon...
moi aussi. Sauf que les outils anti rootkit vont eventuellement montrer des rootkit user-mode, pas les autres. sauf a comparer une base systeme "propre" avec l'actuelle comment determine qu'il y a ait un rootkit kernel dedans..
Ce type d'infection veut toujours communiquer vers l'extérieur c'est une de ses failles
quand ca spam ou zombifie activement oui. mais quand ca ne fait que transmettre quelques contenus, rapidement, ca va etre plus dur. si il faut sniffer et analyser toutes les trames sur de longues periodes, c'est un sacre temps perdu il en passe des choses sur un reseau, meme sans rien faire .
Ensuite il y a le comportement du PC, mais là il faut un peu d'expérience pour en arriver à classifier l'infection présente meme si on n'arrive pas à la trouver
et je dois dire que c'est ce que j'attends des forum specialises de desinfection.. C'est quand meme pas souvent le cas. Les helpeurs ont beau etre formes, c'est insuffisant et ils se contentent , comme tout support finalement, de suivre une procedure standardisée. Or une telle recherche demande justement de sortir des sentiers battus.
dans ce sujet du 15 Aoû 2007, je lis : "Avast! est loin de ce que l'on a fait de mieux en matière de protection, " Je comprendrais jamais...
Avast dans l'absolu n'est pas mauvais du tout, il serait meme très bon pour la détection Son gros problème c'est le labo qui ne suit pas pour intégrer les nouvelles infections (et meme pour certaines (dont les infections MSN) dont on a vu parfois plus d'un mois et demi de décalage
Ensuite la désinfection n'est pas son fort
et "protection" dans ce cas là, ca signifie quoi ? detection ? desinfection ? mise a jour ? non, je pense que cette phrase a été oubliee d'etre corrigée tout simplement. surtout que juste au dessus on peut lire : "nous vous recommandons d'abandonner Avast! pour Antivir." :-))
Albédo
"Eric Demeester" :
En mode normal, MalwareBytes détecte bien les problèmes, mais peut dans certains cas ne pas être en mesure de les corriger correctement.
Il est aussi utile de rappeler, donc, que ce programme est fichtrement efficace, pour l'expérience que j'en ai ! -- a.
"Eric Demeester" :
En mode normal, MalwareBytes détecte bien
les problèmes, mais peut dans certains cas
ne pas être en mesure de les corriger correctement.
Il est aussi utile de rappeler, donc, que ce programme est fichtrement efficace,
pour l'expérience que j'en ai !
--
a.
En mode normal, MalwareBytes détecte bien les problèmes, mais peut dans certains cas ne pas être en mesure de les corriger correctement.
Il est aussi utile de rappeler, donc, que ce programme est fichtrement efficace, pour l'expérience que j'en ai ! -- a.
Ludovic - F5PBG
> Bagle a évolué... Il utilise des techniques de rootkit et ce n'est pas en passant des programmes au petit bonheur la chance (méthode ludo) que tu vas t'en débarasser facilement du fait des variantes.
Tu n'as pas bien compris ma méthode mais ce n'est pas un scoop... Alors je lui donne le lien de "ma méthode" qui fonctionne très bien :
http://inforadio.free.fr/articles.php?lng=fr&pgX
Cordialement, Ludovic.
>
Bagle a évolué... Il utilise des techniques de rootkit et ce n'est pas
en passant des programmes au petit bonheur la chance (méthode ludo) que
tu vas t'en débarasser facilement du fait des variantes.
Tu n'as pas bien compris ma méthode
mais ce n'est pas un scoop... Alors je
lui donne le lien de "ma méthode"
qui fonctionne très bien :
> Bagle a évolué... Il utilise des techniques de rootkit et ce n'est pas en passant des programmes au petit bonheur la chance (méthode ludo) que tu vas t'en débarasser facilement du fait des variantes.
Tu n'as pas bien compris ma méthode mais ce n'est pas un scoop... Alors je lui donne le lien de "ma méthode" qui fonctionne très bien :
http://inforadio.free.fr/articles.php?lng=fr&pgX
Cordialement, Ludovic.
Depassage
Ludovic - F5PBG wrote:
Bagle a évolué... Il utilise des techniques de rootkit et ce n'est pas en passant des programmes au petit bonheur la chance (méthode ludo) que tu vas t'en débarasser facilement du fait des variantes.
Tu n'as pas bien compris ma méthode mais ce n'est pas un scoop... Alors je lui donne le lien de "ma méthode" qui fonctionne très bien :
http://inforadio.free.fr/articles.php?lng=fr&pgX
Je ne vois nul part dans ce lien la méthode pour se débarasser de baggle
Ludovic - F5PBG wrote:
Bagle a évolué... Il utilise des techniques de rootkit et ce n'est pas
en passant des programmes au petit bonheur la chance (méthode ludo) que
tu vas t'en débarasser facilement du fait des variantes.
Tu n'as pas bien compris ma méthode
mais ce n'est pas un scoop... Alors je
lui donne le lien de "ma méthode"
qui fonctionne très bien :
http://inforadio.free.fr/articles.php?lng=fr&pgX
Je ne vois nul part dans ce lien la méthode pour se débarasser de baggle
Bagle a évolué... Il utilise des techniques de rootkit et ce n'est pas en passant des programmes au petit bonheur la chance (méthode ludo) que tu vas t'en débarasser facilement du fait des variantes.
Tu n'as pas bien compris ma méthode mais ce n'est pas un scoop... Alors je lui donne le lien de "ma méthode" qui fonctionne très bien :
http://inforadio.free.fr/articles.php?lng=fr&pgX
Je ne vois nul part dans ce lien la méthode pour se débarasser de baggle
Ludovic - F5PBG
Inutile de répondre, "de passage"... Je ne m'adresse pas à toi.
Inutile de répondre, "de passage"...
Je ne m'adresse pas à toi.
