Aide à l'analyse de rapport fabar

[satsos49]

Bonjour,

Merci de m'accueillir dans le forum. J'aurai besoin d'aide de personne de bonne volonté. Je précise que je n'ai pas de problème (je pense pas en tout cas) de virus mais j'aimerai apprendre à analyser petit à petit par moi même les rapports comme celui de fabar par exemple qui semble etre populaire.

Je vous poste ceux que j'ai scanné sur mon pc à titre d'exemple pour essayer de comprendre et vérifier par la même occasion mon système.

J'accepte volontier des liens et je m'instruit en parallèle sur d'autres sites mais ce qui m'intérresse dans ce post c'est le caractère concret de la chose (le coté pratique est toujours plus interressant que la théorie).

Voici les rapports:

FRST.txt :
http://pjjoint.malekal.com/files.php?re ... 8e12i15k12

Addition.txt :
http://pjjoint.malekal.com/files.php?re ... 7b5b8x14t8

Je vais essayer d'orienter mon apprentissage par des questions :

Il y a t'il des choses qui parraissent suspectes dans ce rapport ? S'il y en a pas, il y a t'il des éléments qui puissent mettre la puce à l'oreille dans ce type de cas ? (par exemple un nom de fichiers légèrement mal orthographié avec l'inversion de deux lettres)

Lorsque l'on voit sur des forums qu'un fichier windows (dllhost.exe par ex) peut etre suspect, cela veut dire que le fichier en état n'était pas dangereux mais qu'il a été modifier ? Ou qu'il s'agit d'un faux fichier ? Dans le premier cas, de quelle manière à t'il été modifié ? Et s'il s'agit d'un faux fichier, où est passé celui d'origine ?

Dans mon rapport, j'ai pu voir "Le fichier est signé numériquement". Cela signifie quoi exactement ? Garanti t'elle la fiabilité et l'intégrité du fichier en question ?

Un fichier malveillant sera t'il forcément apparent dans un rapport ?

Voilà pour les premières questions, Merci pour ceux qui veulent bien prendre le temps pour répondre.

[Malekal_morte]

Salut,

C:\Windows\system32\dllhost.exe est légitime.

Rien d'anormal sur tes rapports.

[satsos49]

pour ce qui est des autres questions ?

[Malekal_morte]

Si tu parles de la question des fichiers sur les forums.
Sans paraître hautain, ne lis pas les avis des forums pour les fichiers spécifiques et virus.
Soit des âneries sont dites, soit tu vas "croire" que...

Je vais essayer d'expliquer (c'est forcément simple).

On prend le fichier svchost.exe, si tu veux savoir ce que c'est, regarde là : Le fichier svchost.exe.
Comme dllhost.exe, C:\Windows\system32\svchost.exe est légitime et appartient à Windows.

Si tu fais une recherche Google sur svchost.exe, tu vas avoir toute sorte de réponses et une partie non négligeable qui dit que c'est un virus.
Pour se dissimuler, certains virus prennent le nom svchost.exe mais l'emplacement est différent, il peut se loger dans
C:\Windows\system\svchost.exe (system et pas system32) - notamment dans le passé des Worm.SDbot
ou dans Appdata\Romaing\svchost.exe
Le gros avantage d'utiliser des noms communs, c'est que cela sème la confusion et surtout, si l'utilisateur lance le gestionnaire de tâches... tu as normalement plusieurs svchost.exe qui sont lancés... il en aura un de plus malicieux et ne le verra pas forcément.

et puis Antivirus se réveille et dit "svchost.exe est malicieux".
Donc le gars infecté avec son svchost.exe, il créé un sujet sur le forum de désinfection en disant "oulala svchost.exe, c'est un virus".
A partir de là, quand quelqu'un "comme toi", pose la question, t'as forcément quelqu'un qui va répondre oui c'est un virus sans savoir de quoi il parle, parce qu'il est tombé sur un de ces sujets ou son cousin un jour a eu un svchost.exe malicieux.
En plus, tu as les fiches de sites type clickodrome, qui n'ont rien à foutre des utilisateurs mais sont là pour faire de l'argent.
Ils te font des fiches de virus sur tout et n'importe quoi pour faire installer des logiciels type Spyhunter, Reimage Repair ou TrojanKiller et au bout du compte le faire acheter ou simplement pour générer des pubs depuis leurs sites.
=> genre : Les logiciels de nettoyage de Windows

En clair, si tu cherches sur Google, tu vas avoir tout et n'importe quoi comme réponse, à cause d'un effet perroquet.

En cas de doute sur un fichier, utilise virustotal

[satsos49]

Tout d'abord merci de tes réponses et je suis désolé de te faire developper autant tes réponses, étant donné ton activité sur le forum alors qu'il y a des personnes qui sont en situation de panne et que tu perds un peu de ton temps avec moi.

Avec ma volonté d'apprendre, je vais etre amener à poser d'autres questions donc je précise que si vous avez des liens fiables à me conseiller, toi ou un autre, je suis preneur, ca évitera de vous faire perdre votre temps à de longues discussions.

Tu viens de tout dire, en verité je ne suis pas du genre à ecrire sur les forums, j'ai plus tendance à lire ce qui à été déjà réalisé mais dans 80 % des cas, cela ne vise jamais le problème précis que tu as, et dans l'énorme majorité des cas la méthodologie n'y est pas expliqué , il n'y a que les solutions, ce que je comprends très bien. Et tu a souvent comme tu le dit des idées recues, car si j'écoute ce qui ce dit, la moitié de ma machine est défaillant et serait sur le point d'etre HS selon les symptomes que j'ai pu rencontré dans le passé.; or cela fonctionne toujours actuellement.

D'ou le fait que j'ouvre un sujet et que je laisse les personnes me répondre sur des points qui m'interresse spécifiquement. Mais je suis ouvert pour des liens ecore une fois et des liens que vous aurez filtré.

Et avec ta remarque, je pense que tu sera une bonne source d'informations. Si tu as le temps de me répondre sur des questions futures que je posterai ici, je voudrais bien avoir des infos.

Merci bien

[Malekal_morte]

de rien.
La qualité des réponses, ça dépend aussi, du temps, fatigues etc.
Et puis des fois, on passe à côté des trucs.

[satsos49]

oui, je comprends tout à fait ça. C'est pour ca que j'essaie de varier et de poster sur plusieurs forums.

Pour en revenir à ce que tu disais, le fichier svchost.exe format virus (pas le légitime) ne peut pas se loger dans systeme32. Pour quelle raison ? Un virus ne peut donc pas s'installer dans n'importe quel répétoire de windows ?

Concernant le site virustotal, s'il on a un fichier qui est reconnu comme un fichier malicieux par deux antivirus (et pas forcémenbt les antivirus les plus connu) et pas pour les autres, faut t'il en conclure que l'on se doit d'avoir des soupcons et que cela est sujet à interprétation ou que cela en est un (ou pas) ?

[Malekal_morte]

Par rapport à notre discussion, j'ai fait ce sujet sur le site : Les processus systèmes de Windows

Pour en revenir à ce que tu disais, le fichier svchost.exe format virus (pas le légitime) ne peut pas se loger dans systeme32. Pour quelle raison ? Un virus ne peut donc pas s'installer dans n'importe quel répétoire de windows ?

Parce que ce fichier est nécessaire au fonctionnement de Windows.
Si tu remplaces par un fichier malicieux qui n'a rien à voir avec le fichier original, Windows ne fonctionnera plus comme il faut.

Eventuellement, il est possible de patcher, c'est à dire modifier le fichier original, souvent, la modification est très sommaire pour charger une autre charge virale, voi[r : Trojan.Patched

C'est aussi ce que font les virus (au sens strict du terme) quand il infecte un fichier

Concernant le site virustotal, s'il on a un fichier qui est reconnu comme un fichier malicieux par deux antivirus (et pas forcémenbt les antivirus les plus connu) et pas pour les autres, faut t'il en conclure que l'on se doit d'avoir des soupcons et que cela est sujet à interprétation ou que cela en est un (ou pas) ?

Il y a pas de réponse, ça dépend quels antivirus, certains ont des détections heuristiques très sensibles.
Par exemple, ils peuvent détecter des cracks systématiquement comme malicieux alors qu'ils ne sont pas.

Pour statuer faut regarder les infos du fichier, ça peut aussi donner des indications.
=> Virs : lecture avancée de rapport de scan.

[gelphome]

Bonjour

J'ai ce blocage du Google par un appel vers un numéro de telephone.

J'ai suivi le tutoriel et vous joins les liens

http://pjjoint.malekal.com/files.php?id ... z5j15h11k9

http://pjjoint.malekal.com/files.php?id ... g5j8r7g9b6

http://pjjoint.malekal.com/files.php?id ... w12n9r13e5

d'avance merci

[Malekal_morte]

Il s'agit d'un message d'arnaque de support téléphonique qui vise à te faire croire que ton PC est infecté pour te faire appeler un support téléphonique....
Le but de ce support est de te conforter dans le fait que ton ordinateur est infecté, pour va te faire acheter des logiciels à des prix élevés, souvent au final 200 euros.
Ces messages cherchant à bloquer le navigateur WEB et indiquant que le PC est infecté viennent de publicités sur des sites de streaming/torrent illégaux. (voir Les virus sur les sites de streaming).

Cela peut aussi aller par des campagnes téléphoniques, où tu reçois un appel par un technicien se faisant passer pour Microsoft.
Ton ordinateur n'est pas infecté.