[Résolu] Surveillance en temps réel et à la demande

[noftal]

Bonjour,

Ayant lu avec attention la plupart des recommandation de ce site en matière de sécurité (que je trouve très instructif), je me pose la question suivante pour Antivir et Spybot qui possèdent tous 2 un module de surveillance en temps réel (l'un pour les virus et l'autre pour les malwares).

Je tiens à préciser que j'utilise ces outils et les tiens à jour régulièrement (update automatique).

A priori, je pensais jusqu'ici que ces modules "guard" permettaient de s'affranchir de lancer un scan à la demande mais pas plus tard qu'aujourd'hui, j'ai eu l'intuition de lancer un scan complet sur spybot. Or celui-ci m'a trouvé un dialer que le module "guard" n'a visiblement pas su empêcher de s'installer.

Confirmez-vous que les modules de surveillance ne suffisent pas à empêcher les infestations d'objets contre lesquels ils sont sensés nous prémunir ?

Dans ce cas, à quoi ces modules servent-ils si l'on est toujours obligé de scanner à la demande aussi régulièrement qu'avant ?

Enfin, dernière question par curiosité, un peu plus technique : comment expliquez-vous que les modules de scan à la demande d'un logiciel donné détecte des objets que le module de surveillance du même logiciel n'a pas su détecter à son arrivée ?

Merci de vos réponses.

[SkyTech]

Salut,

1) Spybot n'as pas de guard, juste un TeamTimer qui contrôlent les modifications du registre.

2) AntiVir s'occupe aussi des spywares / adwares.

3) Souvent ce que Spybot détecte dans la base de registre lors d'un scan est bidon.

4) Spybot est obsolète, voir : http://forum.malekal.com/test-eradicati ... tml#p64338

[noftal]

Salut,

1) Spybot n'as pas de guard, juste un TeamTimer qui contrôlent les modifications du registre.

Soit ! Je ne suis pas un pro en terme de terminologie

2) AntiVir s'occupe aussi des spywares / adwares.

3) Souvent ce que Spybot détecte dans la base de registre lors d'un scan est bidon.

Est-ce le cas de
- eGroup.instantAccess, le dialer détecté par Spybot lors de ce scan ? Voici le rapport correspondant :

eGroup.InstantAccess: [SBI $3346D5A0] Réglages (Clé du Registre, nothing done)
HKEY_USERS\S-1-5-21-3986291120-2338647710-1859323729-1005\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\E6A6A4A475FCE37F8B5AC2F1244DEB2BFCA5615A

- Virtumonde.sdn, un trojan détecté par Spybot également lors du scan de ce matin ? Voici le rapport correspondant :

Virtumonde.sdn: [SBI $CEEBD3EB] Bibliothèque (Fichier, nothing done)
C:\WINDOWS\iwlandrvxpver.dll
Properties.size=53248
Properties.md5=9747A0BF3B85F9CD1D883642B08E9F1C
Properties.filedate=1142359370
Properties.filedatetext=2006-03-14 20:02:50

4) Spybot est obsolète, voir : http://forum.malekal.com/test-eradicati ... tml#p64338

Soit ! mais dans ce cas comment se fait-il que Antivir ne m'ait pas trouvé ce dialer et ce trojan si tant est qu'il ne sont pas bidon ?

[SkyTech]

Re,

Mouais ta clé de registre c'est un peu bidon, pour le fichier c'est à vérifier.

Télécharge Random's System Information Tool (RSIT) (de random/random) et sauvegarde-le sur le Bureau.

• Double-clique sur RSIT.exe afin de lancer RSIT.
• Clique Continue à l'écran Disclaimer.
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (qui sera affiché)
  ainsi que de info.txt (qui sera réduit dans la Barre des Tâches)
• NB : Les rapports sont sauvegardés dans le dossier C:\rsit
• Veille bien à me poster l'intégralité des rapports, vérifie qu'ils soient complets une fois que tu les as postés.

Et :

Fais analyser le(s) fichier(s) suivants sur Virustotal

• Clique sur Parcourir en haut, choisis Poste de travail et cherche ce fichier : C:\WINDOWS\iwlandrvxpver.dll
• Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
• Une nouvelle fenêtre de ton navigateur va apparaître
• Clique alors sur cette image :
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
• Enfin colle le résultat dans ta prochaine réponse.

Soit ! mais dans ce cas comment se fait-il que Antivir ne m'ait pas trouvé ce dialer et ce trojan si tant est qu'il ne sont pas bidon ?

Si c'est bidon, c'est normal que AntiVir trouve rien.

[Malekal_morte]

3) Souvent ce que Spybot détecte dans la base de registre lors d'un scan est bidon.

Est-ce le cas de
- eGroup.instantAccess, le dialer détecté par Spybot lors de ce scan ? Voici le rapport correspondant :

eGroup.InstantAccess: [SBI $3346D5A0] Réglages (Clé du Registre, nothing done)
HKEY_USERS\S-1-5-21-3986291120-2338647710-1859323729-1005\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\E6A6A4A475FCE37F8B5AC2F1244DEB2BFCA5615A[/quote]

Regarde là : Panneau de conf / Option internet / onglet Contenu.
Clic sur Certificat, si t'as eGroup. ou Favorit ou Instant Access, supprime le certif.
Ca doit être ça que Spybot détecte.

[Malekal_morte]

FP sinon l'autre fichier : http://forums.spybot.info/showthread.php?t=48592

[SkyTech]

Re,

Ah ouais les certificats Navipromo, j'y avais pas pensé.

Fais RSIT pour voir.

PS : petite erreur de citation.

[noftal]

Rapport et réponses postées à malekal et skytech en MP

[SkyTech]

Salut,

D'après le RSIT tu as dû brancher une clé USB infecté :

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
shell\AutoRun\command - D:\setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]
shell\AutoRun\command - H:\LaunchU3.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4029b5d1-063f-11de-8f0a-0016d311ae66}]
shell\AutoRun\command - F:\setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9a7125d0-7f15-11dd-8e54-0016d311ae66}]
shell\AutoRun\command - hgu.bat
shell\explore\command - hgu.bat
shell\open\command - hgu.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c825bf51-59bb-11dd-8e18-0016d311ae66}]
shell\AutoRun\command - hgu.bat
shell\explore\command - hgu.bat
shell\open\command - hgu.bat

Internet pas à jour, Adobe Reader non plus, Java non plus...

Bref y a de quoi faire.

Mais pas d'infections actives à priori.

Adobe Reader pas à jour, il contient des failles de sécurités, installe la dernière version.
(Désinstalle d'abord l'ancienne version via ajout\suppression de programmes qui porte le nom de Acrobat Reader 7.0)
voir : http://forum.malekal.com/exploitation-s ... ml#p104313

Internet Explorer pas à jour, il contient des failles de sécurités qui peuvent via des exploits sur des sites WEB conduire à l'infection.

Lire ce sujet IE6 VS IE 7 : Pourquoi maintenir son navigateur à jour ? et mets Internet Explorer 6 à jour.
En outre, tu peux faire un scan de vulnérabilités afin de vérifier que tes logiciels soient à jour sans failles de sécurités.

Installe Internet Explorer 8 : http://www.microsoft.com/downloads/deta ... laylang=fr

Java est pas à jour, installe la dernière version : http://www.java.com/fr/download/installed.jsp

Et :

Télécharge JavaRa (de Paul McLain et Fred de Vries)

• Décompresse le fichier sur ton Bureau (clic droit > Extraire tout)
• Double-clique sur le répertoire JavaRa obtenu.
• Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher)
• Clique sur Effacer les anciennes versions
• Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok
• Ferme l'application.
• Poste le contenu de C:\JavaRa.log

Tu devrais désinstaller ces logiciels :

Ad-Aware SE Personal (obsolète et pas de protection en temps réel)
AVG Anti-Rootkit Free (superflu)
HP Help and Support (superflu)
Macromedia Flash Player 8 (version non à jour comportant des vulnérabilités)
Macromedia Shockwave Player (version non à jour comportant des vulnérabilités)
Windows Search 4.0 (superflu)

Refait un RSIT quand c'est fait.

[noftal]

Merci pour ce diagnostic.
Hier, j'ai lu le billet sur l'infection des disques externes sur ce site.
Du coup, j'ai voulu vérifier si les 2 seuls "disques" que j'utilise étaient infectées ou non.
J'utilise une clé USB type U3 (dont la trace apparaît dans le rapport RSIT avec H:/LaunchU3)
et un DD externe de sauvegarde de 160Go (qui se monte sur F: normalement)

Si j'ai bien compris, pour vérifier l'infection d'un tel support, il faut ouvrir avec le bloc note le fichier autorun.inf présent sur ces supports (après avoir rendu ce fichier visible dans les options d'affichage)
- la clé U3 comporte bien un fichier autorun.inf mais celui-ci ne présente rien de suspect. Juge par toi-même :

[AutoRun]
open=LaunchU3.exe
icon=LaunchU3.exe,0

[Definitions]
Launchpad=LaunchPad.exe

[CopyFiles]
FileNumber=1
File1=LaunchPad.zip

En tout cas, les 2 fichiers Launchpad.zip et Launchpad.exe sont contrôlés sans infection par Antivir...

- le DD de 160Go ne comporte pas de fichier Autorun.inf. Après contrôle de ce support par Antivir, aucune infection signalée.

Du coup, j'en conclus que ces 2 supports ne sont pas infectés. Mon raisonnement est-il correct ?

S'ils ne sont pas infectés, comment auraient-ils pu l'avoir été et ne plus l'être sachant qu'à aucun moment, mes outils de sécurité ne m'ont nettoyé quoi que ce soit dessus ?

Je vais suivre tes conseils de prévention au sujet des mises à jour de logiciels et suppression de logiciels inutiles. Quelques remarques :
- n'utilisant par internet explorer 6 (bien qu'il soit natif sur mon ordi), je me suis toujours refusé à l'upgrader pour ne pas consommer inutilement de la place sur mon DD. Est-ce un motif acceptable ?
- je vais essayer de désinstaller shockwave mais je crains qu'il ne me soit utile pour certains sites web
- Perso, je ne comprends pas que certains logiciels que tu cites ne soient pas à jour (JAVA par exemple) car j'avais fait le nécessaire pour être alerté automatiquement des mises à jour. Je vais regarder.

Merci de ton aide précieuse.

Au fait, personne ne m'a répondu sur l'une de mes interrogations d'origine : la fonction guard d'Antivir rend-elle inutile le scan complet de l'ordi "à la demande" ? Sinon quelle est la répartition des rôles entre ces 2 fonctions ?

[SkyTech]

Salut,

Je t'ai mis tous les mountpoints, mais c'est plus ça qui pue :

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9a7125d0-7f15-11dd-8e54-0016d311ae66}]
shell\AutoRun\command - hgu.bat
shell\explore\command - hgu.bat
shell\open\command - hgu.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c825bf51-59bb-11dd-8e18-0016d311ae66}]
shell\AutoRun\command - hgu.bat
shell\explore\command - hgu.bat
shell\open\command - hgu.bat

http://www.prevx.com/filenames/23683711 ... U.BAT.html

Donc bof, ça serait bien d'avoir l'avis d'angelique et\ou Malekal.

Du coup, j'en conclus que ces 2 supports ne sont pas infectés. Mon raisonnement est-il correct ?

Oui

S'ils ne sont pas infectés, comment auraient-ils pu l'avoir été et ne plus l'être sachant qu'à aucun moment, mes outils de sécurité ne m'ont nettoyé quoi que ce soit dessus ?

Une clé USB d'un proche mais ou autre...

- n'utilisant par internet explorer 6 (bien qu'il soit natif sur mon ordi), je me suis toujours refusé à l'upgrader pour ne pas consommer inutilement de la place sur mon DD. Est-ce un motif acceptable ?

Non tout logiciels installé sur un PC doit être à jour, de plus il sert au moins pour les mises à jour Windows.

- je vais essayer de désinstaller shockwave mais je crains qu'il ne me soit utile pour certains sites web

Tu as 2 versions, une à jour et l'autre non.

Adobe Shockwave Player-->C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32
Macromedia Shockwave Player-->MsiExec.exe /X{838A1BC9-95CA-4880-9BE3-2A7D23600A2B}

- Perso, je ne comprends pas que certains logiciels que tu cites ne soient pas à jour (JAVA par exemple) car j'avais fait le nécessaire pour être alerté automatiquement des mises à jour. Je vais regarder.

Toutes versions sont obsolètes, la dernière est sortie récemment, ce doit être pour ça.

la fonction guard d'Antivir rend-elle inutile le scan complet de l'ordi "à la demande" ? Sinon quelle est la répartition des rôles entre ces 2 fonctions ?

Non, tu peux scanner le PC de temps en temps car il suffit qu'un fichier pourris soit pas dans les défs d'AntiVir pour que le guard ne voit pas et si tu n'y retouche le guard ne le scannera plus, si une mise à jour l'ajoute au défs seul le scan pourras te le détecter.

[noftal]

Salut,

http://www.prevx.com/filenames/23683711 ... U.BAT.html

Faut-il que je clique sur "Remove this infection" à partir de ce site (ce site est-il fiable ?) ?

[noftal]

Internet pas à jour, Adobe Reader non plus, Java non plus...

Bizarre quand même que Adobe Reader me dis qu'il n'y a pas de mise à jour lorsque je clique sur ?/Rechercher les mises à jour maintenant.

Là, ça va parce que tu me le dis, mais comment savoir à l'avenir qu'il y a des mises à jour si les fonctions de vérification automatique de MAJ ne disent pas la vérité ???

[SkyTech]

Re,

Faut-il que je clique sur "Remove this infection" à partir de ce site (ce site est-il fiable ?) ?

Non attends qu'un helper en désinfection regarde à ton sujet.

Bizarre quand même que Adobe Reader me dis qu'il n'y a pas de mise à jour lorsque je clique sur ?/Rechercher les mises à jour maintenant.

C'est parce que ta version 7 doit être à jour mais bon à ta place soit je migrerais vers la v9 soit je prendrais une alternative :

http://forum.malekal.com/lecteur-viewer ... 17578.html

Là, ça va parce que tu me le dis, mais comment savoir à l'avenir qu'il y a des mises à jour si les fonctions de vérification automatique de MAJ ne disent pas la vérité ???

https://www.malekal.com/update_JAVA_Flash.php

[Topxm]

Salut,

HGU.BAT c'est un fichier avec des commandes, donc ce qui serait bien c'est :

• Clic-droit sur le fichier (surtout pas de double-clic) puis Modifier
• ça va ouvrir le fichier dans le bloc-notes
• tu copies/colles le contenu du bloc-notes dans ta prochaine réponse
• ça permettra de se faire une idée de ce que fait le .BAT

merci