ArthurAuguste
Messages postés107Date d'inscriptionlundi 7 février 2011StatutMembreDernière intervention17 février 2018
-
11 juil. 2011 à 13:46
ArthurAuguste
Messages postés107Date d'inscriptionlundi 7 février 2011StatutMembreDernière intervention17 février 2018
-
16 août 2011 à 23:01
L'autre jour j'ai cliqué par mégarde sur pctutto (croyant comme c'était écrit que c'était une notice), mais compte tenu du taux inhabituel de mises à jour qui a suivi, j'ai réagi immédiatement en restaurant mon système à une date antérieure au jour où j'avais cliqué sur pctutto, ce qui fait que je n'ai jamais eu de pubs intempestives sur mon micro.
Comme malgré la restauration des registres, il me restait dans les registres un résidu de référence à "Agence-exclusive" probablement un simple commentaire, j'ai voulu par précaution contacter des sites de désinfection comme zebulon ou commentçamarche.
Depuis, sans explications, on arrête pas sur ces sites là de me faire passer des programmes: Ad-remover, ZHPDiag, TDSSkiller, TFC, Malwarebytes (MBAM), Rogue Killer, ZHPFix, MBRCheck, USBFix, ComboFix, j'en oublie peut-être, ça n'en finit plus, j'ai l'impression qu'on me fait tester tous les programmes des petits copains, j'envoie des rapports à chaque fois, il n'y a jamais de retour d'analyse des rapports, sauf pour me dire de passer des programmes supplémentaires.
Les seuls résultats de ces programmes c'est de m'avoir sucré des programmes que j'avais achetés, des patches que j'avais installés moi-même et même le service qui gère ma carte PCMCIA de linksys pour l'accès au Wifi et tout ça sans aucun rapport avec mon problème (ou faux problème) du début.
Avez-vous un avis sur ces sites de désinfection ?
Merci
cs_patatalo
Messages postés1466Date d'inscriptionvendredi 2 janvier 2004StatutModérateurDernière intervention14 février 20142 12 juil. 2011 à 15:38
salut,
Perso, si je devais faire un malware, la première chose que je tenterais serait d'infecter en pire les restaurations. Les fichiers ne sont pas en cours d'utilisation et on doit pouvoir les modifier facilement. C'est pourquoi je fais ça en manuel en dupliquant system32\config à l'aide d'un live-cd. En faisant cela directement avec le repertoire system32, on preserve les pilotes et dll du système en plus.
Un autre moyen de securiser son Windows est d'utiliser un compte Utilisateur plutôt que Admin. Surtout pour aller surfer. A combiner avec un "runas" si on prefere garder son compte admin.
En ce moment, je surf avec un linux rom donc pas de problème de virus.
L'idée que je n'ai pas encore mise en place serait de loguer en root sans mot de passe, ouvrir un compte utilisateur et changer le mot de passe root avec une valeur aléatoire de n caractères. Le mot de passe devient très dur à casser en brute force car il serait changé à chaque boot et ne serait pas lié à non plus à une personne. L'utilisateur pourra ensuite communiquer avec le compte root par un pipe qui limitera les actions possibles. Ca simulera un sudo mais sans reclamer un mot de passe à l'utilisateur.
Je n'utilise pas ces sites et je pense que desinfecter un PC est une mesure trop tardive. Surtout si on passe par des outils logiciels connus.
ArthurAuguste
Messages postés107Date d'inscriptionlundi 7 février 2011StatutMembreDernière intervention17 février 2018 12 juil. 2011 à 22:37
Salut,
C'est certainement bien, mais je n'ai pas tout compris.
Sauver System32 sur un CD, je comprends mais qu'advient-il chaque fois qu'il y a une mise à jour automatique dont l'exécutable est dans system32 ? Est-il possible et pas trop contraignant de surveiller en permanence qu'une mise à jour de windows ou d'un autre logiciel ne va pas changer un .exe ou une dll ? le CD ne risque-t-il pas rapidement de n'être plus en phase ?
Compte utilisateur ou pas, là je commence déjà à moins bien comprendre, tu veux dire que si je suis sur un compte administrateur, je fais runas avec un autre compte pour ouvrir les programmes que je télécharge pour éviter qu'ils s'exécutent avec les privilèges administrateur ? Si c'est ça que tu veux dire, il me semble qu'il n'y aurait pratiquement plus de programmes téléchargés qui pourraient s'exécuter car il y en a très peu qui ne cherchent pas à accéder aux registres. Question: est-ce que si je suis sur un compte administrateur et que je fais runas avec un autre compte ça empêche un .exe d'accéder aux registres même si ce dernier a un fichier manifest avec un requireAdministrator ?
Concernant ton dernier paragraphe, là je n'ai plus rien compris, désolé.
@+
cs_LA_Tupac
Messages postés305Date d'inscriptionjeudi 29 avril 2004StatutMembreDernière intervention18 janvier 20121 13 juil. 2011 à 18:51
Salut, les sites de désinfection ne font que scanner tes fichiers. Hors comme patatalo dit, les malwares & autres sont bien plus malins que ça
Il s'integrent dans tout et nimporte quoi: le MBR, le systeme, les drivers... parfois ils se dump (clone) en mémoire pendant l'analyse puis se redump sur le disque.
Bref un bon antivirus AVEC protection résidente est indispensable sous windows.
Pour un traitement curatif, il vaut mieu faire l'analyse via une tièrce machine saine et équipée d'un antivirus. Ainsi la menace ne sera pas chargée en mémoire et si l'antivirus la connait il la supprimera sans peine.
ps: à oublier: avast,avira,panda. (j'en oublie mais c'est les plus courants)
ArthurAuguste
Messages postés107Date d'inscriptionlundi 7 février 2011StatutMembreDernière intervention17 février 2018 14 juil. 2011 à 09:34
J'ai un antivirus payant et son pare-feu très à jour, je reçois tous les jours des mises à jour (McAfee), je crois qu'il est efficace car il détectait entre autres choses des chevaux de troie sur pratiquement tous les programmes de désinfection qu'on me demandait de passer (j'étais obligé de l'arrêter momentanément).
La question que je me posais en fait c'était si ça avait été vraiment utile que je m'adresse à ces sites de désinfection, pour deux raisons:
1.- quand j'ai cliqué par mégarde sur pctutto (agence-exclusive), infection qui est sensée envoyer des pubs intempestives, je m'en suis aperçu rapidement du fait d'un taux de mises à jour anormal et j'ai rapidement restauré mon système à une date antérieure au jour où j'avais cliqué sur pctutto. De ce fait je n'ai pas eu le temps de constater l'envoi de pubs intempestive.
2.- j'ai effectivement comme je l'ai dit un antivirus et un pare-feu à jour.
Donc en fait, je ne constatais pas de problème avant de m'adresser à ces sites, je m'y suis adressé par pure précaution.
De plus quand je prends un peu de recul sur les "soi-disant infection" que les programmes de désinfection m'ont fait enlever, je constate:
1.- ils m'ont tué ou fait enlever des outils un peu particuliers dont j'étais conscient (depuis longtemps) de la présence comme keyfinder ou des patches que j'avais volontairement et en connaissance de cause installés depuis bien longtemps, mais tous sans aucun rapport avec le problème de précaution pour lequel je consultais.
2.- Parmi les programmes qui ont été supprimés, je constate en outre avec recul deux programmes bien précis: Registre Cleaner et RegistreBooster ce dernier je venais de l'acheter récemment (pour la 2ème fois d'ailleurs)
3.- Toujours avec du recul, je constate que pour terminer la désinfection on me demande d'installer Ccleaner version Slim qui est en fait un programme payant concurrent des deux programmes tués au point 2 !!!
Alors, je me pose des questions, ces assistants des sites de désinfection qui répondent du tac au tac presque 24H/24, ils doivent bien quelque part être rémunérés par un moyen ou par un autre, ça n'est quand même pas une entreprise philanthropique?
C'était ça aussi le deuxième sens à ma question...
Vous n’avez pas trouvé la réponse que vous recherchez ?
cs_ghuysmans99
Messages postés3983Date d'inscriptionjeudi 14 juillet 2005StatutMembreDernière intervention30 juin 201316 16 août 2011 à 11:54
@patatalo +1
ils doivent bien quelque part être rémunérés par un moyen ou par un autre, ça n'est quand même pas une entreprise philanthropique
La plupart ne sont capables que de lancer ces programmes ("magic button") et de voir ce qu'ils disent d'anormal. Ils pourraient très bien être rémunérés (ou pas, comme nous) mais ça m'étonnerait qu'ils le crient sur tous les toits. Par contre MBAM et ComboFix fonctionnent vraiment (utilisés pour virer TDSS.RTK).
Perso je ne me fie pas du tout aux points de restauration pour deux raisons : un point de restauration ne sauve pas tout (et massacre la config quand on en restaure un) et ces PR peuvent être corrompus par les malwares eux-mêmes !
VB.NET is good ... VB6 is better
Utilise Réponse acceptée quand un post répond à ta question
cs_LA_Tupac
Messages postés305Date d'inscriptionjeudi 29 avril 2004StatutMembreDernière intervention18 janvier 20121 16 août 2011 à 17:48
@ghuysmans99:
+1 : Mbam est le meilleur antimalware connu. (Combofix sert plus à réparer les modifs de la BDR et autre...)
+1 : le system restaure est souvent la cible des spywares.