Page 4 sur 7
Publié : 07 mars 2008
par tux12
St-Dumortier a écrit :Comment fait-on pour le rechercher alors ?
Tristesir dit que l'exécution est transparente, ça veut dire que rien ne laisse apparaître qu'une infection est en train de se mettre en place sur la machine. C'est différent du fait de pouvoir détecter l'infection une fois celle-ci en place, en utilisant éventuellement pour ce faire les liens fournis dans un post précédent, où la méthode décrite par Tristesir.
tristesir a écrit :L'un des moyens de savoir si vous êtes infectés est de tenter de lancer le programme regedit.exe. Si avant vous aviez accès à la base de registre, et que maintenant vous ne pouvez plus, ce sera un signe
Je suppose qu'en utilisateur averti, tu utilises un compte à privilèges réduits, ce qui n'est pas le cas avec une installation standard qui ne crée qu'un seul utilisateur qui à les droits d'admin. Je crains que ceci ne puisse fausser la pertinence du test que tu proposes (sans certitudes néanmoins - à vérifier).
Couper l'accès au site
Publié : 08 mars 2008
par Yves
Je demande à notre hébergeur (couché à cette heure) de couper l'accès du site. Il le fera demain. Le temps de réparer tout ça.
Publié : 08 mars 2008
par tristesir
Je suppose qu'en utilisateur averti, tu utilises un compte à privilèges réduits,
Non justement, ce sont les cordonniers les plus mal chaussés
Il se peut que cette saloperie laisse votre disque dur en partage à n'importe qui connaissant votre ip aussi.
Ce genre de saloperie ca te transforme un ordinateur en libre service pour pique assiettes.
Publié : 08 mars 2008
par toit_de_chôme
Je n'ai pas eu d'alerte en venant par ici .... ou alors elle sont passées brievement dans la journée.
Publié : 08 mars 2008
par tristesir
Je ne sais pas comment rétablir l'accès à la base de registre simplement pour xp familial.
L'un des fichiers malveillants créé une sous-clef dans la base de registre:
HKEY_CLASSES_ROOT\CLSID\{b448d946-3623-42ab-ba32-c08651e36980}\InProcServer32
Et y'aura une valeur de clef comme suit:
C:\Program Files\Common Files\System\sys_vd4.dat
si vous avez installé windows sur le disque C:
Ca vous indique aussi où a été mis l'un des fichiers malveillants.
Et après vous enchainez avec ce que j'ai écrit plus haut.
Ce truc doit se charger en mémoire surement dès que vous lancer le gestionnaire de fichiers de windows ou internet explorer ou un autre programme. Il se confond avec un programme légitime et est quelque peu invisible.
Y'a aussi cette clef a nettoyé:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b448d946-3623-42ab-ba32-c08651e36980}\InProcServer32
La désinfection sera incomplète cependant.
Publié : 08 mars 2008
par tristesir
En surfant sur le net, je viens de découvrir que le problème est aussi expérimenté
ailleurs. C'est une page (en anglais) qui explique ce que je viens juste d'expliquer et qui fait des références à des outils.
Traduction
Publié : 08 mars 2008
par Mentor
Bravo Tristesir,
Il y a sûrement une bonne âme qui va traduire et mettre en post les outils en français. 
En lisant le sujet depuis le début je suis stupéfait des compétences informatiques étalées généreusement pour palier au problème. Comme Maguy, cet aspect la du fonctionnement informatique m'est inconnu. Au passage j'ai croisé à l'A.G. Tristesir que je savais "fou" mais ô combien sympathique, j'approfondis sa connaissance par son coté Kamikaze et "parlant une autre langue", certes comprise par certains d'entre vous 
Merci encore pour votre collégial soutien au problème informatique d'Actu découvert.
Amicalement votre,
Vincent
Publié : 08 mars 2008
par Ongles_noirs
Bonjour,
Ce que l'on peut aussi conseiller aux utilisateurs de Firefox c'est l'installation de cette extension
NoScript
Elle boquera tous les scripts présents dans une page.
Et pour ceux qui n'utilisent pas encore Firefox, ben passez aux Logiciels Libres...
Z'À++
Publié : 08 mars 2008
par Ongles_noirs
NoScript à l'oeuvre sur Actu :
Blocaqe du 1er script qui met la ruine :
Blocage des scripts si l'on se rend à l'url du 1er script :
Perso utilisant Firefox avec NoScript sous GNU/Linux je ne m'étais même pas rendu compte de l'infection d'Actu...
Z'À++
Publié : 08 mars 2008
par tux12
Bonjour,
Merci Ongles_noirs pour cette info sur NoScript. Je connais de nom, mais il va falloir que je finisse par envisager de m'en servir.
Publié : 08 mars 2008
par Mallo
J'ai suivi l'évolution de la discu, et je n'ai rien compris ...
Mais j'suis nulle en informatique faut dire aussi ...
Sous Mozilla pas de soucis il semblerait ...
Publié : 08 mars 2008
par romain23
16 anti programmes detectes ce matin et supprimes par mon systeme,
Et toujours le trojan qui se balade. Je supprime le fichier à chaque fois.
Enfin pas moi, l'antivirus. Sous Vista , les systemes de securité sont tels que meme moi meme , des fois je dois me donner l'autorisation d'acceder à mon propre ordinnateur.
Pour ceux qui sont sous Windows, effectivement ,comme je le disais et comme triste sir à expliquer, essayer d'accéder au registre pour eliminer les fichiers.
En tout cas ,pas d'affection en ce qui me concerne, mais j'ai scanné et rescanné, disque dur, cible et tout le soin soin.
Publié : 08 mars 2008
par Monolecte
Très bien NoScript : je le conseille à tout le monde!
Et utilisez Firefox!
Publié : 08 mars 2008
par maguy
Et utilisez Firefox!
C'est à dire qu'il faut donner Firefox comme navigateur principal ?
Je l'ai sur mon bureau et lorsque je clique dessus, il me demande si je le veux comme navigateur par défaut, c'est ça ????
Enfin Mozilla Firefox
Publié : 08 mars 2008
par jc26
+1 Marche bien noscript merci