[Résolu] Surveillance en temps réel et à la demande

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
noftal
Messages : 262
Inscription : 05 juil. 2009 14:34

[Résolu] Surveillance en temps réel et à la demande

par noftal »

Bonjour,

Ayant lu avec attention la plupart des recommandation de ce site en matière de sécurité (que je trouve très instructif), je me pose la question suivante pour Antivir et Spybot qui possèdent tous 2 un module de surveillance en temps réel (l'un pour les virus et l'autre pour les malwares).

Je tiens à préciser que j'utilise ces outils et les tiens à jour régulièrement (update automatique).

A priori, je pensais jusqu'ici que ces modules "guard" permettaient de s'affranchir de lancer un scan à la demande mais pas plus tard qu'aujourd'hui, j'ai eu l'intuition de lancer un scan complet sur spybot. Or celui-ci m'a trouvé un dialer que le module "guard" n'a visiblement pas su empêcher de s'installer.

Confirmez-vous que les modules de surveillance ne suffisent pas à empêcher les infestations d'objets contre lesquels ils sont sensés nous prémunir ?

Dans ce cas, à quoi ces modules servent-ils si l'on est toujours obligé de scanner à la demande aussi régulièrement qu'avant ?

Enfin, dernière question par curiosité, un peu plus technique : comment expliquez-vous que les modules de scan à la demande d'un logiciel donné détecte des objets que le module de surveillance du même logiciel n'a pas su détecter à son arrivée ?

Merci de vos réponses.
Dernière modification par noftal le 30 août 2009 21:29, modifié 1 fois.
SkyTech

Re: Surveillance en temps réel et à la demande

par SkyTech »

Salut,

1) Spybot n'as pas de guard, juste un TeamTimer qui contrôlent les modifications du registre.

2) AntiVir s'occupe aussi des spywares / adwares.

3) Souvent ce que Spybot détecte dans la base de registre lors d'un scan est bidon.

4) Spybot est obsolète, voir : http://forum.malekal.com/test-eradicati ... tml#p64338
noftal
Messages : 262
Inscription : 05 juil. 2009 14:34

Re: Surveillance en temps réel et à la demande

par noftal »

SkyTech a écrit :Salut,

1) Spybot n'as pas de guard, juste un TeamTimer qui contrôlent les modifications du registre.
Soit ! Je ne suis pas un pro en terme de terminologie
SkyTech a écrit : 2) AntiVir s'occupe aussi des spywares / adwares.

3) Souvent ce que Spybot détecte dans la base de registre lors d'un scan est bidon.
Est-ce le cas de
- eGroup.instantAccess, le dialer détecté par Spybot lors de ce scan ? Voici le rapport correspondant :

eGroup.InstantAccess: [SBI $3346D5A0] Réglages (Clé du Registre, nothing done)
HKEY_USERS\S-1-5-21-3986291120-2338647710-1859323729-1005\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\E6A6A4A475FCE37F8B5AC2F1244DEB2BFCA5615A

- Virtumonde.sdn, un trojan détecté par Spybot également lors du scan de ce matin ? Voici le rapport correspondant :

Virtumonde.sdn: [SBI $CEEBD3EB] Bibliothèque (Fichier, nothing done)
C:\WINDOWS\iwlandrvxpver.dll
Properties.size=53248
Properties.md5=9747A0BF3B85F9CD1D883642B08E9F1C
Properties.filedate=1142359370
Properties.filedatetext=2006-03-14 20:02:50

SkyTech a écrit : 4) Spybot est obsolète, voir : http://forum.malekal.com/test-eradicati ... tml#p64338
Soit ! mais dans ce cas comment se fait-il que Antivir ne m'ait pas trouvé ce dialer et ce trojan si tant est qu'il ne sont pas bidon ?
SkyTech

Re: Surveillance en temps réel et à la demande

par SkyTech »

Re,

Mouais ta clé de registre c'est un peu bidon, pour le fichier c'est à vérifier.

Télécharge Random's System Information Tool (RSIT) (de random/random) et sauvegarde-le sur le Bureau.
  • Double-clique sur RSIT.exe afin de lancer RSIT.
  • Clique Continue à l'écran Disclaimer.
  • Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
  • Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (qui sera affiché)
    ainsi que de info.txt (qui sera réduit dans la Barre des Tâches)
  • NB : Les rapports sont sauvegardés dans le dossier C:\rsit
  • Veille bien à me poster l'intégralité des rapports, vérifie qu'ils soient complets une fois que tu les as postés.
Et :

Fais analyser le(s) fichier(s) suivants sur Virustotal
  • Clique sur Parcourir en haut, choisis Poste de travail et cherche ce fichier : C:\WINDOWS\iwlandrvxpver.dll
  • Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  • Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
  • Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
  • Une nouvelle fenêtre de ton navigateur va apparaître
  • Clique alors sur cette image : Image
  • Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  • Enfin colle le résultat dans ta prochaine réponse.
Soit ! mais dans ce cas comment se fait-il que Antivir ne m'ait pas trouvé ce dialer et ce trojan si tant est qu'il ne sont pas bidon ?
Si c'est bidon, c'est normal que AntiVir trouve rien. PDT_028
Malekal_morte
Messages : 110235
Inscription : 10 sept. 2005 13:57

Re: Surveillance en temps réel et à la demande

par Malekal_morte »

noftal a écrit :3) Souvent ce que Spybot détecte dans la base de registre lors d'un scan est bidon.
Est-ce le cas de
- eGroup.instantAccess, le dialer détecté par Spybot lors de ce scan ? Voici le rapport correspondant :

eGroup.InstantAccess: [SBI $3346D5A0] Réglages (Clé du Registre, nothing done)
HKEY_USERS\S-1-5-21-3986291120-2338647710-1859323729-1005\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\E6A6A4A475FCE37F8B5AC2F1244DEB2BFCA5615A[/quote]

Regarde là : Panneau de conf / Option internet / onglet Contenu.
Clic sur Certificat, si t'as eGroup. ou Favorit ou Instant Access, supprime le certif.
Ca doit être ça que Spybot détecte.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 110235
Inscription : 10 sept. 2005 13:57

Re: Surveillance en temps réel et à la demande

par Malekal_morte »

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
SkyTech

Re: Surveillance en temps réel et à la demande

par SkyTech »

Re,

Ah ouais les certificats Navipromo, j'y avais pas pensé. PDT_037

Fais RSIT pour voir.

PS : petite erreur de citation. lol
noftal
Messages : 262
Inscription : 05 juil. 2009 14:34

Re: Surveillance en temps réel et à la demande

par noftal »

Rapport et réponses postées à malekal et skytech en MP
SkyTech

Re: Surveillance en temps réel et à la demande

par SkyTech »

Salut,

D'après le RSIT tu as dû brancher une clé USB infecté :
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
shell\AutoRun\command - D:\setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]
shell\AutoRun\command - H:\LaunchU3.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4029b5d1-063f-11de-8f0a-0016d311ae66}]
shell\AutoRun\command - F:\setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9a7125d0-7f15-11dd-8e54-0016d311ae66}]
shell\AutoRun\command - hgu.bat
shell\explore\command - hgu.bat
shell\open\command - hgu.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c825bf51-59bb-11dd-8e18-0016d311ae66}]
shell\AutoRun\command - hgu.bat
shell\explore\command - hgu.bat
shell\open\command - hgu.bat
Internet pas à jour, Adobe Reader non plus, Java non plus...

Bref y a de quoi faire. :)

Mais pas d'infections actives à priori.

Adobe Reader pas à jour, il contient des failles de sécurités, installe la dernière version.
(Désinstalle d'abord l'ancienne version via ajout\suppression de programmes qui porte le nom de Acrobat Reader 7.0)
voir : http://forum.malekal.com/exploitation-s ... ml#p104313

Internet Explorer pas à jour, il contient des failles de sécurités qui peuvent via des exploits sur des sites WEB conduire à l'infection.

Lire ce sujet IE6 VS IE 7 : Pourquoi maintenir son navigateur à jour ? et mets Internet Explorer 6 à jour.
En outre, tu peux faire un scan de vulnérabilités afin de vérifier que tes logiciels soient à jour sans failles de sécurités.

Installe Internet Explorer 8 : http://www.microsoft.com/downloads/deta ... laylang=fr

Java est pas à jour, installe la dernière version : http://www.java.com/fr/download/installed.jsp

Et :

Télécharge JavaRa (de Paul McLain et Fred de Vries)
  • Décompresse le fichier sur ton Bureau (clic droit > Extraire tout)
  • Double-clique sur le répertoire JavaRa obtenu.
  • Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher)
  • Clique sur Effacer les anciennes versions
  • Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok
  • Ferme l'application.
  • Poste le contenu de C:\JavaRa.log
Tu devrais désinstaller ces logiciels :
Ad-Aware SE Personal (obsolète et pas de protection en temps réel)
AVG Anti-Rootkit Free (superflu)
HP Help and Support (superflu)
Macromedia Flash Player 8 (version non à jour comportant des vulnérabilités)
Macromedia Shockwave Player (version non à jour comportant des vulnérabilités)
Windows Search 4.0 (superflu)
Refait un RSIT quand c'est fait.
noftal
Messages : 262
Inscription : 05 juil. 2009 14:34

Re: Surveillance en temps réel et à la demande

par noftal »

Merci pour ce diagnostic.
Hier, j'ai lu le billet sur l'infection des disques externes sur ce site.
Du coup, j'ai voulu vérifier si les 2 seuls "disques" que j'utilise étaient infectées ou non.
J'utilise une clé USB type U3 (dont la trace apparaît dans le rapport RSIT avec H:/LaunchU3)
et un DD externe de sauvegarde de 160Go (qui se monte sur F: normalement)

Si j'ai bien compris, pour vérifier l'infection d'un tel support, il faut ouvrir avec le bloc note le fichier autorun.inf présent sur ces supports (après avoir rendu ce fichier visible dans les options d'affichage)
- la clé U3 comporte bien un fichier autorun.inf mais celui-ci ne présente rien de suspect. Juge par toi-même :
[AutoRun]
open=LaunchU3.exe
icon=LaunchU3.exe,0

[Definitions]
Launchpad=LaunchPad.exe

[CopyFiles]
FileNumber=1
File1=LaunchPad.zip
En tout cas, les 2 fichiers Launchpad.zip et Launchpad.exe sont contrôlés sans infection par Antivir...

- le DD de 160Go ne comporte pas de fichier Autorun.inf. Après contrôle de ce support par Antivir, aucune infection signalée.

Du coup, j'en conclus que ces 2 supports ne sont pas infectés. Mon raisonnement est-il correct ?

S'ils ne sont pas infectés, comment auraient-ils pu l'avoir été et ne plus l'être sachant qu'à aucun moment, mes outils de sécurité ne m'ont nettoyé quoi que ce soit dessus ?

Je vais suivre tes conseils de prévention au sujet des mises à jour de logiciels et suppression de logiciels inutiles. Quelques remarques :
- n'utilisant par internet explorer 6 (bien qu'il soit natif sur mon ordi), je me suis toujours refusé à l'upgrader pour ne pas consommer inutilement de la place sur mon DD. Est-ce un motif acceptable ?
- je vais essayer de désinstaller shockwave mais je crains qu'il ne me soit utile pour certains sites web
- Perso, je ne comprends pas que certains logiciels que tu cites ne soient pas à jour (JAVA par exemple) car j'avais fait le nécessaire pour être alerté automatiquement des mises à jour. Je vais regarder.

Merci de ton aide précieuse.

Au fait, personne ne m'a répondu sur l'une de mes interrogations d'origine : la fonction guard d'Antivir rend-elle inutile le scan complet de l'ordi "à la demande" ? Sinon quelle est la répartition des rôles entre ces 2 fonctions ?
SkyTech

Re: Surveillance en temps réel et à la demande

par SkyTech »

Salut,

Je t'ai mis tous les mountpoints, mais c'est plus ça qui pue :
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9a7125d0-7f15-11dd-8e54-0016d311ae66}]
shell\AutoRun\command - hgu.bat
shell\explore\command - hgu.bat
shell\open\command - hgu.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c825bf51-59bb-11dd-8e18-0016d311ae66}]
shell\AutoRun\command - hgu.bat
shell\explore\command - hgu.bat
shell\open\command - hgu.bat
http://www.prevx.com/filenames/23683711 ... U.BAT.html

Donc bof, ça serait bien d'avoir l'avis d'angelique et\ou Malekal.
noftal a écrit : Du coup, j'en conclus que ces 2 supports ne sont pas infectés. Mon raisonnement est-il correct ?
Oui
noftal a écrit : S'ils ne sont pas infectés, comment auraient-ils pu l'avoir été et ne plus l'être sachant qu'à aucun moment, mes outils de sécurité ne m'ont nettoyé quoi que ce soit dessus ?
Une clé USB d'un proche mais ou autre...
noftal a écrit :- n'utilisant par internet explorer 6 (bien qu'il soit natif sur mon ordi), je me suis toujours refusé à l'upgrader pour ne pas consommer inutilement de la place sur mon DD. Est-ce un motif acceptable ?
Non tout logiciels installé sur un PC doit être à jour, de plus il sert au moins pour les mises à jour Windows.
noftal a écrit : - je vais essayer de désinstaller shockwave mais je crains qu'il ne me soit utile pour certains sites web
Tu as 2 versions, une à jour et l'autre non.
Adobe Shockwave Player-->C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32
Macromedia Shockwave Player-->MsiExec.exe /X{838A1BC9-95CA-4880-9BE3-2A7D23600A2B}
noftal a écrit :- Perso, je ne comprends pas que certains logiciels que tu cites ne soient pas à jour (JAVA par exemple) car j'avais fait le nécessaire pour être alerté automatiquement des mises à jour. Je vais regarder.
Toutes versions sont obsolètes, la dernière est sortie récemment, ce doit être pour ça.
noftal a écrit :la fonction guard d'Antivir rend-elle inutile le scan complet de l'ordi "à la demande" ? Sinon quelle est la répartition des rôles entre ces 2 fonctions ?
Non, tu peux scanner le PC de temps en temps car il suffit qu'un fichier pourris soit pas dans les défs d'AntiVir pour que le guard ne voit pas et si tu n'y retouche le guard ne le scannera plus, si une mise à jour l'ajoute au défs seul le scan pourras te le détecter.
noftal
Messages : 262
Inscription : 05 juil. 2009 14:34

Re: Surveillance en temps réel et à la demande

par noftal »

Faut-il que je clique sur "Remove this infection" à partir de ce site (ce site est-il fiable ?) ?
noftal
Messages : 262
Inscription : 05 juil. 2009 14:34

Re: Surveillance en temps réel et à la demande

par noftal »

SkyTech a écrit : Internet pas à jour, Adobe Reader non plus, Java non plus...
Bizarre quand même que Adobe Reader me dis qu'il n'y a pas de mise à jour lorsque je clique sur ?/Rechercher les mises à jour maintenant.

Là, ça va parce que tu me le dis, mais comment savoir à l'avenir qu'il y a des mises à jour si les fonctions de vérification automatique de MAJ ne disent pas la vérité ???
SkyTech

Re: Surveillance en temps réel et à la demande

par SkyTech »

Re,
noftal a écrit :Faut-il que je clique sur "Remove this infection" à partir de ce site (ce site est-il fiable ?) ?
Non attends qu'un helper en désinfection regarde à ton sujet.
noftal a écrit : Bizarre quand même que Adobe Reader me dis qu'il n'y a pas de mise à jour lorsque je clique sur ?/Rechercher les mises à jour maintenant.
C'est parce que ta version 7 doit être à jour mais bon à ta place soit je migrerais vers la v9 soit je prendrais une alternative :

http://forum.malekal.com/lecteur-viewer ... 17578.html
noftal a écrit :Là, ça va parce que tu me le dis, mais comment savoir à l'avenir qu'il y a des mises à jour si les fonctions de vérification automatique de MAJ ne disent pas la vérité ???
https://www.malekal.com/update_JAVA_Flash.php
Avatar de l’utilisateur
Topxm
Messages : 7942
Inscription : 08 nov. 2007 22:53
Localisation : Cognac !!!!!

Re: Surveillance en temps réel et à la demande

par Topxm »

Salut,

HGU.BAT c'est un fichier avec des commandes, donc ce qui serait bien c'est :
  • Clic-droit sur le fichier (surtout pas de double-clic) puis Modifier
  • ça va ouvrir le fichier dans le bloc-notes
  • tu copies/colles le contenu du bloc-notes dans ta prochaine réponse
  • ça permettra de se faire une idée de ce que fait le .BAT
merci
Image
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Securite informatique »