Depuis quelques temps certaines personnes me signale un virus à l'ouverture
du site web de mon club de handball. Norton ne me signal rien de particulier
sur mon PC et un scan en ligne ne detecte rien non plus.
Le virus detecté par Trend micro serai : Mal_Hifrm-2. Mon hébergeur ne
trouve rien non plus (1and1)Je ne comprend pas comment cela est possible.
Merci de m'eclairer et de me faire connaitre la marche à suivre.
http://www.pochandball.info/
"Chantal" a écrit dans le message de news: 48ed9a15$0$10993$
Bonjour et merci à tous. Mes connaissances en informatique étant trés limitées, pourriez vous me faire savoir le plus simplement possible ce que je dois faire. J'utilise Frontpage pour faire ce site.
Faux, ton site est semble t il créé avec TopSite Express.
ton site est piegé, par toi ou par un autre, ca reste a determiner.
Si tu veux faire quelque chose, tu supprimes la page d'accueil et tu renommes ta page "1.html" en "index.hetml"
-- Cordialement, Az Sam.
"Chantal" <chantalhi@free.fr> a écrit dans le message de news:
48ed9a15$0$10993$426a74cc@news.free.fr...
Bonjour et merci à tous.
Mes connaissances en informatique étant trés limitées, pourriez vous me
faire savoir le plus simplement possible ce que je dois faire. J'utilise
Frontpage pour faire ce site.
Faux, ton site est semble t il créé avec TopSite Express.
ton site est piegé, par toi ou par un autre, ca reste a determiner.
Si tu veux faire quelque chose, tu supprimes la page d'accueil et tu
renommes ta page "1.html" en "index.hetml"
"Chantal" a écrit dans le message de news: 48ed9a15$0$10993$
Bonjour et merci à tous. Mes connaissances en informatique étant trés limitées, pourriez vous me faire savoir le plus simplement possible ce que je dois faire. J'utilise Frontpage pour faire ce site.
Faux, ton site est semble t il créé avec TopSite Express.
ton site est piegé, par toi ou par un autre, ca reste a determiner.
Si tu veux faire quelque chose, tu supprimes la page d'accueil et tu renommes ta page "1.html" en "index.hetml"
-- Cordialement, Az Sam.
Cyrius
On Thu, 9 Oct 2008 07:53:03 +0200, "Az Sam" wrote:
heu ...moi je trouve :
http://www.ppv-sex.com/z/OP.jar Java/TrojanDownloader.OpenStream.NAB cheval de troie http://www.ppv-sex.com/z/animan.class Java/TrojanDownloader.OpenStream.NAC cheval de troie --
Avec quoi ?
Personnellement, après décompilation du swf, je ne vois rien de particulier. Mieux, ce swf ne contient AUCUN script.
Je pencherais aussi pour un faux positif.
On Thu, 9 Oct 2008 07:53:03 +0200, "Az Sam" <me@home.net> wrote:
heu ...moi je trouve :
http://www.ppv-sex.com/z/OP.jar Java/TrojanDownloader.OpenStream.NAB
cheval de troie
http://www.ppv-sex.com/z/animan.class Java/TrojanDownloader.OpenStream.NAC
cheval de troie --
Avec quoi ?
Personnellement, après décompilation du swf, je ne vois rien de
particulier. Mieux, ce swf ne contient AUCUN script.
On Thu, 9 Oct 2008 07:53:03 +0200, "Az Sam" wrote:
heu ...moi je trouve :
http://www.ppv-sex.com/z/OP.jar Java/TrojanDownloader.OpenStream.NAB cheval de troie http://www.ppv-sex.com/z/animan.class Java/TrojanDownloader.OpenStream.NAC cheval de troie --
Avec quoi ?
Personnellement, après décompilation du swf, je ne vois rien de particulier. Mieux, ce swf ne contient AUCUN script.
Je pencherais aussi pour un faux positif.
Depassage
Az Sam wrote:
"Depassage" a écrit dans le message de news: 48ed0561$0$7932$
Voila ce que fait le "runActiveContent.js" et l'autre script
Y a un GET sur l'User Agent
(....)
Par contre rien dans ma VM, rien dans sandboxie, le .swf réclame une version 9 (j'ai la 10)et peut etre que je suis trop à jour
Néanmoins, rien de suspect (j'ai essayé via IE également)
Si on décompile l'anim flash, on ne trouve rien de suspect non plus, par contre l'adresse pointe ailleurs sur un site suisse, c'est peut etre cela qui ne plait pas (la redirection)
heu ...moi je trouve :
http://www.ppv-sex.com/z/OP.jar Java/TrojanDownloader.OpenStream.NAB cheval de troie http://www.ppv-sex.com/z/animan.class Java/TrojanDownloader.OpenStream.NAC cheval de troie -- chacune dans 2 frames differentes. Le source recu est ettonament long et vide.
sous Firefox le DL de cette page est tres long d'ailleurs, ca devrait mettre la puce a l'oreille...
Sauf que chez moi ca ne rapatrie rien alors que le firewall et l'antivirus sont désactivés, que les navigateurs ne bénéficient d'aucune protection etc etc
Par contre il peut qu'il y ait un comportemental comme l' Agent.NIG (TrojanDropper) qui modifiait dynamiquement son code, pour contrer les analyses statiques et une partie des détections antivirus (par ex s'il détectait la présence d'un débogueur ou d'un analyseur il s'arretait net)
Si c'est le cas je vais changer ma VM, ne rien mettre en analyse et essayer de récupérer le binaire
Az Sam wrote:
"Depassage" <monadresseamoi@hotmail.com> a écrit dans le message de
news: 48ed0561$0$7932$7a628cd7@news.club-internet.fr...
Voila ce que fait le "runActiveContent.js" et l'autre script
Y a un GET sur l'User Agent
(....)
Par contre rien dans ma VM, rien dans sandboxie, le .swf réclame une
version 9 (j'ai la 10)et peut etre que je suis trop à jour
Néanmoins, rien de suspect (j'ai essayé via IE également)
Si on décompile l'anim flash, on ne trouve rien de suspect non plus,
par contre l'adresse pointe ailleurs sur un site suisse, c'est peut
etre cela qui ne plait pas (la redirection)
heu ...moi je trouve :
http://www.ppv-sex.com/z/OP.jar Java/TrojanDownloader.OpenStream.NAB
cheval de troie
http://www.ppv-sex.com/z/animan.class
Java/TrojanDownloader.OpenStream.NAC cheval de troie --
chacune dans 2 frames differentes.
Le source recu est ettonament long et vide.
sous Firefox le DL de cette page est tres long d'ailleurs, ca devrait
mettre la puce a l'oreille...
Sauf que chez moi ca ne rapatrie rien alors que le firewall et
l'antivirus sont désactivés, que les navigateurs ne bénéficient d'aucune
protection etc etc
Par contre il peut qu'il y ait un comportemental comme l' Agent.NIG
(TrojanDropper) qui modifiait dynamiquement son code, pour contrer les
analyses statiques et une partie des détections antivirus (par ex s'il
détectait la présence d'un débogueur ou d'un analyseur il s'arretait net)
Si c'est le cas je vais changer ma VM, ne rien mettre en analyse et
essayer de récupérer le binaire
"Depassage" a écrit dans le message de news: 48ed0561$0$7932$
Voila ce que fait le "runActiveContent.js" et l'autre script
Y a un GET sur l'User Agent
(....)
Par contre rien dans ma VM, rien dans sandboxie, le .swf réclame une version 9 (j'ai la 10)et peut etre que je suis trop à jour
Néanmoins, rien de suspect (j'ai essayé via IE également)
Si on décompile l'anim flash, on ne trouve rien de suspect non plus, par contre l'adresse pointe ailleurs sur un site suisse, c'est peut etre cela qui ne plait pas (la redirection)
heu ...moi je trouve :
http://www.ppv-sex.com/z/OP.jar Java/TrojanDownloader.OpenStream.NAB cheval de troie http://www.ppv-sex.com/z/animan.class Java/TrojanDownloader.OpenStream.NAC cheval de troie -- chacune dans 2 frames differentes. Le source recu est ettonament long et vide.
sous Firefox le DL de cette page est tres long d'ailleurs, ca devrait mettre la puce a l'oreille...
Sauf que chez moi ca ne rapatrie rien alors que le firewall et l'antivirus sont désactivés, que les navigateurs ne bénéficient d'aucune protection etc etc
Par contre il peut qu'il y ait un comportemental comme l' Agent.NIG (TrojanDropper) qui modifiait dynamiquement son code, pour contrer les analyses statiques et une partie des détections antivirus (par ex s'il détectait la présence d'un débogueur ou d'un analyseur il s'arretait net)
Si c'est le cas je vais changer ma VM, ne rien mettre en analyse et essayer de récupérer le binaire
Depassage
Cyrius wrote:
On Thu, 9 Oct 2008 07:53:03 +0200, "Az Sam" wrote:
heu ...moi je trouve :
http://www.ppv-sex.com/z/OP.jar Java/TrojanDownloader.OpenStream.NAB cheval de troie http://www.ppv-sex.com/z/animan.class Java/TrojanDownloader.OpenStream.NAC cheval de troie --
Avec quoi ?
Personnellement, après décompilation du swf, je ne vois rien de particulier. Mieux, ce swf ne contient AUCUN script.
Je pencherais aussi pour un faux positif.
Ben AZ Sam a récupéré quelque chose
Donc soit on a une infection qui s'auto protège de toute analyse, soit qui s'active à certaines périodes (j'avais eu le cas avec une infection qui s'attaquait à Coppermine)
Cyrius wrote:
On Thu, 9 Oct 2008 07:53:03 +0200, "Az Sam" <me@home.net> wrote:
heu ...moi je trouve :
http://www.ppv-sex.com/z/OP.jar Java/TrojanDownloader.OpenStream.NAB
cheval de troie
http://www.ppv-sex.com/z/animan.class Java/TrojanDownloader.OpenStream.NAC
cheval de troie --
Avec quoi ?
Personnellement, après décompilation du swf, je ne vois rien de
particulier. Mieux, ce swf ne contient AUCUN script.
Je pencherais aussi pour un faux positif.
Ben AZ Sam a récupéré quelque chose
Donc soit on a une infection qui s'auto protège de toute analyse, soit
qui s'active à certaines périodes (j'avais eu le cas avec une infection
qui s'attaquait à Coppermine)
On Thu, 9 Oct 2008 07:53:03 +0200, "Az Sam" wrote:
heu ...moi je trouve :
http://www.ppv-sex.com/z/OP.jar Java/TrojanDownloader.OpenStream.NAB cheval de troie http://www.ppv-sex.com/z/animan.class Java/TrojanDownloader.OpenStream.NAC cheval de troie --
Avec quoi ?
Personnellement, après décompilation du swf, je ne vois rien de particulier. Mieux, ce swf ne contient AUCUN script.
Je pencherais aussi pour un faux positif.
Ben AZ Sam a récupéré quelque chose
Donc soit on a une infection qui s'auto protège de toute analyse, soit qui s'active à certaines périodes (j'avais eu le cas avec une infection qui s'attaquait à Coppermine)
Az Sam
"Cyrius" a écrit dans le message de news:
On Thu, 9 Oct 2008 07:53:03 +0200, "Az Sam" wrote:
heu ...moi je trouve :
http://www.ppv-sex.com/z/OP.jar Java/TrojanDownloader.OpenStream.NAB cheval de troie http://www.ppv-sex.com/z/animan.class Java/TrojanDownloader.OpenStream.NAC cheval de troie --
Avec quoi ?
Personnellement, après décompilation du swf, je ne vois rien de particulier. Mieux, ce swf ne contient AUCUN script.
Je pencherais aussi pour un faux positif.
ca ne vient pas du swf. c'est apparement un script dans la page d'accueil. /webfix/htdocs/script/runActiveContent.js Mais comme je le disais le source récupéré me laisse perplexe. Faudrait voir l'original.
Nod32 : [Module d'analyse : 1153 (20081001)] les trouve 2 fois
au1er passage avec Antivir personnal donne : (Version du produit 8.1.0.47 19/08/2008 Moteur de recherche 8.01.01.35 22/09/2008 Fichier de définitions des virus 7.00.06.232 01/10/2008 trouve 1 fois : JS/Dldr.IFrame.BY dans pochandball[1].htm
au second passage antivir donne : HTML/Crypted.Gen dans static[1].htm HTML/Dldr.Agent.LC dans static[1].htm JS/Dldr.IFrame.BY dans pochandball[1].htm
static.html est genéré par www.ppv-sex.com/z/static.php dont mon Ie6 bloque le cookie.
-- Cordialement, Az Sam.
"Cyrius" <Cyrius@belgacom.net> a écrit dans le message de news:
narre4hfnb1nu07bk9n6ote4k9s5ng7q3s@4ax.com...
On Thu, 9 Oct 2008 07:53:03 +0200, "Az Sam" <me@home.net> wrote:
heu ...moi je trouve :
http://www.ppv-sex.com/z/OP.jar Java/TrojanDownloader.OpenStream.NAB
cheval de troie
http://www.ppv-sex.com/z/animan.class Java/TrojanDownloader.OpenStream.NAC
cheval de troie --
Avec quoi ?
Personnellement, après décompilation du swf, je ne vois rien de
particulier. Mieux, ce swf ne contient AUCUN script.
Je pencherais aussi pour un faux positif.
ca ne vient pas du swf.
c'est apparement un script dans la page d'accueil.
/webfix/htdocs/script/runActiveContent.js
Mais comme je le disais le source récupéré me laisse perplexe. Faudrait
voir l'original.
Nod32 :
[Module d'analyse : 1153 (20081001)] les trouve 2 fois
au1er passage avec Antivir personnal donne :
(Version du produit 8.1.0.47 19/08/2008
Moteur de recherche 8.01.01.35 22/09/2008
Fichier de définitions des virus 7.00.06.232 01/10/2008
trouve 1 fois : JS/Dldr.IFrame.BY dans pochandball[1].htm
au second passage antivir donne :
HTML/Crypted.Gen dans static[1].htm
HTML/Dldr.Agent.LC dans static[1].htm
JS/Dldr.IFrame.BY dans pochandball[1].htm
static.html est genéré par www.ppv-sex.com/z/static.php dont mon Ie6 bloque
le cookie.
On Thu, 9 Oct 2008 07:53:03 +0200, "Az Sam" wrote:
heu ...moi je trouve :
http://www.ppv-sex.com/z/OP.jar Java/TrojanDownloader.OpenStream.NAB cheval de troie http://www.ppv-sex.com/z/animan.class Java/TrojanDownloader.OpenStream.NAC cheval de troie --
Avec quoi ?
Personnellement, après décompilation du swf, je ne vois rien de particulier. Mieux, ce swf ne contient AUCUN script.
Je pencherais aussi pour un faux positif.
ca ne vient pas du swf. c'est apparement un script dans la page d'accueil. /webfix/htdocs/script/runActiveContent.js Mais comme je le disais le source récupéré me laisse perplexe. Faudrait voir l'original.
Nod32 : [Module d'analyse : 1153 (20081001)] les trouve 2 fois
au1er passage avec Antivir personnal donne : (Version du produit 8.1.0.47 19/08/2008 Moteur de recherche 8.01.01.35 22/09/2008 Fichier de définitions des virus 7.00.06.232 01/10/2008 trouve 1 fois : JS/Dldr.IFrame.BY dans pochandball[1].htm
au second passage antivir donne : HTML/Crypted.Gen dans static[1].htm HTML/Dldr.Agent.LC dans static[1].htm JS/Dldr.IFrame.BY dans pochandball[1].htm
static.html est genéré par www.ppv-sex.com/z/static.php dont mon Ie6 bloque le cookie.
-- Cordialement, Az Sam.
Az Sam
complement : apres desactivation de l'AV et 3eme visite avec Ie6, rien ne semble se passer., les pages sont enregistrees et retrouvées dans le cache sans qu'elles aient , semble t il, activé quoi que ce soit.
apres redemarrage, idem, apparement clean, pas de pop up sex a l'horizon. gmer m'annonce
---- System - GMER 1.0.14 ----
Code 8161D295 Kei386EoiHelper
---- EOF - GMER 1.0.14 ----
mais je ne sais pas ce que c'est.
-- Cordialement, Az Sam.
"Az Sam" a écrit dans le message de news: 48ee1011$0$964$
ca ne vient pas du swf. c'est apparement un script dans la page d'accueil. /webfix/htdocs/script/runActiveContent.js Mais comme je le disais le source récupéré me laisse perplexe. Faudrait voir l'original.
Nod32 : [Module d'analyse : 1153 (20081001)] les trouve 2 fois
au1er passage avec Antivir personnal donne : (Version du produit 8.1.0.47 19/08/2008 Moteur de recherche 8.01.01.35 22/09/2008 Fichier de définitions des virus 7.00.06.232 01/10/2008 trouve 1 fois : JS/Dldr.IFrame.BY dans pochandball[1].htm
au second passage antivir donne : HTML/Crypted.Gen dans static[1].htm HTML/Dldr.Agent.LC dans static[1].htm JS/Dldr.IFrame.BY dans pochandball[1].htm
static.html est genéré par www.ppv-sex.com/z/static.php dont mon Ie6 bloque le cookie.
-- Cordialement, Az Sam.
complement :
apres desactivation de l'AV et 3eme visite avec Ie6, rien ne semble se
passer., les pages sont enregistrees et retrouvées dans le cache sans
qu'elles aient , semble t il, activé quoi que ce soit.
apres redemarrage, idem, apparement clean, pas de pop up sex a l'horizon.
gmer m'annonce
---- System - GMER 1.0.14 ----
Code 8161D295 Kei386EoiHelper
---- EOF - GMER 1.0.14 ----
mais je ne sais pas ce que c'est.
--
Cordialement,
Az Sam.
"Az Sam" <me@home.net> a écrit dans le message de news:
48ee1011$0$964$ba4acef3@news.orange.fr...
ca ne vient pas du swf.
c'est apparement un script dans la page d'accueil.
/webfix/htdocs/script/runActiveContent.js
Mais comme je le disais le source récupéré me laisse perplexe. Faudrait
voir l'original.
Nod32 :
[Module d'analyse : 1153 (20081001)] les trouve 2 fois
au1er passage avec Antivir personnal donne :
(Version du produit 8.1.0.47 19/08/2008
Moteur de recherche 8.01.01.35 22/09/2008
Fichier de définitions des virus 7.00.06.232 01/10/2008
trouve 1 fois : JS/Dldr.IFrame.BY dans pochandball[1].htm
au second passage antivir donne :
HTML/Crypted.Gen dans static[1].htm
HTML/Dldr.Agent.LC dans static[1].htm
JS/Dldr.IFrame.BY dans pochandball[1].htm
static.html est genéré par www.ppv-sex.com/z/static.php dont mon Ie6
bloque le cookie.
complement : apres desactivation de l'AV et 3eme visite avec Ie6, rien ne semble se passer., les pages sont enregistrees et retrouvées dans le cache sans qu'elles aient , semble t il, activé quoi que ce soit.
apres redemarrage, idem, apparement clean, pas de pop up sex a l'horizon. gmer m'annonce
---- System - GMER 1.0.14 ----
Code 8161D295 Kei386EoiHelper
---- EOF - GMER 1.0.14 ----
mais je ne sais pas ce que c'est.
-- Cordialement, Az Sam.
"Az Sam" a écrit dans le message de news: 48ee1011$0$964$
ca ne vient pas du swf. c'est apparement un script dans la page d'accueil. /webfix/htdocs/script/runActiveContent.js Mais comme je le disais le source récupéré me laisse perplexe. Faudrait voir l'original.
Nod32 : [Module d'analyse : 1153 (20081001)] les trouve 2 fois
au1er passage avec Antivir personnal donne : (Version du produit 8.1.0.47 19/08/2008 Moteur de recherche 8.01.01.35 22/09/2008 Fichier de définitions des virus 7.00.06.232 01/10/2008 trouve 1 fois : JS/Dldr.IFrame.BY dans pochandball[1].htm
au second passage antivir donne : HTML/Crypted.Gen dans static[1].htm HTML/Dldr.Agent.LC dans static[1].htm JS/Dldr.IFrame.BY dans pochandball[1].htm
static.html est genéré par www.ppv-sex.com/z/static.php dont mon Ie6 bloque le cookie.
-- Cordialement, Az Sam.
Depassage
Az Sam wrote:
complement : apres desactivation de l'AV et 3eme visite avec Ie6, rien ne semble se passer., les pages sont enregistrees et retrouvées dans le cache sans qu'elles aient , semble t il, activé quoi que ce soit.
apres redemarrage, idem, apparement clean, pas de pop up sex a l'horizon. gmer m'annonce
Ben tu sais elles sont sophistiquées les infections :-)
Outre le fait qu'elles peuvent détecter si on cherche à les entrevoir ou quand elles s'apercoivent d'un antivirus trop efficace, et bien du coup elles se désactivent, elles peuvent aussi enregistrer ton IP sur le serveur de redirection et d'autres parametres (user agent etc ) et ne plus t'embeter par la suite pour éviter d'être détectée
---- System - GMER 1.0.14 ----
Code 8161D295 Kei386EoiHelper
---- EOF - GMER 1.0.14 ----
mais je ne sais pas ce que c'est.
Ben ca (dans ce contexte je précise) c'est quand il y a une tentative pour avoir des privilèges dans les droits (pour passer outre en fait) et c'est une fonction qui fait quitter une interruption <------ Dans les dernières infections rootkitées on voyait cela puisque ca agissait au niveau du noyau (Kernel) Je dois avoir un source quelque part qui explique bien la chose
C'est pour ca que je dis toujours à ludo et son clic magique, que "nettoyer un PC" ca a ses limites. Ce n'est pas en effacant quelques fichiers qu'on résout tout.
Et pour moi de toutes les facons un PC compromis avec une infection rooktitée est un PC à reformater, meme si tout semble bien aller ensuite apres un nettoyage (déja quand on voit que les anti rooktit ont du mal à détecter, ca présume de la chose)
Az Sam wrote:
complement :
apres desactivation de l'AV et 3eme visite avec Ie6, rien ne semble se
passer., les pages sont enregistrees et retrouvées dans le cache sans
qu'elles aient , semble t il, activé quoi que ce soit.
apres redemarrage, idem, apparement clean, pas de pop up sex a l'horizon.
gmer m'annonce
Ben tu sais elles sont sophistiquées les infections :-)
Outre le fait qu'elles peuvent détecter si on cherche à les entrevoir ou
quand elles s'apercoivent d'un antivirus trop efficace, et bien du
coup elles se désactivent, elles peuvent aussi enregistrer ton IP sur le
serveur de redirection et d'autres parametres (user agent etc ) et ne
plus t'embeter par la suite pour éviter d'être détectée
---- System - GMER 1.0.14 ----
Code 8161D295 Kei386EoiHelper
---- EOF - GMER 1.0.14 ----
mais je ne sais pas ce que c'est.
Ben ca (dans ce contexte je précise) c'est quand il y a une tentative
pour avoir des privilèges dans les droits (pour passer outre en fait) et
c'est une fonction qui fait quitter une interruption <------
Dans les dernières infections rootkitées on voyait cela puisque ca
agissait au niveau du noyau (Kernel)
Je dois avoir un source quelque part qui explique bien la chose
C'est pour ca que je dis toujours à ludo et son clic magique, que
"nettoyer un PC" ca a ses limites. Ce n'est pas en effacant quelques
fichiers qu'on résout tout.
Et pour moi de toutes les facons un PC compromis avec une infection
rooktitée est un PC à reformater, meme si tout semble bien aller ensuite
apres un nettoyage (déja quand on voit que les anti rooktit ont du mal à
détecter, ca présume de la chose)
complement : apres desactivation de l'AV et 3eme visite avec Ie6, rien ne semble se passer., les pages sont enregistrees et retrouvées dans le cache sans qu'elles aient , semble t il, activé quoi que ce soit.
apres redemarrage, idem, apparement clean, pas de pop up sex a l'horizon. gmer m'annonce
Ben tu sais elles sont sophistiquées les infections :-)
Outre le fait qu'elles peuvent détecter si on cherche à les entrevoir ou quand elles s'apercoivent d'un antivirus trop efficace, et bien du coup elles se désactivent, elles peuvent aussi enregistrer ton IP sur le serveur de redirection et d'autres parametres (user agent etc ) et ne plus t'embeter par la suite pour éviter d'être détectée
---- System - GMER 1.0.14 ----
Code 8161D295 Kei386EoiHelper
---- EOF - GMER 1.0.14 ----
mais je ne sais pas ce que c'est.
Ben ca (dans ce contexte je précise) c'est quand il y a une tentative pour avoir des privilèges dans les droits (pour passer outre en fait) et c'est une fonction qui fait quitter une interruption <------ Dans les dernières infections rootkitées on voyait cela puisque ca agissait au niveau du noyau (Kernel) Je dois avoir un source quelque part qui explique bien la chose
C'est pour ca que je dis toujours à ludo et son clic magique, que "nettoyer un PC" ca a ses limites. Ce n'est pas en effacant quelques fichiers qu'on résout tout.
Et pour moi de toutes les facons un PC compromis avec une infection rooktitée est un PC à reformater, meme si tout semble bien aller ensuite apres un nettoyage (déja quand on voit que les anti rooktit ont du mal à détecter, ca présume de la chose)
Chantal
Exact à l'origine le site a été crée avec Topsite Express et le logo animé a éte récupèré sur le site d'un hébeurgeur Suisse il y a plus de 2 ans. Merci pour votre aide
"Az Sam" a écrit dans le message de news: 48ed9d8e$0$940$
"Chantal" a écrit dans le message de news: 48ed9a15$0$10993$
Bonjour et merci à tous. Mes connaissances en informatique étant trés limitées, pourriez vous me faire savoir le plus simplement possible ce que je dois faire. J'utilise Frontpage pour faire ce site.
Faux, ton site est semble t il créé avec TopSite Express.
ton site est piegé, par toi ou par un autre, ca reste a determiner.
Si tu veux faire quelque chose, tu supprimes la page d'accueil et tu renommes ta page "1.html" en "index.hetml"
-- Cordialement, Az Sam.
Exact à l'origine le site a été crée avec Topsite Express et le logo animé a
éte récupèré sur le site d'un hébeurgeur Suisse il y a plus de 2 ans.
Merci pour votre aide
"Az Sam" <me@home.net> a écrit dans le message de news:
48ed9d8e$0$940$ba4acef3@news.orange.fr...
"Chantal" <chantalhi@free.fr> a écrit dans le message de news:
48ed9a15$0$10993$426a74cc@news.free.fr...
Bonjour et merci à tous.
Mes connaissances en informatique étant trés limitées, pourriez vous me
faire savoir le plus simplement possible ce que je dois faire. J'utilise
Frontpage pour faire ce site.
Faux, ton site est semble t il créé avec TopSite Express.
ton site est piegé, par toi ou par un autre, ca reste a determiner.
Si tu veux faire quelque chose, tu supprimes la page d'accueil et tu
renommes ta page "1.html" en "index.hetml"
Exact à l'origine le site a été crée avec Topsite Express et le logo animé a éte récupèré sur le site d'un hébeurgeur Suisse il y a plus de 2 ans. Merci pour votre aide
"Az Sam" a écrit dans le message de news: 48ed9d8e$0$940$
"Chantal" a écrit dans le message de news: 48ed9a15$0$10993$
Bonjour et merci à tous. Mes connaissances en informatique étant trés limitées, pourriez vous me faire savoir le plus simplement possible ce que je dois faire. J'utilise Frontpage pour faire ce site.
Faux, ton site est semble t il créé avec TopSite Express.
ton site est piegé, par toi ou par un autre, ca reste a determiner.
Si tu veux faire quelque chose, tu supprimes la page d'accueil et tu renommes ta page "1.html" en "index.hetml"
-- Cordialement, Az Sam.
Depassage
Chantal wrote:
Exact à l'origine le site a été crée avec Topsite Express et le logo animé a éte récupèré sur le site d'un hébeurgeur Suisse il y a plus de 2 ans. Merci pour votre aide
En fait le site appelle le logo qui est CHEZ l'hebergeur Suisse
Chantal wrote:
Exact à l'origine le site a été crée avec Topsite Express et le logo animé a
éte récupèré sur le site d'un hébeurgeur Suisse il y a plus de 2 ans.
Merci pour votre aide
En fait le site appelle le logo qui est CHEZ l'hebergeur Suisse
Exact à l'origine le site a été crée avec Topsite Express et le logo animé a éte récupèré sur le site d'un hébeurgeur Suisse il y a plus de 2 ans. Merci pour votre aide
En fait le site appelle le logo qui est CHEZ l'hebergeur Suisse
Az Sam
"Depassage" a écrit dans le message de news: 48ee310e$0$7935$
Ben tu sais elles sont sophistiquées les infections :-)
je passerais l'ensemble des outils rootkit que je possede, on verra si un poisson sort. Là je n'ai fait que gmer et navilog.
Outre le fait qu'elles peuvent détecter si on cherche à les entrevoir ou quand elles s'apercoivent d'un antivirus trop efficace, et bien du coup elles se désactivent, elles peuvent aussi enregistrer ton IP sur le serveur de redirection et d'autres parametres (user agent etc ) et ne plus t'embeter par la suite pour éviter d'être détectée
oui, enfin là 2AV tres connus reagissent.
Ben ca (dans ce contexte je précise) c'est quand il y a une tentative pour avoir des privilèges dans les droits (pour passer outre en fait) et c'est une fonction qui fait quitter une interruption <------ Dans les dernières infections rootkitées on voyait cela puisque ca agissait au niveau du noyau (Kernel) Je dois avoir un source quelque part qui explique bien la chose
envoies ;-)
Et pour moi de toutes les facons un PC compromis avec une infection rooktitée est un PC à reformater, meme si tout semble bien aller ensuite apres un nettoyage (déja quand on voit que les anti rooktit ont du mal à détecter, ca présume de la chose)
absolument. mais là on sait pas encore si un rootkit.s'immice dans le systeme apparement le trojan downloader indiqué par l'AV, ne DL rien :-) J'ai sniffé, j'ai rien vu passer. J'ai l'impression que c'est juste une vielle trace d'un exploit js dans une vielle page. Ce que dit Chantal appuie dans ce sens.
Ce qui m'ettonne, c'est que toi et Cyrius n'avez rien trouver.
-- Cordialement, Az Sam.
"Depassage" <monadresseamoi@hotmail.com> a écrit dans le message de news:
48ee310e$0$7935$7a628cd7@news.club-internet.fr...
Ben tu sais elles sont sophistiquées les infections :-)
je passerais l'ensemble des outils rootkit que je possede, on verra si un
poisson sort.
Là je n'ai fait que gmer et navilog.
Outre le fait qu'elles peuvent détecter si on cherche à les entrevoir ou
quand elles s'apercoivent d'un antivirus trop efficace, et bien du coup
elles se désactivent, elles peuvent aussi enregistrer ton IP sur le
serveur de redirection et d'autres parametres (user agent etc ) et ne plus
t'embeter par la suite pour éviter d'être détectée
oui, enfin là 2AV tres connus reagissent.
Ben ca (dans ce contexte je précise) c'est quand il y a une tentative pour
avoir des privilèges dans les droits (pour passer outre en fait) et c'est
une fonction qui fait quitter une interruption <------
Dans les dernières infections rootkitées on voyait cela puisque ca
agissait au niveau du noyau (Kernel)
Je dois avoir un source quelque part qui explique bien la chose
envoies ;-)
Et pour moi de toutes les facons un PC compromis avec une infection
rooktitée est un PC à reformater, meme si tout semble bien aller ensuite
apres un nettoyage (déja quand on voit que les anti rooktit ont du mal à
détecter, ca présume de la chose)
absolument. mais là on sait pas encore si un rootkit.s'immice dans le
systeme apparement le trojan downloader indiqué par l'AV, ne DL rien :-)
J'ai sniffé, j'ai rien vu passer.
J'ai l'impression que c'est juste une vielle trace d'un exploit js dans une
vielle page.
Ce que dit Chantal appuie dans ce sens.
Ce qui m'ettonne, c'est que toi et Cyrius n'avez rien trouver.
"Depassage" a écrit dans le message de news: 48ee310e$0$7935$
Ben tu sais elles sont sophistiquées les infections :-)
je passerais l'ensemble des outils rootkit que je possede, on verra si un poisson sort. Là je n'ai fait que gmer et navilog.
Outre le fait qu'elles peuvent détecter si on cherche à les entrevoir ou quand elles s'apercoivent d'un antivirus trop efficace, et bien du coup elles se désactivent, elles peuvent aussi enregistrer ton IP sur le serveur de redirection et d'autres parametres (user agent etc ) et ne plus t'embeter par la suite pour éviter d'être détectée
oui, enfin là 2AV tres connus reagissent.
Ben ca (dans ce contexte je précise) c'est quand il y a une tentative pour avoir des privilèges dans les droits (pour passer outre en fait) et c'est une fonction qui fait quitter une interruption <------ Dans les dernières infections rootkitées on voyait cela puisque ca agissait au niveau du noyau (Kernel) Je dois avoir un source quelque part qui explique bien la chose
envoies ;-)
Et pour moi de toutes les facons un PC compromis avec une infection rooktitée est un PC à reformater, meme si tout semble bien aller ensuite apres un nettoyage (déja quand on voit que les anti rooktit ont du mal à détecter, ca présume de la chose)
absolument. mais là on sait pas encore si un rootkit.s'immice dans le systeme apparement le trojan downloader indiqué par l'AV, ne DL rien :-) J'ai sniffé, j'ai rien vu passer. J'ai l'impression que c'est juste une vielle trace d'un exploit js dans une vielle page. Ce que dit Chantal appuie dans ce sens.
Ce qui m'ettonne, c'est que toi et Cyrius n'avez rien trouver.
