Il y a encore 15jours cette page fonctionnait et donnait plein
d'explications
pour la suppression manu des trojans . Peut on la retrouver ailleurs?
Merci
Ça n'a pas d'intérêt car ça gênerait probablement le démarrage du système d'exploitation, du moins avec les systèmes récents genre Windows XP,
Y'a pas de config.sys sous les NT, mais un config.nt. Je ne crois pas qu'on puisse l'utiliser pour autre chose que définir variables d'environnement.
Hmmm... j'ai dû confondre avec NT qui ne démarre pas si le MBR a été tripoté.
ou alors de tels programmes seraient tout simplement anéantis en mémoire lors du passage au mode protégé 32 bits.
C'est bien la question que je me pose.
Je n'ai jamais essayé mais il paraît que si Windows 9x s'aperçoit qu'il y a en mémoire un programme DOS qui intercepte l'interruption 13h, il se met en mode de compatibilité - au lieu d'accéder au disque dur par les ports Windows fait appel à l'interruption 13h afin de ne pas contourner le programme résident. Ce n'est pas pour rien que ça s'appelle "compatibilité".
A part ça, si on appelle une interruption sous Windows on se fait remonter les bretelles tout de suite. :-) C'est logique, les interruptions n'ayant pas la même signification sous DOS et sous Windows. Donc un programme DOS résident est impuissant. Faudrait vérifier ce qu'il en est si on lance un programme DOS résident avant le démarrage de Windows et qu'on essaie de faire appel à lui via une interruption depuis une fenêtre DOS une fois sous Windows. Si ça ne marche pas ça confirme l'impuissance, si ça marche alors ça ne change toujours pas grand chose pour les utilisateurs qui ne servent pas du DOS.
Ça n'a pas d'intérêt car ça gênerait probablement le démarrage
du système d'exploitation, du moins avec les systèmes récents
genre Windows XP,
Y'a pas de config.sys sous les NT, mais un config.nt. Je ne
crois pas qu'on puisse l'utiliser pour autre chose que définir
variables d'environnement.
Hmmm... j'ai dû confondre avec NT qui ne démarre pas si le MBR a été
tripoté.
ou alors de tels programmes seraient tout simplement anéantis
en mémoire lors du passage au mode protégé 32 bits.
C'est bien la question que je me pose.
Je n'ai jamais essayé mais il paraît que si Windows 9x s'aperçoit qu'il
y a en mémoire un programme DOS qui intercepte l'interruption 13h, il se
met en mode de compatibilité - au lieu d'accéder au disque dur par les
ports Windows fait appel à l'interruption 13h afin de ne pas contourner
le programme résident. Ce n'est pas pour rien que ça s'appelle
"compatibilité".
A part ça, si on appelle une interruption sous Windows on se fait
remonter les bretelles tout de suite. :-) C'est logique, les
interruptions n'ayant pas la même signification sous DOS et sous
Windows. Donc un programme DOS résident est impuissant. Faudrait
vérifier ce qu'il en est si on lance un programme DOS résident avant le
démarrage de Windows et qu'on essaie de faire appel à lui via une
interruption depuis une fenêtre DOS une fois sous Windows. Si ça ne
marche pas ça confirme l'impuissance, si ça marche alors ça ne change
toujours pas grand chose pour les utilisateurs qui ne servent pas du DOS.
Ça n'a pas d'intérêt car ça gênerait probablement le démarrage du système d'exploitation, du moins avec les systèmes récents genre Windows XP,
Y'a pas de config.sys sous les NT, mais un config.nt. Je ne crois pas qu'on puisse l'utiliser pour autre chose que définir variables d'environnement.
Hmmm... j'ai dû confondre avec NT qui ne démarre pas si le MBR a été tripoté.
ou alors de tels programmes seraient tout simplement anéantis en mémoire lors du passage au mode protégé 32 bits.
C'est bien la question que je me pose.
Je n'ai jamais essayé mais il paraît que si Windows 9x s'aperçoit qu'il y a en mémoire un programme DOS qui intercepte l'interruption 13h, il se met en mode de compatibilité - au lieu d'accéder au disque dur par les ports Windows fait appel à l'interruption 13h afin de ne pas contourner le programme résident. Ce n'est pas pour rien que ça s'appelle "compatibilité".
A part ça, si on appelle une interruption sous Windows on se fait remonter les bretelles tout de suite. :-) C'est logique, les interruptions n'ayant pas la même signification sous DOS et sous Windows. Donc un programme DOS résident est impuissant. Faudrait vérifier ce qu'il en est si on lance un programme DOS résident avant le démarrage de Windows et qu'on essaie de faire appel à lui via une interruption depuis une fenêtre DOS une fois sous Windows. Si ça ne marche pas ça confirme l'impuissance, si ça marche alors ça ne change toujours pas grand chose pour les utilisateurs qui ne servent pas du DOS.
Roland Garcia
ATTENTION! Quelques Trojans ont des noms de fichier semblables aux fichiers-système. Par exemple: Ne supprimez jamais un fichier du nom "kernel32" !
Archi-faux !!!
Les vrais noms des fichiers systèmes sont très utilisés (dont kernel32) pour mieux tromper, il suffit de les installer dans un autre répertoire.
Roland Garcia
ATTENTION! Quelques Trojans ont des noms de fichier semblables aux
fichiers-système. Par exemple: Ne supprimez jamais un fichier du nom
"kernel32" !
Archi-faux !!!
Les vrais noms des fichiers systèmes sont très utilisés (dont kernel32)
pour mieux tromper, il suffit de les installer dans un autre répertoire.
ATTENTION! Quelques Trojans ont des noms de fichier semblables aux fichiers-système. Par exemple: Ne supprimez jamais un fichier du nom "kernel32" !
Archi-faux !!!
Les vrais noms des fichiers systèmes sont très utilisés (dont kernel32) pour mieux tromper, il suffit de les installer dans un autre répertoire.
Roland Garcia
joke0
Salut,
AMcD:
Le problème de DOS avec Win32 est la manière dont il est "exécuté". [...]
Merci, ce sont ces précisions.
Il faudrait surtout se remettre à écrire de bon vieux drivers .sys pour voir :o). Pourquoi pas dans le futur ?
A mon avis, si on en a jamais vu jusqu'ici (corrigez-moi si je me trompe), on est pas prêt d'en voir demain. Les codeurs de haut niveau sont une espèce rare et s'intéressent plutôt à NT.
Au débuts de Win95, s'il n'existait pas un driver de périphérique en mode protégé, Windows ne cherchait pas à comprendre et exécutait donc les drivers MS-DOS en mode 8086 virtuel. D'où mon "je pense que c'est possible"...
C'est vrai que ce serait bien de savoir si c'est possible, mais la probabilité de trouver une bestiole qui ferait ça itw est de 0. Je vais voir si j'en fais un paragraphe pour la FAQ "démarrage".
Là, je suis passablement occupé. Je suis en train de régler le cas de PPC avec Free...
*eg*
Sinon, tu devrais farfouiller dans les bouquins de Karen Hazzah (j'écris de mémoire). Son livre sur les VxD (je sais plus où je l'ai) devrait répondre à pas mal de questions sur le sujet.
Ça m'étonnerait, j'n'ai pas le niveau pour comprendre ;-(
-- joke0
Salut,
AMcD:
Le problème de DOS avec Win32 est la manière dont il est
"exécuté". [...]
Merci, ce sont ces précisions.
Il faudrait surtout se remettre à écrire de bon vieux drivers
.sys pour voir :o). Pourquoi pas dans le futur ?
A mon avis, si on en a jamais vu jusqu'ici (corrigez-moi si je
me trompe), on est pas prêt d'en voir demain. Les codeurs de
haut niveau sont une espèce rare et s'intéressent plutôt à NT.
Au débuts de Win95, s'il n'existait pas un driver de
périphérique en mode protégé, Windows ne cherchait pas à
comprendre et exécutait donc les drivers MS-DOS en mode 8086
virtuel. D'où mon "je pense que c'est possible"...
C'est vrai que ce serait bien de savoir si c'est possible, mais
la probabilité de trouver une bestiole qui ferait ça itw est
de 0. Je vais voir si j'en fais un paragraphe pour la FAQ
"démarrage".
Là, je suis passablement occupé. Je suis en train de régler le
cas de PPC avec Free...
*eg*
Sinon, tu devrais farfouiller dans les bouquins de Karen
Hazzah (j'écris de mémoire). Son livre sur les VxD (je sais
plus où je l'ai) devrait répondre à pas mal de questions sur
le sujet.
Ça m'étonnerait, j'n'ai pas le niveau pour comprendre ;-(
Le problème de DOS avec Win32 est la manière dont il est "exécuté". [...]
Merci, ce sont ces précisions.
Il faudrait surtout se remettre à écrire de bon vieux drivers .sys pour voir :o). Pourquoi pas dans le futur ?
A mon avis, si on en a jamais vu jusqu'ici (corrigez-moi si je me trompe), on est pas prêt d'en voir demain. Les codeurs de haut niveau sont une espèce rare et s'intéressent plutôt à NT.
Au débuts de Win95, s'il n'existait pas un driver de périphérique en mode protégé, Windows ne cherchait pas à comprendre et exécutait donc les drivers MS-DOS en mode 8086 virtuel. D'où mon "je pense que c'est possible"...
C'est vrai que ce serait bien de savoir si c'est possible, mais la probabilité de trouver une bestiole qui ferait ça itw est de 0. Je vais voir si j'en fais un paragraphe pour la FAQ "démarrage".
Là, je suis passablement occupé. Je suis en train de régler le cas de PPC avec Free...
*eg*
Sinon, tu devrais farfouiller dans les bouquins de Karen Hazzah (j'écris de mémoire). Son livre sur les VxD (je sais plus où je l'ai) devrait répondre à pas mal de questions sur le sujet.
Ça m'étonnerait, j'n'ai pas le niveau pour comprendre ;-(
-- joke0
Roland Garcia
Je n'ai jamais essayé mais il paraît que si Windows 9x s'aperçoit qu'il y a en mémoire un programme DOS qui intercepte l'interruption 13h, il se met en mode de compatibilité - au lieu d'accéder au disque dur par les ports Windows fait appel à l'interruption 13h afin de ne pas contourner le programme résident. Ce n'est pas pour rien que ça s'appelle "compatibilité".
C'est le cas avec des virus de boot toujours en circulation comme AntiExe ou AntiCMOS.
Roland Garcia
Je n'ai jamais essayé mais il paraît que si Windows 9x s'aperçoit qu'il
y a en mémoire un programme DOS qui intercepte l'interruption 13h, il se
met en mode de compatibilité - au lieu d'accéder au disque dur par les
ports Windows fait appel à l'interruption 13h afin de ne pas contourner
le programme résident. Ce n'est pas pour rien que ça s'appelle
"compatibilité".
C'est le cas avec des virus de boot toujours en circulation comme
AntiExe ou AntiCMOS.
Je n'ai jamais essayé mais il paraît que si Windows 9x s'aperçoit qu'il y a en mémoire un programme DOS qui intercepte l'interruption 13h, il se met en mode de compatibilité - au lieu d'accéder au disque dur par les ports Windows fait appel à l'interruption 13h afin de ne pas contourner le programme résident. Ce n'est pas pour rien que ça s'appelle "compatibilité".
C'est le cas avec des virus de boot toujours en circulation comme AntiExe ou AntiCMOS.
Roland Garcia
AMcD
_Chambord_ wrote:
Merci de ta critique mais ........c'est pas mon texte. Qu'importe l'important c'est d'éclaircir le sujet.
Ha, eh bien excuse alors.
Cela étant, on dira que ça vaudra pour les réponses pour le moins approximatives que tu as posté ici dans le passé :o).
-- AMcD
http://arnold.mcdonald.free.fr/
_Chambord_ wrote:
Merci de ta critique mais ........c'est pas mon texte. Qu'importe
l'important c'est d'éclaircir le sujet.
Ha, eh bien excuse alors.
Cela étant, on dira que ça vaudra pour les réponses pour le moins
approximatives que tu as posté ici dans le passé :o).
Merci de ta critique mais ........c'est pas mon texte. Qu'importe l'important c'est d'éclaircir le sujet.
Ha, eh bien excuse alors.
Cela étant, on dira que ça vaudra pour les réponses pour le moins approximatives que tu as posté ici dans le passé :o).
-- AMcD
http://arnold.mcdonald.free.fr/
_Chambord_
ATTENTION! Quelques Trojans ont des noms de fichier semblables aux fichiers-système. Par exemple: Ne supprimez jamais un fichier du nom "kernel32" !
Archi-faux !!!
Les vrais noms des fichiers systèmes sont très utilisés (dont kernel32) pour mieux tromper, il suffit de les installer dans un autre répertoire.
Je comprend pas ce que tu veux dire en disant archi-faux vu que tu repetes la meme chose qui à ete écrite: "les trojans ont des noms de fichier semblables aux fichiers-système." "Les vrais noms des fichiers systèmes sont très utilisés "
ATTENTION! Quelques Trojans ont des noms de fichier semblables aux
fichiers-système. Par exemple: Ne supprimez jamais un fichier du nom
"kernel32" !
Archi-faux !!!
Les vrais noms des fichiers systèmes sont très utilisés (dont kernel32)
pour mieux tromper, il suffit de les installer dans un autre répertoire.
Je comprend pas ce que tu veux dire en disant archi-faux vu que tu
repetes la meme chose qui à ete écrite:
"les trojans ont des noms de fichier semblables aux fichiers-système."
"Les vrais noms des fichiers systèmes sont très utilisés "
ATTENTION! Quelques Trojans ont des noms de fichier semblables aux fichiers-système. Par exemple: Ne supprimez jamais un fichier du nom "kernel32" !
Archi-faux !!!
Les vrais noms des fichiers systèmes sont très utilisés (dont kernel32) pour mieux tromper, il suffit de les installer dans un autre répertoire.
Je comprend pas ce que tu veux dire en disant archi-faux vu que tu repetes la meme chose qui à ete écrite: "les trojans ont des noms de fichier semblables aux fichiers-système." "Les vrais noms des fichiers systèmes sont très utilisés "
Roland Garcia
ATTENTION! Quelques Trojans ont des noms de fichier semblables aux fichiers-système. Par exemple: Ne supprimez jamais un fichier du nom "kernel32" !
Archi-faux !!!
Les vrais noms des fichiers systèmes sont très utilisés (dont kernel32) pour mieux tromper, il suffit de les installer dans un autre répertoire.
Je comprend pas ce que tu veux dire en disant archi-faux vu que tu repetes la meme chose qui à ete écrite:
Il y a écrit "Ne supprimez jamais un fichier du nom kernel32 !" or un fichier kernel32.exe a toutes les chances d'être un trojan et dans ce cas il est obligatoire de l'effacer, c'est donc exactement le contraire.
ATTENTION! Quelques Trojans ont des noms de fichier semblables aux
fichiers-système. Par exemple: Ne supprimez jamais un fichier du nom
"kernel32" !
Archi-faux !!!
Les vrais noms des fichiers systèmes sont très utilisés (dont kernel32)
pour mieux tromper, il suffit de les installer dans un autre répertoire.
Je comprend pas ce que tu veux dire en disant archi-faux vu que tu
repetes la meme chose qui à ete écrite:
Il y a écrit "Ne supprimez jamais un fichier du nom kernel32 !" or un
fichier kernel32.exe a toutes les chances d'être un trojan et dans ce
cas il est obligatoire de l'effacer, c'est donc exactement le contraire.
ATTENTION! Quelques Trojans ont des noms de fichier semblables aux fichiers-système. Par exemple: Ne supprimez jamais un fichier du nom "kernel32" !
Archi-faux !!!
Les vrais noms des fichiers systèmes sont très utilisés (dont kernel32) pour mieux tromper, il suffit de les installer dans un autre répertoire.
Je comprend pas ce que tu veux dire en disant archi-faux vu que tu repetes la meme chose qui à ete écrite:
Il y a écrit "Ne supprimez jamais un fichier du nom kernel32 !" or un fichier kernel32.exe a toutes les chances d'être un trojan et dans ce cas il est obligatoire de l'effacer, c'est donc exactement le contraire.
ATTENTION! Quelques Trojans ont des noms de fichier semblables aux fichiers-système. Par exemple: Ne supprimez jamais un fichier du nom "kernel32" !
Archi-faux !!!
Les vrais noms des fichiers systèmes sont très utilisés (dont kernel32) pour mieux tromper, il suffit de les installer dans un autre répertoire.
Je comprend pas ce que tu veux dire en disant archi-faux vu que tu repetes la meme chose qui à ete écrite:
Il y a écrit "Ne supprimez jamais un fichier du nom kernel32 !" or un fichier kernel32.exe a toutes les chances d'être un trojan et dans ce cas il est obligatoire de l'effacer, c'est donc exactement le contraire.
Un fichier kernel32.dll a t il aussi toutes les chance d'etre un trojan ?
ATTENTION! Quelques Trojans ont des noms de fichier semblables aux
fichiers-système. Par exemple: Ne supprimez jamais un fichier du nom
"kernel32" !
Archi-faux !!!
Les vrais noms des fichiers systèmes sont très utilisés (dont kernel32)
pour mieux tromper, il suffit de les installer dans un autre répertoire.
Je comprend pas ce que tu veux dire en disant archi-faux vu que tu
repetes la meme chose qui à ete écrite:
Il y a écrit "Ne supprimez jamais un fichier du nom kernel32 !" or un
fichier kernel32.exe a toutes les chances d'être un trojan et dans ce
cas il est obligatoire de l'effacer, c'est donc exactement le contraire.
Un fichier kernel32.dll a t il aussi toutes les chance d'etre un trojan
?
ATTENTION! Quelques Trojans ont des noms de fichier semblables aux fichiers-système. Par exemple: Ne supprimez jamais un fichier du nom "kernel32" !
Archi-faux !!!
Les vrais noms des fichiers systèmes sont très utilisés (dont kernel32) pour mieux tromper, il suffit de les installer dans un autre répertoire.
Je comprend pas ce que tu veux dire en disant archi-faux vu que tu repetes la meme chose qui à ete écrite:
Il y a écrit "Ne supprimez jamais un fichier du nom kernel32 !" or un fichier kernel32.exe a toutes les chances d'être un trojan et dans ce cas il est obligatoire de l'effacer, c'est donc exactement le contraire.
Un fichier kernel32.dll a t il aussi toutes les chance d'etre un trojan ?
Roland Garcia
Je comprend pas ce que tu veux dire en disant archi-faux vu que tu repetes la meme chose qui à ete écrite:
Il y a écrit "Ne supprimez jamais un fichier du nom kernel32 !" or un fichier kernel32.exe a toutes les chances d'être un trojan et dans ce cas il est obligatoire de l'effacer, c'est donc exactement le contraire.
Un fichier kernel32.dll a t il aussi toutes les chance d'etre un trojan ?
En dehors de c:windowssystem oui mais même dans ce répertoire le nom peut être trompeur par exemple c:windowssystemkernel32.dll* :
http://www.avp.ch/avpve/worms/net/apart.stm
Roland Garcia
Je comprend pas ce que tu veux dire en disant archi-faux vu que tu
repetes la meme chose qui à ete écrite:
Il y a écrit "Ne supprimez jamais un fichier du nom kernel32 !" or un
fichier kernel32.exe a toutes les chances d'être un trojan et dans ce
cas il est obligatoire de l'effacer, c'est donc exactement le contraire.
Un fichier kernel32.dll a t il aussi toutes les chance d'etre un trojan
?
En dehors de c:windowssystem oui mais même dans ce répertoire le nom
peut être trompeur par exemple c:windowssystemkernel32.dll* :
Je comprend pas ce que tu veux dire en disant archi-faux vu que tu repetes la meme chose qui à ete écrite:
Il y a écrit "Ne supprimez jamais un fichier du nom kernel32 !" or un fichier kernel32.exe a toutes les chances d'être un trojan et dans ce cas il est obligatoire de l'effacer, c'est donc exactement le contraire.
Un fichier kernel32.dll a t il aussi toutes les chance d'etre un trojan ?
En dehors de c:windowssystem oui mais même dans ce répertoire le nom peut être trompeur par exemple c:windowssystemkernel32.dll* :
