> Tous les forums > Forum Sécurité
 VIRUS, Terminologie,Détection,Eradication.(2008)
Ajouter un message à la discussion
Pages : [1] 2 3 4 ... Fin
Page 1 sur 4 [Fin]
griggione
  Posté le 27/08/2005 @ 00:31 
Aller en bas de la page 
Grand Maître astucien

Bonjour tous

VIRUS........qui n´a jamais tremblé au tout début de sa découverte informatique en priant fermement que cela n´arrive jamais.
Jamais ressentie cette désagréable sensation de "viol" et surtout le sentiment de panique devant cet ennemi "invisible" et méconnu.
Connaître son ennemi pour mieux le combattre.

Qui n´a jamais eu son PC infecté au moins une fois.
Comme chacun le sait,c´est une véritable course engagée contre ces virus avant que l´infection ne se généralise dans le PC,ou se propage via son carnet d´adresses vers l´extérieur et surtout les proches.

Nous allons essayer de mieux comprendre ce phénomène virus,essayer de le dépister et de le "lire" pour mieux s´armer et l´éradiquer.
Connaître son ennemi pour mieux le combattre.
Le but n´est pas de vous encourager a faire ce qui suit,surtout en réseau,mais de montrer comment.
Par contre la partie éradication est recommandée.


Ce tutoriel comprend quatre parties:
-Terminologie
-Pourquoi et comment
-Détection
-Eradication

prevenir ATTENTION
Il est FORTEMENT DECONSEILLE de manipuler et encore plus d´installer et d´ouvrir un virus sans connaissances et maîtrise parfaite de son système d´opération.
Les sauvegardes d´usages sont à faire dans tous les cas.
Le site PC Astuces ainsi que l´auteur de ce tutoriel ne sauraient être responsable d´aucun dommage pouvant résulter d´une mauvaise interprétration ou de mauvaises manipulations.

Remerciements.

Le site et forum pour héberger le tutoriel: PC Astuces,l´entraide informatique francophonepc astuces
L'éditeur de textes multi-forums avec lequel est fait ce tuto: La Grafouillette la grafouillette

Pour l´éthymologie,le site de Linux France:: Le Jargon Français Wikipedia

Tutoriel extrait du site corsica-informatica logo


...../.....

Publicité
griggione
 Posté le 27/08/2005 à 00:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

...../.....

Niveau pour tous

1-Terminologie.

Quand est née l´informatique,pratiquement sont nés les virus.
Dans les années 1960, trois informaticiens de la société Bell aux Etats Unis ne trouvent rien de mieux pour occuper leurs heures de loisirs (travail?) que d´inventer un code qui va détruire les programmes des camarades.
Le virus informatique venait de faire son apparition et déclanchera un colossal business autour de la sécurité.

Le premier "code malicieux" informatique serait né en 1983,son auteur: Fred Cohen.
Le professeur en sciences des molécules à l´Université du Sud de la Californie,Leonard M. Adleman,l´a baptisé: VIRUS.

Cette appellation se retrouve de plus en plus "galvaudée" et générique,surtout par tous les fabricants qui nomment leurs programmes "anti-virus".
Mais beaucoup maintenant dépistent et éradiquent la pluparts des divers "virus",certain étant plus ou moins spécialisés.


Sous cette appellation abusive mais pratique dans le langage courant,sont à ranger toute une panoplie de "joyeusetés".
Malware (malicious+software) logiciel malveillant ou Riskware (logiciel risqué)
Ils sont a classer en trois catégories,cette classification est dite standard:
bouton-La charge: qui s´attaque principalement au BIOS.
bouton-De déclenchement: par exemple un cheval de troie.
bouton-De propagation: par exemple un ver.

Beaucoup vont certainement découvrir des "virus" inconnus mais pourtant bien réels.
Si toute fois,vous voyez qu´il en manque,je me ferais un devoir de rajouter.
Actuellement,plus de 105000 sont recensés.Ce qui laisse le choix d´une "Banque" assez impréssionnante de malwares disponibles.

image diverse

bouton-ActiveX
Créés par Microsoft,pour concurrencer le succès de Javascript de Sun,ils peuvent se révéler particulierement méchants.
Voila comment est expliqué son application par Microsoft,sans commentaire,car trés vite les failles se sont retrouvées exploitées.
De plus,non seulement ils ne repondent pas aux normes internationales du W3C,mais la désactivation est recommandée même par le portail gouvernemental Légifrance.

Explication par Microsoft:
Les contrôles ActiveX, précédemment connus sous le nom de contrôles OLE ou contrôles OCX, sont des composants (ou objets) que vous pouvez insérer dans une page Web ou un autre programme de manière à pouvoir réutiliser une fonctionnalité intégrée programmée par quelqu'un d'autre.
Par exemple, les contrôles ActiveX qui sont inclus dans Internet Explorer vous permettent d´enrichir vos pages Web avec des fonctionnalités de mise en page et des animations sophistiquées.
L´un des avantages essentiels des contrôles ActiveX sur les programmes Java et les plug-ins Netscape réside dans le fait que l´on peut les utiliser aussi bien dans des programmes écrits dans de nombreux autres langages, y compris tous les langages de programmation et de bases de données Microsoft.

bouton-Adwares (advertising supported software = pubgiciel)
Un de ceux les plus rencontrés surtout dans les logiciels,utilitaires,etc... gratuits ou suppléments offerts dans des programmes ou systèmes d´exploitation (OEM).
En fait il est chargé par la société tiers ou régie de pub qui rétribuent ainsi le créateur.
Cela se traduit en général par une banniere publicitaire obligatoire.
Enlever l´adware bloque souvent le programme,il faut alors paramêtrer des filtres dans les antis,pour pouvoir continuer a les utiliser.

bouton-Backdoors (porte arrière ou porte dérobée).
Ce programme est particulièrement efficace en réseau.
Effectivement,les portes dérobées sont nettement plus utiles que l´accès physique à l´ordinateur.
En général,le développeur crée ce programme pour acceder facilement mais aussi bloquer facilement un client en cas de non-paiement par exemple.
Ce malware est en général introduit par le dévellopeur ou un tiers (souvent les deux). Ou comme le cas célèbre de l´utilitaire trés efficace d´une liste de proxy,le gouvernement allemand a obligé le créateur a mettre un backdoor.
Il permet de surveiller complètement,de prendre la main du PC,d´envoyer des virus,spams,etc.......du PC,de contrôler le réseau ou simplement de tout détruire en étant sur place.

bouton-Botnet (bot pour robot et pour internet)
Réseau de robots logiciels installés sur des machines aussi nombreuses que possible et zombies détournés à l´insu de leurs propriétaires.
Servir à paralyser le trafic ou de moteur à la diffusion de spam.
Les botnets sont utilisés pour le vol de données bancaires ou de comptes clients à grande échelle.
Des botnets bien réalisés et bien implantés sont loués trés cher à des tiers.

bouton-Buffer overflow (débordement de tampon)
Problème de sécurité causé par l´absence de contrôle de ce qu´on écrit dans un tampon.
Une fois l´extrémité du tampon atteinte, d´autres données sont écrasées.
Il y a souvent une chance pour que ces « données » soient exécutées si le contenu du tampon a été fourni par un utilisateur (par exemple dans un champ de saisie) alors tout est possible.

bouton-Chevaux de Troie (voir Troyan Horses)

bouton-Companion (compagnon)
Petit virus prenant le nom d´un fichier EXE, mais en utilisant pour extension .COM, accompagnant donc l´autre fichier exécutable.
Quand deux .EXE portent le même nom,la ruse est que les fichiers .COM s´exécutent avant..
La victime lance donc le virus en même temps que sa commande habituelle.
Technique employée plus souvent sous le DOS.

bouton-Cookies (biscuit)
Un cookie est un enregistrement d´informations par le serveur dans un fichier texte situé sur l´ordinateur client,bien au chaud dans des dossiers cachés.
Il se compose d'un ensemble de variables que le client et le serveur s´échangent lors de transactions HTTP.>
Ce qui permet d´éviter de se connecter à nouveau sur un forum par exemple ou un site avec comptes,ou d´aller directement sur la page d´un site,etc......
Sans problème quand ils sont utilisés par des "entités" sérieuses,ils peuvent se révéler trés dangereux mal employés.
En effet,ils peuvent stocker une multitudes de renseignements,qui récoltés par un spyware,permet de se connecter au service Web sous le compte de l'utilisateur.


bouton-Dialers (ou war Dialing = composeur d'attaque)
Un Dialer est un programme utilisé pour réaliser des connexions Internet via des numéros trés coûteux.
Cela peut aller jusqu´à 15€ la minute.Des entreprises ont fait faillites à l´époque du bas débit.
Si certains Dialers sont fournis par les fournisseurs d´accés pour créer ou simplifier la connexion Internet de leurs clients,la plupart sont une grande plaie de l'internet.

Trés en voque dans les années 90,explosion de l´internet et en remplacement du 3615,ils sont en général chargés sur des sites de sexes,de logiciels illégaux,de site de crack,etc.....
Au début ils utilisaient la fenêtre de certificat de sécurité,puis pour pieger les enfants (et les grands),plus facilement,un simple balayage de souris en allant vers le prochain lien suffisait.
Ils s´installent seuls et en silence,coupe la connexion et se reconnecte seul sur les numéros surtaxés.
D´ou les questions posées sur les forums: pourquoi des fois j´entend mon moden en 56k qui se déclenche tout seul......
Quelques procés retentissant ont un peu calmé les ardeurs,mais ils restent trés en vogue sur les sites de sexe,mais ne peuvent agir pour les connexions en ADSL.

bouton-Dropper (voir Troyan Horses)

bouton-Espiogiciel (voir spyware)

bouton-Exploits
Sa particularité est d´exploiter les failles de sécurité dans un systeme dࢄexploitation.
Et de deux manières: soit en direct sur le PC (local exploit),soit à distance (remote exploit).
Souvent associé il désactive les logiciels Anti et ouvre les ports pour d´autre "virus",genre spyware,etc....

bouton-Hijackers (hijack = détournement)
C´est un programme qui pirate votre page de démarrage internet pour la rediriger vers des sites soigneusement choisis.
Et comme toujours trés souvent vers des sites de sexes ou par des webmasters qui "gonflent" ainsi les visites de leurs pages web pour les recettes publicitaires.
L´infection se fait par l´intermédiaire d´une page web piégée en se servant de Javascript mais surtout d´ActiveX.
Cela peut aller jusqu´a rendre inaccessible les options Internet Explorer par un BHO ou modifier le répertoire de "Mes favoris".
C´est comme ç qu´on retrouvent des dizaines de dossiers des sites classiques de sexes et autres sites de ventes,en ouvrant les favoris.

bouton-Hoax (canular) Il y en a de toutes sortes,et si le principe est de faire une fausse information pour "rigoler",il arrive malheureusement,suivant ce canular,que certains soient obligé de reformater.
En général il est demandé de faire passer le message de partout,les forums et les amis en premier.
De toute bonne fois bien souvent,l´internaute donne l´info et bien sur,sans vérification,beaucoup virent des fichiers valides.
Ben oui,si c'est sur un forum connu et en plus en Sécurité.........
Personne ne c´est encore mis d´accord pour dire s´il est à classer dans les "virus" ou pas,mais vu les dégats quelques fois de fait,je préfère le mentionner.

bouton-Joke (voir hoax)

bouton-Keyloggers (key = touche,,logger = enregistrer)
Ce petit programme se charge d´enregistrer toutes les frappes du clavier.
Ensuite,dés la connexion sur le Net,il fait son rapport au créateur ou à un tiers de tout ce que vous avez fait.
Les nouveaux programmes vont plus loin,en enregistrant les liens des sites visités et même en faisant des impressions d´écrans ou même des vidéos.
Le dernier bien célèbre découvert en 2005 par un suédois,est celui de Word avec sa barre d´outils.

bouton-Logic Bomb (bombe logique ou bombe temporelle ou blue bomb ou time bomb)
Inséré dans un virus,trojan,etc......sa particularité est de se déclencher en fonction d´un événement précis.
C´est donc la charge utile du programme.
Il peut etre actif de suite,dans un temps voulu même long,prévu pour une date précise (comme celui du 28 février),un événement précis,etc.........
Il est prévu pour faire des dommages ou détruire dans léordinateur cible.

bouton-Mailbomb (courrier électronique en masse) Pour déranger les gens, rien de mieux, selon certains, que de leur envoyer des Méga-Octets de courrier électronique.
L´objectif est de saturé completement les boîtes aux lettres et donc empêcher la bonne réception,et d´obliger l´internaute a complètement vider sa boîte sans même vérifier.
Cette technique est redoutable pour un serveur qui lui stocke des fois plusieurs comptes.
Employé en même temps par plusieurs et sur le même serveur,peut lui être fatal.

bouton-Numéroteur (voir Dialer)

bouton-Phishing (Aller à la pêche)
Trés à la mode et employée dans ces années 2000.
Cela consiste à envoyer un mél à tous les clients d´une banque par exemple,d´un site de vente par correspondance ou vente en ligne...
Et dire que suite à des incidents techniques ou re-structuration informatique qu'on a perdu son numéro de carte bancaire,de compte,de carte de paiements,etc.....et qu´il faut simplement re-remplir les cases,etc....
Les techniques actuelles,permettent de saisir et d´envoyer les même pages que d'habitude.
Rassurés et en confiance les internautes répondent en toute naïveté...

bouton-Polluriel (voir Spam)

image diverse

bouton-RAT (Remote Administration Tool)
Outil d´administration à distance. Logiciel permettant de modifier la configuration d´une machine à travers un réseau.
Généralement, ces programmes sont bénéfiques, mais ils peuvent être utilisés pour commettre toutes sortes de méfaits.

bouton-Rootkits (root = racine,,kit = ensemble)
Son principe est de prendre un compte administrateur ayant tous les droits,pour lancer une ligne de commande,un shell,etc......
En tant qu´ensemble,que kit,il regroupe en général les backdoors,exploits,trojans et autres....
Son plus grand danger est qu´il modifie le kernel (le noyau d PC),ce qui lui permet de cacher des fichiers ou processus dans des configurations vierges.
Sa présence étant non détectée,il automatise à loisir l´installation sur un système avec faille.
Et en permanence puisqu´il se trouve au coeur du système,sa discrétion est donc assurée.

bouton-SPAM (Shoulder of Pork and hAM ,c´est une marque déposée à l´origine).
Parfois traduit comme: « balancer le contenu d´une boite de corned-beef dans les pâles d´un ventilateur ».
Envoyé par centaine,le spam se voulait une action de promotion ou de publicité.
Les techniques actuelles et les utilitaitres permettent d´envoyer par millier voire dizaine de millier et inlassablement aux mêmes adresses surtout si le courrier est ouvert,ce qui certifie une bonne URL.
Un spam est dit " alphabétique quand il vise tous les groupes du Net, dans l'ordre.
Un spam est dit " horizontal " quand il vise de nombreux groupes.
Un spam est dit " vertical " quand il vise un seul groupe mais en l´inondant de messages.

bouton-Spyware (logiciel espion)
Ces logiciels espions se trouvent de partout.
Ils portent bien leurs noms et sont fabriqués par de grosses firmes qui utilisent les toutes dernières techniques.
Quand ces dernières n´innovent pas,comme les découvertes en formule 1 servent ensuite tous les jours,mais c´est leur job.
Et ils le font bien,la suite du tutoriel est suffisamment parlante.

Programmes,logiciels,utilitaires gratuits et même payants,CD/DVD de pilotes,de cartes,OEM,CD/DVD d´imprimante,scanner,photocopieuse,fax,scans en ligne,etc...
Ca c´est à domicile,alors sur la toile,chaque site,chaque lien,est succeptible de charger un spyware sous couvert d'un petit .exe ou d´un petit bout de programme pour la prochaine fois.......
Le but des spywares est d´envoyer des informations personnelles,quel sorte de logiciels,leurs utilisations,les habitudes de surfs,les sites visités,etc........Un ciblage en régle qui permet d´envoyer publicités et proposition commerciales.
Ces liens servent non seulement pour les fabricants mais surtout pour des organismes tiers,ils sont fabriqués pour.
Les dossiers clients ainsi faits,sont échangés ou revendus.
Achetés et installés par les plus gros fabricants et les assembleurs (OEM),certains avouent volontiers les gains qu´ils en retirent.

Sous prétexte d´avoir un suivi de leur logiciel,pas tous,mais la grande majorité en profite.
Ils sont installés directement 9 fois 10 sans aucune information pour l´utilisateur.
Si pour les supports amovibles,il est (difficilement pour monsieur tout le monde) possible de faire le tri,dans les PCs vendus en OEM ils sont intégrés aussi bien dans les logiciels OFFERTS que dans windows.
Il faut savoir sortir les fichiers cachés bien souvent,pour les trouver.

ATTENTION: une grande majorité d´anti-spywares sur le marché, sont eux-mêmes "chargés". (voir https://forum.pcastuces.com/sujet.asp?SUJET_ID=197403)

bouton-Troyan Horses (chevaux de troie)
On les retrouvent en général dans des utilitaires ou des jeux ou des messengers ou des mp3,vidéos,etc.....
Ils servent a pirater le système pour une seule fois et ne se reproduisent pas.
Il peut être mis en sommeil le temps voulu pour le jour J à l´heure H,Minute,Seconde,......et donner la main à celui qui l´a installé.
Leurs "déguisements" quelque fois passent au travers des antis.

bouton-Viroax (voir hoax)

bouton-Virus (les vrais)
Les classiques
Plusieurs caractéristiques:
-métamorphisme
-furtivité
-résidence
-polymorphisme
-cryptographie
C´est un bout de programme (le code ne fait que quelques Kilo-Octets) dont le but est de se multiplier via d´autre ordinateurs,soit pour le plaisir de la réussite (en général un simple message de l´auteur),soit la plupart du temps,pour nuire au bon fonctionnement de l´ordinateur.
Le virus peut détruire toutes les données du système d´exploitation ou des données préservées.
Un virus peut détruire physiquement des éléments ou la zone amorce d´un disque dur.
Tous les moyens numériques sont bons,internet,CD/DVD,disquette,clé USB,logiciel,carte flash,disque externe,etc....

Le virus est une arme qui sert aussi bien dans la concurrence déloyale,la vangeance,la bêtise humaine ou les guerres.
Au Etats Unis,le virus est classé dans la même catégorie que les armes nucléaires.

Les macro-virus
Ces virus attaquent les macros de la suite locigielle Microsoft Office (Word, Excel, etc...)
Ils utilisent le langage de programmation d´un logiciel pour en modifier le fonctionnement.
Ils s´attaquent principalement aux fichiers des utilisateurs.
Mis dans un dossier .dot par exemple,chaque fois que l´utilisateur se servira de ce fichier,le virus fera son travail.
Les virus de boot
Un virus de boot installe un code exécutable dans le premier secteur,secteur de démarrage maitre.
Ils s´installent dans le Master Boot Record,à chaque redémarrage ils se propagent aux programmes choisis ou aléatoirement.

bouton-Web-bug
C'est un mouchard caché en micro-image invisible dans une page web ou un e-mail servant à déclancher l´exécution d´un script depuis un site extérieur.
Considéré comme une astuce,il se lode dans les pop-up ou banières publicitaires avec comme seul objectif de tracer.
De la valeur d´un pixel,un point dans l´image,il se rend invisible s´il prend la couleur du fond.
Il sert de repérage par exemple pour telle pub affichée,et le logiciel extérieur repère "son" web-bug.

bouton-Worm (vers)
La cible préviligiée étant les courrielleurs,les vers se servent des courriers électroniques pour se répandrent.
Les carnet d´adresses sont leurs terrains de jeu favoris,ils s´envoient tous seuls à tous ce qui ressemble de prés ou de loin à une URL.
Chaque vers ainsi envoyé va à son tour entrer dans un carnet,etc........
C´est à une vitesse incroyable qu´il se propage à travers le monde,le temps de trouver une parade.
Le célèbre "Y Love You" a bloqué des millions de données en un temps reccord,un spécialiste a estimé sa vitesse à 8000 carnets en 20 mn.

bouton-Zero Day (le jour)
Expression caractérisant un exploit d´une faille de sécurité.
Le terme Zero-Day se dit d´une attaque ayant lieu le jour même de la divulgation de la faille qu´elle exploite.
Les administrateurs système ou réseau mais aussi éditeurs n´ont pas le temps de réagir.

bouton-Zombie
Ordinateur zombie
Ordinateur piraté obéissant aux ordres du pirate et non plus de son propriétaire légitime.
Ils sont souvent utilisés,pour l´envoi de spam ou deni de services à l´insu du propriétaire.
Processus zombie
Sous les systèmes de type UNIX et similaires, zombie désigne un processus qui s´est achevé.
Il dispose toujours d´un identifiant de processus (PID) et reste visible dans la table des processus.
Impossible à éliminer (puisque mort),il faut tuer le processus père ou redémarrer,trop de zombies peut empecher la création de nouveaux processus.

Encore merci au Jargon Français Wikipedia



...../.....



Modifié par griggione le 14/05/2009 17:49
griggione
 Posté le 27/08/2005 à 00:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

...../.....


Niveau pour tous

2-Pourquoi et comment.

L´informatique c´est bien,c´est utile et devient déjà pratiquement indispensable.
Trés rapidement,il ne sera pas une action,même quelconque,qui n´utilisera pas l´informatique.
Et encore plus à la maison,avec comme support les ordinateurs,qui proposent en plus,la convivialité,les contacts,les loisirs.

Mais un ordinateur,même/surtout de la dernière génération ou un systeme d´exploitation n´est jamais exactement comme on le voudrait.
Et il existe des milliers de programmes,utilitaires,packs,etc.........de l´anti-moustique au logiciel pour faire de la 3D en passant par les Wallpapers,la grande soif de la musique ou des images.......bref,beaucoup beaucoup de choix.

Connaître son ennemi pour mieux le combattre.
On pourrait classer le niveau des infections: (virus étant le terme générique)
-Virus préinstallé à l´achat,ordinateur,logiciel,CD/DVD,etc...5%.
-Virus récoltés pendant la navigation interne ou le surf sur la toile 25%.
-Virus installés par les chargements divers 70%.

image argent

Quand on a fini de télécharger un programme,logiciel,application,mp3,vidéo.......bref tout,la première action avant de lancer l´installation ou la lecture ou l´écoute,est de se déconnecter du Net.
C´est assez impréssionnant le nombre qui cherche la connection de suite,sans avertir la plupart du temps (certains affichent une fenêtre pour le signaler) POURQUOI !!!.
Sans compter ceux qui ne font que donner un exécutable pour aller chercher la suite POURQUOI !!!.

Et cette maladie d´aller vite vite...et on clique sur d´accord,oui,ok,suivant....aller aller....vite !


Les dix commandements: Quand on doit installer un programme,il faut toujours:
bouton-Toujours se deconnecter du Net.
bouton-Toujours détailler les fenêtres successives avant de cocher et faire suivant.
bouton-Toujours refuser les utilitaires "annexes" proposés,les petits plus "cadeaux".
bouton-Toujours refuser l´inscription en ligne directe,il y a dedans le lien pour le faire ensuite.
bouton-Toujours refuser l´ouverture directe ou le lancement en fin d´installation.
bouton-Toujours refuser le démarrage automatique en même temps que windows (§).
bouton-Toujours refuser les mises à jour de suite.
bouton-Toujours faire trés attention aux cases déja pré-cochées (les pires).
bouton-toujours refuser que le programme soit le 1er utilisé par défaut par rapport à un autre,il est temps de le faire aprés.
bouton-Toujours refuser de redémarrer pour la prise en compte.

Une fois l´installation terminée,il faut TOUJOURS scanner ce programme par les anti-virus et anti-spywares à jours de leurs définitions.
En effet,un "virus" peut trés bien être caché dans l´exécutable et compréssé (si si vous verez plus loin).
Une fois vérifié,et redémarré pour certain,il est souvent possible de faire les parametrages désirés,ceux refusés pendant l´installation.

(§) Il existe deux manières pour un programme de démarrer automatiquement.
1-Celle qui consiste à l´installation de cocher pour un démarrage en même temps que windows,et dans ce cas,c´est inscrit dans la base du registre.
S´il existe un endroit particulièrement délicat dans lequel il faut agir avec une extrème prudence,c´est la base du registre.
2-Celle qui consiste a mettre un raccouci dans le menu démarrer de windows. Et là c´est accessible pour tout le monde,enlever ou remettre à sa guise.
N´onblions pas que tous ces programmes au démarrage,travaillent en tache de fond,autant de ressources de moins et de fatigues inutiles du matériel.

Je vous conseille de lire le tutoriel Nettoyage,entretien et suivi XP,des outils sont recommandés pour prendre le relai des installations.
Tout ce qui est modifié est repéré et enregistré. Vous restez maître de votre PC.

image argent

Pourquoi !!!
Nous avons vu en Terminologie,le "choix" pour les infections est immense et beaucoup ne se privent pas.
Et si ils peuvent "charger" plusieurs virus et plusieurs fois,c´est mieux,surtout intégrés au départ.
L´intêret est multiple,majoritairement basé sur l´attrait financier:

bouton-Cibler l´internaute le mieux possible pour proposer les logiciels,programmes,jeux,fims,etc....qui lui convienne.
bouton-Cibler l´internaute le mieux possible pour proposer les publicités qui feront mouche et renverront vers les liens précis.
bouton-La bêtise de quelques uns qui cherchent à pourrir la vie des internautes par simple plaisir ou jeu.
bouton-La recherche de renseignements,surtout banquaire,numéro de carte,etc.....pour les exploiter.
bouton-La création d´un fichier bons "clients" pour le revendre.
bouton-L´espionage dit domestique,dans les couples en divorce ou pas,entre "amis",les parents pour les enfants,etc.....
bouton-L´espionage dit professionnel,PC des employés pour le controle,vidéo-surveillance pas toujours signalée,etc...
bouton-L´espionage dit industriel,beaucoup plus répandu qu´on le croit,entre sociétés voire même au sein d´une société.
bouton-Bloquer l´utilisateur le plus possible sur les programmes ou logiciels souvent OFFERTS (pas toujours) pour l´obliger a rester sur ces applications.
L´internaute de tous les jours n´est pas habitué a changer de programme facilement,quand il en connait un enfin,il le garde.
Surtout si en essayant un autre,il rencontre des difficultés pas toujours liées au nouveau programme; les conflits entre même logiciel sont souvent bien orchestrés.

image argent

Comment !!!
Nous avons survolé pourquoi,voici comment et par qui nous sommes servis généreusement en Virus.

bouton-Tout d´abord les sociétés ou créateurs de programmes qui veulent savoir avec qui et comment sont exploités leurs "bébés".
Ce qui peut paraître logique et légitime,mais rares sont ceux qui se contentent de ne pas regarder ailleurs pour voir si un autre programme identique est présent,ou plus pour certains.
Heureusement tous ne le font pas,et il est difficile de définir un pourcentage.
Seulement le problème,c´est qu´ils ne disent nulle part,que des liens de rapports sont incorporés et envoient le rapport dés la connection.
Mieux,la recherche du Net est automatique dés le démarrage du PC. Et aucun ne demande la permission ou rarement comme les anti-virus ou pare-feu.
De plus ceux sont des failles bien souvent exploitées,car les ports de sorties sont ouverts,et ce quelques fois avec la bénédiction des sociétés ou créateurs.

bouton-Les fabriquants,intégrateurs ou assembleurs en OEM ,dit "propriétaires" (voir Licence,activation,WGA),qui non seulement pour certains "tatouent" les PC,mais donnent en "cadeaux" des programmes annexes particulieremet gratinés.
Et si liens il y a,c´est bien dans ce cas:
-Pour commencer le logo en allumant le PC,bien gentils,mais c´est la place de la page de démarrage du BIOS qui contient de précieux renseignements.
-Compagnons pour faciliter la navigation ou le surf,les programmes sont orientés automatiquement vers d´autres programmes de chez eux ou partenaires.
-ouverture de la page d´accueil du navigateur sur leur site,avec tous les favoris déja prêts et une multitude de liens vers leurs sites ou des partenaires.

bouton-Les fabricants de satellites: imprimantes,scanners,webcams,disques durs externes pré-chargés (NDLR c´est le terme) etc.......
Dans leurs CD/DVD/Diskt d'installation bootable (ben voyons)et même maintenant dans les HD,cléx,etc....,ils ne se privent pas.Ils sont bien lourds pour juste des pilotes.
Certe,plusieurs utilités sont proposées,dont les fichiers d´aide,mais on peut le consultés directement sur le support.
Souvent on se demande comment les enlever tellement c´est lourd tous ces plus et rarement utiles.

bouton-Les créateurs ou développeurs de petits programmes,plus souvent des utilitaires gratuits.
Soit ils ont besoin d´argent,car c´est beaucoup de temps de travail,améliorer,répondre ou soit par l´appat du gain pur et dur.
Les malwares sont installer dans les exécutables,mais pour beaucoup,en version gratuite,sont directement dans le programme,le plus souvent dans la banniere.
Si certains le disent ouvertement et laisse le choix,pour d´autres ces programmes ne fonctionnent carrement pas sans leur spyware.

bouton-Les fournisseurs d´accés à internet.
C´est tout un chapître qu´il faudrait,car il fournissent tout,logiciel de connexion,navigateur,courrielleur,etc......
Ce qui laisse une part non négligeable du gâteau "internaute",les boîtes de pub sont des partenaires privilégiés.

Ne jamais installer un Kit de Fournisseur d´Accés à Internet
Faites une connexion directe,utilisez navigateur et courrielleur indépendant,de trés bons et sécurisés sont gratuitement à disposition sur la toile.
Ne jamais se servir des anti-virus,pare-feu ou controle parental supplémentaires proposés lors de l´installation ou le choix du contrat.Par obligation,ils en ont déjà sur leurs serveurs.
Et les paramètres sont-ils bien configurés pour tout bloquer,leurs partenaires en premier ???.
De trés bons logiciels de protections sont gratuits,demander dans les forums connus,comme notre partenaire PC Astuces.
Sans compter les difficulté,en cas de changement de FAI, de récupérer les carnets d´adresse (ils se font tirer les oreilles) et la réinstallation et parametrages des nouveaux programmes.
En plus,5€ par mois pour un + 5€ pour un autre,etc......Un complet acheté en ligne coûte environ 60€....une seule fois.

bouton-Les sites spécifiques: sexes,warez,P2P,etc......qui pour vivrent et s´enrichir ne reculent devant rien pour "charger".
Tous les moyens sont bons,tous les malwares sont bons,tous les clients sont bons.Et si possible plusieurs en paquet cadeau.
Les spécialistes de la reconnexion (voir Dialer).
Ceux sont les endroits les plus dangereux (avec les suivants) sur la toile,évidemment ceux qui attirent le plus.

bouton-Les sites de cracks (cerises,fruits,angelos,rustines...) sont trés recherchés et encore plus facilement trouvés.
Et c´est mieux si on trouve sérials,keygen,loader,... ou directement les crackeurs,casseurs,cruncheurs,déplombeurs,keygeneurs,etc....
La toile compte une multitude de sites,tous prêts a vous aider et donner le "graal".....quelle gentiellesse.
Si ces cracks sont "signés" par de grands crackeurs ou Team de cracks,ils sont en général sains.
Le milieu fermé des crakeurs à son code d´honneur.
Encore faut-il les connaître........

...../.....



Modifié par griggione le 14/05/2009 17:59
griggione
 Posté le 27/08/2005 à 00:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

...../.....

Niveau débutants

3a-Détection.

Ce qui suit n'est pas réservé uniquement au virus ici étudié,mais à tous en général.
Cette partie de niveau deux concerne la recherche et la vérification d'un crack trouvé sur la toile,mais pas encore installé.

La nouvelle vogue du moment étant ce superbe programme de Google pour les vues sattelitaires avec un zoom impréssionnant,il y a bien sur deux versions.
La version lite est gratuite mais evidemment,à peine sortie que déja il y a ce qu´il faut pour la version professionnelle payante.
Alerté par un webmaster qui a eu l´erreur de laisse passer un lien........c'est par dizaine que les inscrits ont été infectés allant pour certains jusqu´au reformatage.

prevenir ATTENTION
Il est FORTEMENT DECONSEILLE de manipuler et encore plus d´installer et d´ouvrir un virus sans connaissances et maîtrise parfaite de son système d´opération.
Les sauvegardes d´usages sont à faire dans tous les cas.
PC Astuces ainsi que l´auteur de ce tutoriel ne sauraient être responsable d´aucun dommage pouvant résulter d´une mauvaise interprétration ou de mauvaises manipulations.



la toile compte une multitude de sites,tous prêts a vous aider et donner le précieux sésame......quelle solidarité.
Plusieurs possibilités de ramasser des malwares dans ces cas-là:
bouton-Les "cerises" proposées sont déjà chargées, en général par des anonymes ou des sites génériques.
bouton-Ces memes "cerises" mais à nouveau packées et accompagnées de malwares,en général ces nouveaux packs sont proposés par des "leecheurs" qui mettent leurs noms en plus en faisant croire que c´est eux les auteurs.
bouton-Des "cerises" faites spécialement pour y installer les malwares,on les retrouvent dans des éxécutables et loaders.

Connaître son ennemi pour mieux le combattre.
Tout sur ces sites est dangereux,les images,les liens,les pop-up,etc........les navigateurs ont fait des efforts pour les pop-up,mais...

banniere

Comme vous le savez,en regardant le bas du cadre à gauche(la barre d´état) on voit s´afficher l´adresse du lien.
Mais là impossible tellement la redirection est indiquée à un nombre impréssionant de contact pour communiquer l´IP et charger des cookies.
J´ai du me reprendre en plusieurs fois et de manière totalement aléatoire pour faire ces deux saisies d´écran.
Quand on voit les noms,grosse boite de pub,et la future installation.....bbbbrrrrrr.

banniere
banniere

Une rumeur persistante sur la toile disant que les propriétaires des sites recoivent directement des propriétaires des logiciels........qui sont aussi propriétaires ou partenaires des liens de redirections et/ou propriétaires des sites d'arrivée........mais attention,ceux sont des rumeurs.
Bon on papopte on papote,mais il faut la télécharger cette cerise.....tient c´est un exécutable,chouette besoin de rien faire aprés.

chargement

Souvent ils ressembles a ces icones

exe

Mais le fin du fin,le piège bien fignolé,c´est le coup du certificat d´authenticité.
En effet,Microsoft et les gros faiseurs de logiciels,ont mis en place ce certificat pour passer un controle de plus avant un téléchargement et installation.
Et là on est rassuré.....sauf que n´importe quelle société avec pignon sur rue a le droit,après accord,de l´utiliser.
Prenons exemple de la saisie suivante,PLEKS s.r.o. (ne pas confondre avec le logiciel d´interface Plesk8) en langage Silarg: Pleks=>complexe et sro=>à travers....
Excellent jeu de mot,pour un code qui......mais seul,ce code passe à la certification de Thawte Code Signing CA,spécialisée pour les développeurs.

Ne jamais accepter un certificat d´authenticité les yeux fermés. Microsoft sur ces propres chargements,met en garde aussi.

certificat


La toute première chose a faire (les dix commandements),me déconnecter pour éviter les liens directs activés.
Surtout que là j´ai pris une cerise et en plus exécutable.

déconnexion

J´ai le logiciel professionnel,facile à trouver en démo et j´ai ma cerise,encore plus facile a trouver.
Un crack normalement,n´est que peu d´écriture,donc 2ko,3ko quelque fois un peu plus quand il y a une clé TOKEN ou BEGIN,mais 368ko dans ce cas....Méfiance.
Premiére action avant de décider de la suite,utiliser un compresseur/décompresseur,clic droit et voir.

winrar

Tient tient,on peut décompresser,il y a donc autre chose dedans,et en général on retrouve un autre exécutable.
Un peu comme le CD d´un logiciel,soit se servir de l´autorun soit ouvrir et juste lancer ce qui intérresse.
Bon envoyons la décompression...

winrar

L´avantage de WinRar est que l´on peut choisir l´option du passage par l´anti-virus présent dans le PC.
C´est de ma faute,j´ai manger une consigne des dix commandements,le passage par l'anti.
Mais mon anti-virus n´est pas du tout content et surtout pas d´accord,ouverture refusée pour cause de virus.

winrar

Déjà cela confirme la bonne tenue et la mise à jour de mon anti,c´est rassurant.
bouton-1-Le nom du malware
bouton-2-Le risque est établi à haut
bouton-3-Le type est Virus

Si on ne sait pas maintenant que cette cerise est infectée,c´est a désespérer.
Il est largement temps,normalement,de tout virer avant la catastrophe.


...../.....



Modifié par griggione le 14/05/2009 18:04
griggione
 Posté le 27/08/2005 à 00:38 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

...../.....

Niveau confirmés

3b-Détection.

prevenir ATTENTION
Il est FORTEMENT DECONSEILLE de manipuler et encore plus d´installer et d´ouvrir un virus sans connaissances et maîtrise parfaite de son système d´opération.
Les sauvegardes d´usages sont à faire dans tous les cas.
PC Astuces ainsi que l´auteur de ce tutoriel ne sauraient être responsable d´aucun dommage pouvant résulter d´une mauvaise interprétration ou de mauvaises manipulations.



Cette partie est plus technique,mais un suvol pour avoir une idée est interessant,surtout le "traçage" du créateur vers la fin.
Nous sommes en niveau trois,les choses se précisent,le coeur de l´étude.
Mais pour étudier,il faut ouvrir et donc je désactive mon utilitaire qui fait anti-virus,firewall et anti-trojan,sinon ceux sont les trois a désactiver.

zone alarm

Bon la surprise n´est pas nouvelle,on sait que c´est infecté,maintenant on sait aussi le nom de l´exécutable a rechercher.

extraction

Pour bien le "lire" j´ouvre un des meilleurs analyseur/débuggeur,OllyDbg,en commançant par le 1er,--VOORHEES.exe.

OllyDbg

Il fallait s´en douter,ce n´est pas du 32 mais bien 16 Bits.
Une confirmation,des fois que......avec ce bon vieux ResHack.

ResHack


Dans ce cas pas d´hésitation,l´éditeur exadécimal.
A lui on ne chante pas de romance,on s´ouvre et basta....non mais.
Edhex qu´on présente plus,compagnon de ResHack,sera en affichage Bytes/caractères

edhex

Bingo,je note l´adresse de l´Offset pour lancer la recherche en mode caractè;re.
Nous avons la confirmation que le premier exécutable lance l´extraction du run.exe.

edhex

bouton 1-Toujours ce run.exe que nous verrons aprés.
bouton 2-Le nom de la société éditrice,et son URL......miam miam.
Pour savoir quelle quelle bibliothèque ou exécutable sont modifiés par ce --VOORHEES.exe,la suite de la lecture en Bytes/caractères donne les renseignements.

edhex

Je fais des saisies d´écran et je mets précieusement de coté.
Pour faire les choses normalement,je vais aller voir ce run.exe.
Et là pareil,un coup de ResHack vu le poids,et en route avec Edhex pour connaitre bibliothèque et exécutable modifiés.

reshack

edhex


Je ferme le dossier,le compresse en .Rar,ça coute rien,et réactive mon utilitaire de sécurité et la connexion internet.
Je vais dire bonjour (d´abord parce que je suis poli) au lien trouvé et voir un peu ce qu´il propose.

lien suivi


Aloooooors là de l´or en barre !!!
La Licence Agreement ,n´oublions pas que ceux sont des sociétés trés sérieuses dont leurs spécialité est de fabriquer des programmes de controle,de traçabilité,de suivi,etc...
Plus ces programmes sont performant et plus ils sont vendus et plus chers bien sur.
bouton 1-Les liens des partenaires ayant signé la licence
bouton 2-Une partie des programmes développés.

A remarquer,que du beau linge,parmi les plus virulents sur le Net,ceux qui sont trés durs a éradiquer parce qu´ils laissent toujours des traces de partout.
Dans les forums techniques,rubriques sécurité,il suffit d´ouvrir un topic avec en titre juste un nom,et en explication: je l´ai.
Ca suffit,et la réponse de proposer de suite toute une armada de scan,de fix,etc......
Mais continuons de découvrir la page.

abuse et uninstall


Trés intéressant.....au moins une société sérieuse qui respecte la loi (a noter).
En effet,toutes sociétés éditrices ou sites qui accueillent,doivent de par la loi mettre à disposition un uninstall et un lien de rapport Abuse des programmes proposés.
Et n´importe quel programme ou utilitaire....ce que la loi a oublier de préciser,que ces uninstalls soient efficaces à 100% et les liens visibles.

Si celles qui proposent des logiciels "sains" le font pour les uninstall sans trop de problème et en général par ajout/suppression de programmes,celles qui nous concernent surtout pas.
Rien n´est plus difficile que de désinstaller un logiciel proprement si l´outil est mal fait,souvent volontairement.
N´ecouter pas chanter les sirènes,les traces restantes sont volontaires......ça vous apprendra a désinstaller.
Honnêtement,ils savent exactement quelles clés ou dossiers sont installés.....
Combien de temps il a fallu tirer les oreilles à Norton pour avoir un outils efficace pour désinstaller son usine à gaz.

Ceux qui frequentent les forums sécurité,savent qu´il est trés difficile d´accéder et de trouver ces liens d´uninstall,beaucoup de pages a ouvrir,des liens a trouver à la loupe.
De même tous doivent mettre à disposition un lien pour les rapports d´abuse.
La aussi c´est souvent comique.

...../.....



Modifié par griggione le 14/05/2009 18:13
griggione
 Posté le 27/08/2005 à 00:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

...../.....

Niveau pour tous

4-Eradication.

Une partie pour tous, particulièrement recommandée,pour l´ordre de passage des outils.
Ce n´est pas une "obligation",juste le résultat de quelques années d´expérience bien souvent malheureuses.

IMPORTANT,je fais toutes les mises à jour des listes de définitions de mes logiciels spécialisés.
C´est pour moi l´heure de lancer ce virus pour l´installer.
Je me déconnecte du Net,par habitude,puis quitte tous mes utilitaires et logiciels de protections.
J´en vois qui dodelinent de la tête et cherche le numéro de l´asile le plus proche.....(ils ont pas tort).

IM PRE SSIO NNANT

Des fenêtres qui s´ouvrent de partout trés furtivement et pas besoin de cliquer sur suivant.
La fenetre CMD aussi,ce qui prouve des installation sous DOS,aïe aïe aïe....je comprend mieux le 16 Bits.
Erreur de ma part,j´ai oublié de désactivé,AdWatch de Ad-aware,qui protège la base du registre en indiquant en temps réel les tentatives d´inscriptions.
J´ai dû cliquer plus de trente fois pour accepter ces modifications,ben oui autant aller jusqu´au bout.
C´est triste à dire,mais j´arrivais plus à suivre la cadence tellement j´était plié de rire.

Je comprend mieux maintenant l´appel au secours et la panique des infectés.
Du "gratiné" de chez Gratiné......du complet compréssé dans un éxécutable de 386Ko.
Tout ce qui se fait de mieux et de plus envahisseur en malwares.
Bref,du beau travail,réussi sur toute la ligne,20/20......du travail de pros.

Bon ben mon petit griggione,fini de rigoler,parce que le PC est non seulement de plus en plus difficile a controler,mais les applications commencent a disparaitre.
Pas de chichi,la grosse artillerie pour commencer !!!

ad-adware


Je crois que cela se passe de commentaire!
266 objets reconnus,dont 4 processus,3 modules,74 clés de registre,135 valeurs de registre,43 fichiers et 7 domaines identifiés.
¤ 1-Pas mal pour 368ko d´écriture.
¤ 2-Il est intéréssant de détailler un peu.

bouton-Les processus,nous les retrouvons dans le gestionnaire des tâches.
C´est une tâche en train de s´exécuter.
C´est la suite des phases d´organisation d´une opération ou d´une transformation.
Trop de processus au démarrage et donc en tâche de fond,ralentissent ouverture,navigation et fatiguent la RAM.
Dans le cas d´infection,soit de nouveau processus sont installés,soit plus grave,des processus système sont modifiés.
bouton-Les modules contiennent la plupart du temps des pilotes de périphériques et sont souvent liés à la version du noyau.
Modifier ces modules peut entrainer une déterioration non négligeable des périphériques.
bouton-Les clés du registres. Nom donné aux sous-dossiers les plus profonds du registre.
A l´intérieur, se trouvent des valeurs qu´un utilisateur averti peut modifier afin de personnaliser le comportement de Windows.
Tout passe par la base du registre,une simple action anodine peut la solliciter plusieurs fois.
Une simple modification en base du registre peut irrémédiablement bloquer le PC.
bouton-Valeur du registre. Une valeur est contenue dans une clé du registre.
C´est en modifiant les valeurs que change le comportement du système d´exploitation ou les logiciels.
bouton-Fichiers tout le monde connait. Mais modifier un fichier .ini par exemple peut modifier beaucoup de choses.
bouton-Là c´est interessant,car cela veut dire que sept dossiers sont créés. A noter et retenir pour la suite.
Pourquoi,mais tout simplement si par ajout/suppression de programmes,et donc en Program Files,il n´y a pas le compte,c´est qu´ils sont ailleurs.
Oui je sais,Lapalisse,on peut plus rigoler alors........en tous cas faut les trouver.

ad-adware


Nous allons maintenant voir un peu qui sont ces malwares en les identifiants par la récapitulation de l´analyse.
Nous retrouvons ceux découverts dans l´étude plus ceux qui n´apparaissent pas mais n´en sont pas moins des clients sérieux.
Pour mieux se rendre compte,prendre un nom et le coller dans un moteur de recherche.......et bonne lecture.
IMPORTANT:je note ces noms,cela me servira par la suite.
Mais il faut effectuer un premier nettoyage maintenant,pendant que je garde un peu la main.

ad-adware


263 objets seront supprimés........trois de moins,se sont les négligeables.
Voulez-vous Continuez.......ben je sais pas,je me tate,ça fait de la compagnie........mouais.
Evidemment que je veux continuer,j´ai des fenêtres qui s´ouvrent en me rouspétant parce que la connexion internet n´est pas active,etc....
Toujours dans la grosse artillerie et complémentaire,l´indispensable Spybot-Search & Destroy.

spybot


Hé oui,il en reste encore six et pas des moindres,qui en dehors de la BdR laisse d´autre traces.
Là aussi faut vite tout virer sans état d´âme.
Maintenant,tous ces fichiers,dossiers et clés d´enlevés,il faut de suite s´occuper de la base du registre.
Pareil,des outils éprouvés et efficaces,connus et surtout reconnus,commençons par RegSeeker.


regseeker



Il fallait s´en douter que toutes les clés n´était pas enlevées.
¤-1-Reste encore 157 clés
¤-2-En rouge les ActivX,trés souvent porteurs de toutes sortes de problèmes (voir ActivX)

On remarquera qu´un nom revient souvent,en réalité 42 fois,FUNCky 6.
Quand c´est trop faut faire une recherche.
------------------recherche faite aprés la fin du nettoyage------------------------
Les langages de FUNCky 6, j´ai vu ce site bien renseigné: ABOX
Allez voir,c´est complet et en français.

-FUNCky 6.0 est un impressionnant ensemble de fonctions et de composants qui vient suppléer les carences de nombreux langages de développement actuels.
-FUNCky 6.0 supporte 9 langages ou plateformes de développement différentes.

Suis ce qui peut être fait avec,quelques lignes seulement,voir le lien pour le reste des 50 fonctions:
-Examiner les domaines et les groupes de travail d´un réseau
-Vérifier les privilèges déadministration
----------------------------------
-Accéder à des protocoles déInternet
-Obtenir des adresses IP
----------------------------------
Enregistrer et supprimer des composants
Manipuler des éléments et des modéles

Ce qui prouve bien que ces societés qui fabriquent les malwares,et souvent pour les plus gros,sont parfaitement au courant et utilisent les techniques les plus pointues.
Elles utilisent les derniers langages,cherchent en permanence comment éviter les scans des utilitaires.
Mais faut continuer le nettoyage de la BdR.
La aussi,complémentaire et indispensable,la famille Power Tools,ici JV16 (d´autres produits suffisent,attention avec JV16).

jv16


Reste 48 clés,surtout des extensions inutilisées,mais il faut faire le ménage.
Je vais donc en base du registre: Démarrer>Exécuter>Regedit>OK

a


Rappellez-vous: IMPORTANT:je note ces noms,cela me servira par la suite.
Le principe est simple: Edition>Rechercher......et j´entre à tour de rôle les noms notés.

BdR


Comme il fallait s´en douter,la recherche manuelle permet de trouver plus précisement.
Quand on trouve,un clic droit>supprimer et F3 pour continuer.

BdR


¤ 1-Traces restantes.
¤ 2-Toute la liste est à virer.
Pour History et Domains,ils sont particuliers et c´est normal de voir une liste à rallonge.
Je vous recommande de lire la fin de ce tutoriel: Nettoyage,Entretien,Suivi

Normalement,le système d´exploitation est propre,mais dans un cas comme celui-là,il est toujours bon de continuer.
Pourquoi.....parce qu´il reste toujours des traces de liens obsolètes ou pas, présents et prêts a reprendre du service.
Je vais vérifier ou en général il en reste, au démarrage de windows,ben voyons.
Démarrer>Exécuter>msconfig>OK>onglet démarrage.

msconfig

msconfig


Ici il ne reste rien car j´ai perdu la bonne image,mais en vérité il me restait deux entrées.
Il faut enlever la coche et appliquer. OK pour finir.
Vu l´infection,une dernière vérification s´impose avec un outil qui ne s´installe pas et donc regarde de "dehors": HijackThis.

hijackthis


Quand je disais que c´était impressionnant,une petite dernière,en plus un lien de recherche sur le Net.
Alors fini!..........Rappellez vous,sept dossiers et que quatre en ajout/suppression de programmes.
Il faut les trouver et pour dormir tranquille,je vais finir en suivant le tutoriel. Nettoyage,Entretien,Suivi

Je les ai retrouvés,en Application Data,bien au chaud,sans exécutable,mais avec les fichiers qui notent le travail de fait et qui bien sur ne sont pas effacés lors de la désinstallation.
Ca peut servir ou être collecté pour une prochaine fois.

Ouf,la baguarre a été rude,mais passionnante !!!
Ca mêrite un bon Casanis bien frais et bien dosé (maison).
Le PC est propre. (jusqu´à quand....).

Merci de m'avoir lu



Modifié par griggione le 14/05/2009 18:27
diafoirus
 Posté le 27/08/2005 à 00:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Bonsoir griggione [hello] T'as vu le nombre de lignes à lire ? [boom] On se lachera demain [fete][trinquer2] En attendant: bravo [top]
philae
 Posté le 27/08/2005 à 00:53 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grande Maîtresse astucienne

Bonsoir Griggione, bonsoir diafoirus, Un grand [merci]à Griggione, pour qui ce tuto a du demander un bon nombre d'heures de travail....[clindoeil] Je lirai également cela à tête reposée demain.

Modifié par philae le 27/08/2005 00:53
boule de poils
 Posté le 27/08/2005 à 01:16 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucienne

Griggione bonjour, Sacré travail que tu nous proposes en lecture/apprentissage ! Tout ceci a dû te prendre un temps fou. Chapeau
[IMG]http://img397.imageshack.us/img397/8849/casanisverre191cd.gif[/IMG]
Quelqu'un te le remplira j'en suis sûre. Tu l'as bien mérité.
Publicité
pitiun
 Posté le 27/08/2005 à 01:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Bonsoir, je ne dirais qu'un mot: chapeau[chinois]
totoftotof
 Posté le 27/08/2005 à 02:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien
bonjour tout le monde griggione, félicitations pour ton tuto [merci][merci][merci][merci] [top][top][top][top] [trinquer2][trinquer2][trinquer2][trinquer2] [pc][pc][pc][pc]

Modifié par totoftotof le 27/08/2005 02:27
grizzli84
 Posté le 27/08/2005 à 09:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Merci Griggione quoique la lecture du paragraphe 3 m'ait nécessité 3 tubes d'aspirine et une boite de Prozac Quel boulot.... bravo
Milouze14
 Posté le 27/08/2005 à 10:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

salut à toutes et à tous bah là claude chapeau bas [chinois][chinois] Comme à ton habitude tes tutos sont clairs et pointilleux je pense finir ce dernier en fin de semaine prochaine il me semble que tu as oublié un accent sur un "e" [bigsmile][bigsmile] Encore merci [merci][merci] a++

Modifié par Milouze14 le 27/08/2005 10:51
blondin
 Posté le 27/08/2005 à 12:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Merci Griggione pour ce travail de titan...[maitre] Ca va me faire de la lecture pour cette après-midi tout ça
Coriolan
 Posté le 27/08/2005 à 12:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour mon ami griggione [clindoeil], Beau travail ! [chinois] Tu as bien mérité une double ration de ta boisson préférée ! [bierre] [clindoeil]
peterpan84
 Posté le 27/08/2005 à 12:23 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Salut Griggione et MERCI, Passionnant et inquiétant à la fois [confus]... Bon bin je vais virer google earth. Bravo pour ton travail [bierre]
philae
 Posté le 27/08/2005 à 14:16 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grande Maîtresse astucienne

bonjour à tout le monde
Passionnant et inquiétant à la fois ... Bon bin je vais virer google earth.
AU moins Griggione, tu vois que ton topic aura servi....c'est déjà beaucoup. [happy]
Publicité
Patator
 Posté le 27/08/2005 à 15:43 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien
Joli boulot! [maitre][maitre] Néanmoins, je voudrais apporter de petites précisions: Troyan Horses (chevaux de troie): on appelle cheval de Troie tout programme qui effectue une opération à l'insu de l'utilisateur. Une backdoor est un type de cheval de Troie. La différence fondamentale entre un virus et un cheval de Troie est que le virus se reproduit et le cheval de Troie non. [chinois]
MJo54
 Posté le 27/08/2005 à 18:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucienne

Bonjour à tous Maître Griggione a encore frappé ! Respect [chinois] [top] C'était donc ça que tu nous préparais quand tu t'es attaqué à Google Hearth Pro ! Suis contente de mon Google Hearth Free, moi [bigsmile] Je ne sais pas pour les autres, mais j'ai eu un irresistible besoin de scanner mon système avec toute la panoplie après cette édifiante lecture. Bon maintenant que tu as débusqué la bête, tu t'attaques à quoi [manger] [rougir]

Modifié par MJo54 le 27/08/2005 19:00
griggione
 Posté le 27/08/2005 à 20:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien
Bonsoir tous Mici,mici,mici......[happy] diafoirus,quelques lignes juste..... philae,quelques heures....3 jours. papatte01,quelqu'un qui me veut du bien. pitiun,merci. totoftotof,[bierre] grizzli84,heu.....j'ai simplifié au max.....si si. milouze14,encore des photte,je vais virer le tuto.... blondin,plus interessant que Dallas. Coriolan,merci docteur,je suis à la lettre tes ordonnances. peterpan84,il s'agit de la cerise,pas du programme. Patator,exact,pour la MàJ je mettrais à chaque si il y a duplication ou pas. MJo54,ben je vais finir les trois tutos en cours. .reg .cmd .bat Merci de votre soutien,ça encourage pour en faire d'autre. Tans pis pour vous [bigsmile][bigsmile]
griggione
 Posté le 27/08/2005 à 21:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien
RE OUPSSS.....j'ai oublié de demander. Si quelqu'un en connait d'autre,que je puisse completer [chinois]
sosso guyane
 Posté le 27/08/2005 à 22:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne
[hello]griggione, merci ,j'ai tout lu avec attention, mais pas tout compris, je pense que c'est normal, enfin pour le moment je n'ai pas trouvé de noms étranges sur mon pc. [chinois][chinois]
Br_Fr
 Posté le 27/08/2005 à 22:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne
Bravo griggione! Je n'ai pas tout compris mais je me suis quand même rendue compte de la somme de travail fournie pour nous expliquer cela! et comme d'autres j'ai scanné à tout va...Je n'ose pas encore aller farfouiller dans les clés et il faudra bien un jour que je m'y mette et je sais que je peux compter sur toi pour les explications! Merci griggione et [img]http://leela.smileys.free.fr/black.15.gif[/img]
griggione
 Posté le 27/08/2005 à 23:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien
Bonsoir les filles Merci! Comment ça pas tout compris,pourtant j'ai simplifié au maximum. En fin je pense qu'on parle de la partie 3-Etude. C'est vrai que c'est assez rébarbatif au début les recherches en héxadécimal. Mais si cela c'était ouvert avec OllyDbg,le premier outils choisi,je pense que j'aurais pas mis d'images,parce que là il y a plusieurs fenetres dans une (voir saisie) Et de plus je n'aurais pas montré comment voir le CPU,la mémoire,les handles,etc........c'est pas un tuto sur le cracking. Par contre j'espere que les autres parties vous ont convenue. Oui parmi les 3 tutos en route,un sur la base du registre.[langue]
boule de poils
 Posté le 27/08/2005 à 23:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucienne

gibrini13 a écrit :
Bravo griggione! Je n'ai pas tout compris mais je me suis quand même rendue compte de la somme de travail fournie pour nous expliquer cela! et comme d'autres j'ai scanné à tout va...Je n'ose pas encore aller farfouiller dans les clés et il faudra bien un jour que je m'y mette et je sais que je peux compter sur toi pour les explications! Merci griggione et [img]http://leela.smileys.free.fr/black.15.gif[/img]
Bonsoir Gibrini, si j'ai bien compri, si tu as la version free, tu n'as rien à craindre. Pas la peine de se prendre la tête ! Griggione si je me trompe tu cries..... mais pas trop fort !
griggione
 Posté le 27/08/2005 à 23:49 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien
Bonsoir papatte01 En effet pas de probleme,mais la version pro non plus,c'est le crack mis à disposition sur les sites (c'est le meme,j'ai vérifié),qui pose probleme.
Publicité
Pages : [1] 2 3 4 ... Fin
Page 1 sur 4 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !

Sujets relatifs
détection virus ?
Détection de virus
detection virus dans ccleaner chez virustotal
windows bloque mise a jour apres détection virus
Detection virus steal crypt.exe coment faire ? SVP
Détection d'un virus par l'anti-virus 'ALVIRA'
Antivir/Avast détection du virus Empire
Detection de virus
probleme virus sur messenger 2008 !
Virus ( 1er détection Antivir). trojan
Plus de sujets relatifs à VIRUS, Terminologie,Détection,Eradication.(2008)
 > Tous les forums > Forum Sécurité