J'ai sous la main l'ordi d'un client sur lequel l'antivirus a repéré
avec précision 16 fichiers infectés, majoritairement des '.dll' (dont 2
dans des fichiers compressés '.cab' ou '.exe'). Plusieurs sont des
runtimes MSC de diverses versions.
Il n'a pas nommé l'infection, dont je suppose qu'il s'est basé sur des
signatures génériques.
Il s'agit de 'AVG' (édition gratuite) qui est d'un fiabilité exemplaire
et que j'installe systématiquement sur tous les ordis qui sortent de
chez moi.
Maintenant la chose bizarre: par curiosité j'ai récupéré les fichiers en
quarantaine via le réseau sur un poste de test à moi - le seul où j'ai
un anti-virus installé. La version et les fichiers de signature sont
identiques (MAJ quotidien automatique). Mais sur le poste de test
l'anti-virus ne tique pas sur ces mêmes fichiers.
J'ai donc récupéré quelques fichiers en quarantaine sur l'ordi d'origine
- et l'anti-virus les repère encore une fois.
La seule différence significative est que l'ordi du client est sous XP
Fam (NTFS) et le poste de test sous W98SE (FAT32).
Voyez-vous un rapport?
Amicalement
CriCri
--
bitwyse [PGP KeyID 0xA79C8F2C]
Tout le monde est d'accord -
il ne reste plus qu'à trouver le point commun.
http://www.le-maquis.net
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Michel__D
Bonjour,
CriCri a écrit :
Salut tlm
J'ai sous la main l'ordi d'un client sur lequel l'antivirus a repéré avec précision 16 fichiers infectés, majoritairement des '.dll' (dont 2 dans des fichiers compressés '.cab' ou '.exe'). Plusieurs sont des runtimes MSC de diverses versions.
Il n'a pas nommé l'infection, dont je suppose qu'il s'est basé sur des signatures génériques. Il s'agit de 'AVG' (édition gratuite) qui est d'un fiabilité exemplaire et que j'installe systématiquement sur tous les ordis qui sortent de chez moi.
Maintenant la chose bizarre: par curiosité j'ai récupéré les fichiers en quarantaine via le réseau sur un poste de test à moi - le seul où j'ai un anti-virus installé. La version et les fichiers de signature sont identiques (MAJ quotidien automatique). Mais sur le poste de test l'anti-virus ne tique pas sur ces mêmes fichiers. J'ai donc récupéré quelques fichiers en quarantaine sur l'ordi d'origine - et l'anti-virus les repère encore une fois.
La seule différence significative est que l'ordi du client est sous XP Fam (NTFS) et le poste de test sous W98SE (FAT32). Voyez-vous un rapport?
Il n'est pas sur que le fichier de signature pourtant de même version soit strictement identique pour chaque OS car certains malwares sont inopérants sur certains OS, par exemple la faille svchost sur W9x.
Bonjour,
CriCri a écrit :
Salut tlm
J'ai sous la main l'ordi d'un client sur lequel l'antivirus a repéré
avec précision 16 fichiers infectés, majoritairement des '.dll' (dont 2
dans des fichiers compressés '.cab' ou '.exe'). Plusieurs sont des
runtimes MSC de diverses versions.
Il n'a pas nommé l'infection, dont je suppose qu'il s'est basé sur des
signatures génériques.
Il s'agit de 'AVG' (édition gratuite) qui est d'un fiabilité exemplaire
et que j'installe systématiquement sur tous les ordis qui sortent de
chez moi.
Maintenant la chose bizarre: par curiosité j'ai récupéré les fichiers en
quarantaine via le réseau sur un poste de test à moi - le seul où j'ai
un anti-virus installé. La version et les fichiers de signature sont
identiques (MAJ quotidien automatique). Mais sur le poste de test
l'anti-virus ne tique pas sur ces mêmes fichiers.
J'ai donc récupéré quelques fichiers en quarantaine sur l'ordi d'origine
- et l'anti-virus les repère encore une fois.
La seule différence significative est que l'ordi du client est sous XP
Fam (NTFS) et le poste de test sous W98SE (FAT32).
Voyez-vous un rapport?
Il n'est pas sur que le fichier de signature pourtant de même version
soit strictement identique pour chaque OS car certains malwares sont
inopérants sur certains OS, par exemple la faille svchost sur W9x.
J'ai sous la main l'ordi d'un client sur lequel l'antivirus a repéré avec précision 16 fichiers infectés, majoritairement des '.dll' (dont 2 dans des fichiers compressés '.cab' ou '.exe'). Plusieurs sont des runtimes MSC de diverses versions.
Il n'a pas nommé l'infection, dont je suppose qu'il s'est basé sur des signatures génériques. Il s'agit de 'AVG' (édition gratuite) qui est d'un fiabilité exemplaire et que j'installe systématiquement sur tous les ordis qui sortent de chez moi.
Maintenant la chose bizarre: par curiosité j'ai récupéré les fichiers en quarantaine via le réseau sur un poste de test à moi - le seul où j'ai un anti-virus installé. La version et les fichiers de signature sont identiques (MAJ quotidien automatique). Mais sur le poste de test l'anti-virus ne tique pas sur ces mêmes fichiers. J'ai donc récupéré quelques fichiers en quarantaine sur l'ordi d'origine - et l'anti-virus les repère encore une fois.
La seule différence significative est que l'ordi du client est sous XP Fam (NTFS) et le poste de test sous W98SE (FAT32). Voyez-vous un rapport?
Il n'est pas sur que le fichier de signature pourtant de même version soit strictement identique pour chaque OS car certains malwares sont inopérants sur certains OS, par exemple la faille svchost sur W9x.
Achim Bombota
CriCri a envoyé 33 lignes d'octets en forme de :
La seule différence significative est que l'ordi du client est sous XP Fam (NTFS) et le poste de test sous W98SE (FAT32). Voyez-vous un rapport?
Je dis sûrement une connerie, mais les fichiers en quarantaine sont renommés, non ?
-- Then you should sit in your backyard, Watch clouds peak over the tallest mountain tops, Because they unveil honest opinions about the stars.
CriCri a envoyé 33 lignes d'octets en forme de :
La seule différence significative est que l'ordi du client est sous XP
Fam (NTFS) et le poste de test sous W98SE (FAT32).
Voyez-vous un rapport?
Je dis sûrement une connerie, mais les fichiers en quarantaine sont
renommés, non ?
--
Then you should sit in your backyard,
Watch clouds peak over the tallest mountain tops,
Because they unveil honest opinions about the stars.
La seule différence significative est que l'ordi du client est sous XP Fam (NTFS) et le poste de test sous W98SE (FAT32). Voyez-vous un rapport?
Je dis sûrement une connerie, mais les fichiers en quarantaine sont renommés, non ?
-- Then you should sit in your backyard, Watch clouds peak over the tallest mountain tops, Because they unveil honest opinions about the stars.
CriCri
Michel__D a écrit :
Il n'est pas sur que le fichier de signature pourtant de même version soit strictement identique pour chaque OS car certains malwares sont inopérants sur certains OS, par exemple la faille svchost sur W9x.
Merci pour la suggestion. Je vais essayer de voir ça
Amicalement CriCri
-- bitwyse [PGP KeyID 0xA79C8F2C] Tout le monde est d'accord - il ne reste plus qu'à trouver le point commun. http://www.le-maquis.net
Michel__D a écrit :
Il n'est pas sur que le fichier de signature pourtant de même version
soit strictement identique pour chaque OS car certains malwares sont
inopérants sur certains OS, par exemple la faille svchost sur W9x.
Merci pour la suggestion. Je vais essayer de voir ça
Amicalement
CriCri
--
bitwyse [PGP KeyID 0xA79C8F2C]
Tout le monde est d'accord -
il ne reste plus qu'à trouver le point commun.
http://www.le-maquis.net
Il n'est pas sur que le fichier de signature pourtant de même version soit strictement identique pour chaque OS car certains malwares sont inopérants sur certains OS, par exemple la faille svchost sur W9x.
Merci pour la suggestion. Je vais essayer de voir ça
Amicalement CriCri
-- bitwyse [PGP KeyID 0xA79C8F2C] Tout le monde est d'accord - il ne reste plus qu'à trouver le point commun. http://www.le-maquis.net
CriCri
Achim Bombota a écrit :
Je dis sûrement une connerie, mais les fichiers en quarantaine sont renommés, non ?
Non, non, pas de connerie (heu... en tout cas pas aujourd'hui ;-)
Les fichiers sont non seulement renommés, mais ont aussi un en-tête rajouté, AMHA pour les marquer comme 'déjà vus' (afin qu'ils ne soient pas considérés toujours comme infectés lors de la prochaine passe) et peut-être pour enregistrer aussi leurs noms et chemins d'origine, la date etc etc (je n'ai pas regardé de près). Il faut donc utiliser l'anti-virus lui-même pour les récupérer: soit vers leur emplacements d'origine, soit vers un autre de son choix (dans ce cas c'était un autre ordi dans le réseau). Le fichier récupéré est renommé comme à l'origine (et l'en-tête est enlevé, bien sûr); à ce moment-là il redevient comme avant.
Amicalement CriCri
-- bitwyse [PGP KeyID 0xA79C8F2C] Tout le monde est d'accord - il ne reste plus qu'à trouver le point commun. http://www.le-maquis.net
Achim Bombota a écrit :
Je dis sûrement une connerie, mais les fichiers en quarantaine sont
renommés, non ?
Non, non, pas de connerie (heu... en tout cas pas aujourd'hui ;-)
Les fichiers sont non seulement renommés, mais ont aussi un en-tête
rajouté, AMHA pour les marquer comme 'déjà vus' (afin qu'ils ne soient
pas considérés toujours comme infectés lors de la prochaine passe) et
peut-être pour enregistrer aussi leurs noms et chemins d'origine, la
date etc etc (je n'ai pas regardé de près).
Il faut donc utiliser l'anti-virus lui-même pour les récupérer: soit
vers leur emplacements d'origine, soit vers un autre de son choix (dans
ce cas c'était un autre ordi dans le réseau).
Le fichier récupéré est renommé comme à l'origine (et l'en-tête est
enlevé, bien sûr); à ce moment-là il redevient comme avant.
Amicalement
CriCri
--
bitwyse [PGP KeyID 0xA79C8F2C]
Tout le monde est d'accord -
il ne reste plus qu'à trouver le point commun.
http://www.le-maquis.net
Je dis sûrement une connerie, mais les fichiers en quarantaine sont renommés, non ?
Non, non, pas de connerie (heu... en tout cas pas aujourd'hui ;-)
Les fichiers sont non seulement renommés, mais ont aussi un en-tête rajouté, AMHA pour les marquer comme 'déjà vus' (afin qu'ils ne soient pas considérés toujours comme infectés lors de la prochaine passe) et peut-être pour enregistrer aussi leurs noms et chemins d'origine, la date etc etc (je n'ai pas regardé de près). Il faut donc utiliser l'anti-virus lui-même pour les récupérer: soit vers leur emplacements d'origine, soit vers un autre de son choix (dans ce cas c'était un autre ordi dans le réseau). Le fichier récupéré est renommé comme à l'origine (et l'en-tête est enlevé, bien sûr); à ce moment-là il redevient comme avant.
Amicalement CriCri
-- bitwyse [PGP KeyID 0xA79C8F2C] Tout le monde est d'accord - il ne reste plus qu'à trouver le point commun. http://www.le-maquis.net
Atila
> J'ai sous la main l'ordi d'un client sur lequel l'antivirus a repéré avec précision 16 fichiers infectés, majoritairement des '.dll' (dont 2 dans des fichiers compressés '.cab' ou '.exe'). Plusieurs sont des runtimes MSC de diverses versions.
Il n'a pas nommé l'infection, dont je suppose qu'il s'est basé sur des signatures génériques. Il s'agit de 'AVG' (édition gratuite) qui est d'un fiabilité exemplaire et que j'installe systématiquement sur tous les ordis qui sortent de chez moi.
Maintenant la chose bizarre: par curiosité j'ai récupéré les fichiers en quarantaine via le réseau sur un poste de test à moi - le seul où j'ai un anti-virus installé. La version et les fichiers de signature sont identiques (MAJ quotidien automatique). Mais sur le poste de test l'anti-virus ne tique pas sur ces mêmes fichiers. J'ai donc récupéré quelques fichiers en quarantaine sur l'ordi d'origine - et l'anti-virus les repère encore une fois.
La seule différence significative est que l'ordi du client est sous XP Fam (NTFS) et le poste de test sous W98SE (FAT32). Voyez-vous un rapport?
Amicalement CriCri
Bonjour CriCri, Tu pourrais demander une analyse en ligne via www.Secuser.com Cordialement Michel
> J'ai sous la main l'ordi d'un client sur lequel l'antivirus a repéré
avec précision 16 fichiers infectés, majoritairement des '.dll' (dont 2
dans des fichiers compressés '.cab' ou '.exe'). Plusieurs sont des
runtimes MSC de diverses versions.
Il n'a pas nommé l'infection, dont je suppose qu'il s'est basé sur des
signatures génériques.
Il s'agit de 'AVG' (édition gratuite) qui est d'un fiabilité exemplaire
et que j'installe systématiquement sur tous les ordis qui sortent de
chez moi.
Maintenant la chose bizarre: par curiosité j'ai récupéré les fichiers en
quarantaine via le réseau sur un poste de test à moi - le seul où j'ai
un anti-virus installé. La version et les fichiers de signature sont
identiques (MAJ quotidien automatique). Mais sur le poste de test
l'anti-virus ne tique pas sur ces mêmes fichiers.
J'ai donc récupéré quelques fichiers en quarantaine sur l'ordi d'origine
- et l'anti-virus les repère encore une fois.
La seule différence significative est que l'ordi du client est sous XP
Fam (NTFS) et le poste de test sous W98SE (FAT32).
Voyez-vous un rapport?
Amicalement
CriCri
Bonjour CriCri,
Tu pourrais demander une analyse en ligne via www.Secuser.com
Cordialement
Michel
> J'ai sous la main l'ordi d'un client sur lequel l'antivirus a repéré avec précision 16 fichiers infectés, majoritairement des '.dll' (dont 2 dans des fichiers compressés '.cab' ou '.exe'). Plusieurs sont des runtimes MSC de diverses versions.
Il n'a pas nommé l'infection, dont je suppose qu'il s'est basé sur des signatures génériques. Il s'agit de 'AVG' (édition gratuite) qui est d'un fiabilité exemplaire et que j'installe systématiquement sur tous les ordis qui sortent de chez moi.
Maintenant la chose bizarre: par curiosité j'ai récupéré les fichiers en quarantaine via le réseau sur un poste de test à moi - le seul où j'ai un anti-virus installé. La version et les fichiers de signature sont identiques (MAJ quotidien automatique). Mais sur le poste de test l'anti-virus ne tique pas sur ces mêmes fichiers. J'ai donc récupéré quelques fichiers en quarantaine sur l'ordi d'origine - et l'anti-virus les repère encore une fois.
La seule différence significative est que l'ordi du client est sous XP Fam (NTFS) et le poste de test sous W98SE (FAT32). Voyez-vous un rapport?
Amicalement CriCri
Bonjour CriCri, Tu pourrais demander une analyse en ligne via www.Secuser.com Cordialement Michel