Aller au contenu

Remiblues

Membres
  • Compteur de contenus

    5
  • Inscription

  • Dernière visite

À propos de Remiblues

  • Rang
    Newbie

Visiteurs récents du profil

Le bloc de visiteurs récents est désactivé et il n’est pas visible pour les autres utilisateurs.

  1. Remiblues

    recrudescence d'arnaque

    gilou65, Comme les techniciens «« selon les sujets observés »», ne doivent pas aller sur les forums de désinfection pour leur client. Alors. Vous ne devez pas être un technicien «« qui discutent de l'utilisation de FRST »». Effectivement. Y a des sites d'experts pour newbie et autres forums de désinfections. Sauf que tous sans exception, semblent tenir à ce que vous restiez newbie. Puisqu'il ne vont jamais plus loin que de recommander le fameux scan antivirus, pour désinfecter un ordinateur. Auquel s'ajoute les scanners AdwCleaner etc. Et pourtant. L'utilité des points de chargement en désinfection, est tellement important. La preuve. Les désinfecteurs auxquels on fait appels, après qu'antivirus et scanners aient échoués à la tâche, Qui utilisent des logiciels de diagnostique, dont la principale tâche est d'afficher tous les points de chargement. Alors. Au lieu d'un simple clic avec FRST etc. On peut aussi utiliser les différentes fonctions de Windows, en plusieurs clic. Aussi. Sachant que près de 99% des infections utilisent des points de chargement, pour s'activer. Et dans un moindre %, des rootkits. Présentement, selon l'actualité virale. Les points de chargement suivants, sont utilisés par la grande majorité des infections. • msconfig [Démarrage] & [Services]..en cochant ; Masquer les services Microsoft. • Les Tâches planifiées à ne jamais négliger. Ceux Logiciels, donc sans les sous-rép. Microsoft et WPD. • Les Extensions de navigateurs. • D'un peu moins fréquent, mais toujours important, les Drivers Logiciels (= non-Microsoft). • Auxquels on doit ajouter, les Désinstallateurs de Logiciels pour les PUPs(p'tits logiciels inutiles). Et le spécial adware. Si des pages de pubs s'affichent régulièrement durant la navigation. Alors cela vient d'une extension du navigateur Ou de Windows, avec ; un proxy ou des IP de DNS ou la couche TCP/IP ou le HOSTS ou DNSapi.dll. Si la page de pub se présente qu'une fois, lorsque l'utilisateur ouvre le navigateur. Cela vient soit de raccourcis de navigateurs, contenant l'adresse http;// dirigeant sur la page de pub. Ou de l'entrée de registre StartMenuInternet, qui contient une adresse http;//.. Et. Si le navigateur s'ouvre dès l'ouverture de Windows, sans intervention de l'utilisateur, en affichant qu'une "1ière" page de pub. Cela vient d'un point de chargement au [Démarrage]. • Soit CMD.exe ou Explorer.exe ..suivit d'une adresse http;// "de pub". ⇐ Supprimer le point de chargement. Aussi. Une Tâche planifiée peut être utilisée, pour remettre en place un adware supprimé au Démarrage. La tâche planifiée contiendrait ; REG ADD HKLM\Software\ .. \Run /v LaValeur /t Reg_SZ /d "CMD.exe http:\\..pub" Pour le reste. Sans diagnostique à l'appui qui pointerait directement sur le point de chargement d'un adware. On est un peu obligé de fixer tous les endroits susceptibles d'être porteur de cette infection. • Commencer en Réinitialisant le navigateur à ses valeurs par défaut. «« inutile de le désinstaller / réinstaller. »» http://www.commentcamarche.com/faq/26679-reinitialiser-son-navigateur Et si cela ne donne pas de résultat, continuer avec la suite jusqu'à ce qu'il y ait plus de pub. Pour les IP des serveurs DNS. • Dans les Propriétés des connexions; Local et wifi. • Sélectionner → Protocole TCP/IPv4. ..Et si nécessaire. • Cocher ◉ Obtenir les adresses des serveurs DNS automatiquement. Pour le fichier de Windows DNSapi.dll, qui peut avoir été modifié par un adware. • Lancer ; sfc /scannow Réinitialiser le fichier Hosts avec une nouvelle liste à tous les 30 jours. • Télécharger et décompresser ce fichier. • Lancer mvps.bat par un clic-droit - En tant qu'admi. Pour la couche TPC/IP, • Ouvrer l'invité de commande en tant qu'Admi. • Entrer ; Netsh int ip reset et valider. • Suivit de; Netsh Winsock reset et valider. Après. • Redémarrer l'ordinateur Pour le 1ier Proxy. • Panneau de config → Options Internet → Connexion → [Paramètres réseau]. • Décocher ; Utiliser un serveur Proxy pour votre réseau .. Pour le 2ième proxy "accessible que du registre". • Dans HKLM\System\CurrentControlSet\Services\NlaSvc\Parameters\Internet\ManualProxies → à la Valeur ; (par défaut) • Réinitialiser à vide le contenu de la Valeur (par défaut). Et, • Dans HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings → à la Valeur ; AutoConfigURL • Supprimer la Valeur AutoConfigURL. Pour les raccourcis. Sur le bureau et dans le Menu Démarrer etc. • Dans les Propriétés → Cible, des raccourcis de navigateurs. • Supprimer que l'adresse http//.. qui suit après l'.Exe du navigateur. Les entrées de registre StartMenuInternet, sont dans ; HKCU\SOFTWARE\Clients\StartMenuInternet\ «« le Navigateur »» \shell\open\command. HKLM\SOFTWARE\Clients\StartMenuInternet\ «« le Navigateur »» \shell\open\command. HKLM\SOFTWARE\Wow6432Node\Clients\StartMenuInternet\ «« le Navigateur »» \shell\open\command. • Dans la valeur (par défaut), supprimer que l'adresse http:// qui suit après l'.Exe.du navigateur.
  2. Remiblues

    recrudescence d'arnaque

    Effectivement, farfouiller dans le registre n'est jamais le 1ière option recommandée. Et lorsqu'on y est forcé, c'est avec beaucoup de vigilance, sauvegardes, etc. Ce qui n'est pas nécessaire lorsqu'il s'agit d'infections, Puisque la principale tâche de FRST, est d'afficher tous les points de chargement ; de Windows et des logiciels. Et que les infections, doivent forcément utiliser les mêmes points de chargement, pour s'activer. Alors. Peu importe la date d'apparition des infections ou le type d'infection. ⇐ Lacunes des antivirus et scanners. S'il y a infection, c'est affichés. «« généralement »» De plus. Sans en être un spécialiste, les rootkits font l'objet de recherches(couche TCP/IP, fichiers systèmes etc). Et en prime. FRST affiche les erreurs ; de l'Observateur d'événements & du Gestionnaire de périphérique. Ce qui permet de ratisser plus large que le domaine viral, pour retracer des bugs. Spécial adware(les pub). Si le Démarrage(qui peut être accompagné d'une Tâche planifiée) ou une Extension de navigateur, peuvent en être. Ex ; au Démarrage(dans msconfig) avec ; Cmd.exe ou Explorer.exe suivit d'une adresse http://.. Une tâche planifiée peut même servir à remettre en place un point supprimé(désinfecté) au Démarrage. Aussi. «« Au tout début (avant les navigateurs) de la Section "Internet" dans rapport FRST.txt. »» • Les adware viennent, soit ; des IP des serveurs DNS ou d'un Proxy. • Ou. Qui peuvent avoir été modifiés ; la couche TCP/IP "du registre" ou le fichier système DNSapi.dll == rootkit. À propos. À part un Proxy qui pourrait venir d'une application(..rare) "à vérifier". Et les IP de DNS (souvent non affichés parce qu'en liste blanche) qui peuvent venir du Routeur/FAI/employeur ou l'université = safe. Plus fréquent, y a que des IP de DNS ««tout de même à vérifier»» qui sont affichés et souvent safe. Lorsque d'autres de ces objets sont affichés (rare), généralement ils sont à zapper. Y a aussi les entrées de registre StartMenuInternet & les raccourcis, qui peuvent être affublés d'une adresse http. Et le fichier Hosts. Au début de la section Internet, le nb de lignes du fichier Hosts est affiché = un prétexte pour pointer sur sa section dans Addition.txt. Les StartMenuInternet sont affichés dans la section Internet de FRST.txt, à la dernière ligne de chaque navigateur. Et. Cocher l'option Shortcut et vérifier les lignes InternetURL dans le rapport Shortcut.txt.
  3. Remiblues

    Présentation

    Salut, Je m'intéresse à la sécurité informatique. Ce qui devrait intéresser des techniciens qui à l'occasion doivent être multitâche.
  4. Remiblues

    recrudescence d'arnaque

    Salut, WOW Si vous êtes la seule référence en informatique de vos clients. Même si vous n'êtes pas des experts en cybercriminalité. «« Quoi qu'avec internet ! »» Vous connaissez l'actualité virale. Communiquer.la ! Préparer et faite parvenir ««régulièrement»» une liste de mesures de sécurité à appliquer, par courriels à vos clients. Et assurez le suivit quand vous les rencontrez. Aussi. Utiliser l''actualité comme prétexte pour relancer les clients, avec de nouveaux exemples sur le phishing & les ransomware. ««Régulièrement 3-4 fois / année.»» Ex. Revirement de situation - Intel déconseille d'installer ses patchs contre Meltdown/Spectre. Quelques mesures pour, se protéger des hackers et de soi même. Un article avec description complète sur le phishing. Réf. Wiki et internet pour un supplément avec des exemples. - Lesquels viennent majoritairement, de courriels de sociétés connues-Fake et dont le but est que la victime se logue sur un site Fake ==>> le serveur du hacker. - Ou un script sur un site qui affiche à pleine page dans le navigateur, ces pseudo services tech. de Microsoft, comme ChapSteph et Makarov62 mentionnaient. - Ou encore de pseudo Tech. Qui traverse le navigateur via un exploit, pour s'installer dans un point de chargement "généralement au Démarrage". - De Facebook qui fait régulièrement l'objet de piratages, comme SkySky. P.S. Si ton institution financière envoi un courriel avec lien Web, qui demande se loguer = suspect. Vérifier l'adresse http://.. à la recherche d'un préfixe hors norme. Aussi. Au lieu du lien Web du courriel, utiliser le favori de l'institution qui dans le navigateur. Sur les ransomware qui transit en majorité, via des pièces-jointe(.Exe. .Zip. Pdf, Word, Excel, etc) de courriels inconnus. ««Les fausses factures etc.»» - Même avec les courriels d'origine connus avec pièce-jointe. Avant de lancer la pièce-jointe, vérifier avec l'expéditeur qui pourrait s'être fait piraté ses contacts. «« Aucun antivirus(avec 3-4 jours de retard) n'est mieux placé que l'utilisateur, pour évaluer efficacement les courriels d'origines inconnus & connus-Fake. »» P.S. Utiliser n'importe quel autre lecteur pdf qu'Adobe, qui est ciblé par les pirates Et Désactiver Windows Script Host, pour le code VB illicite susceptible d'être contenu dans des fichiers Word, Excel .. Pareil avec les supports USB d'origines inconnus, qu'on ne doit jamais ouvrir par un double-clic. Mais plutôt par un clic-droit --> Ouvrir. Et si un support USB contient un fichier autorun.inf accompagner d'un fichier .VBS ou .VBE <<-- supprimer ces fichiers qui sont le vecteur d'infection. Si des fichiers & rép. ont "en apparence" été transformés en raccourcis. Ils sont la réelle infection. Donc ne pas double-cliquer sur eux. Supprimer les plutôt. Et ré-afficher les fichiers & rép. qui ont simplement été cachés. <<-- Dans les "Options des fichiers" ainsi que dans les Propriétés de chacun. Si, à cause du double-clic, l'infection s'est déployée dans Windows. C'est au Démarrage, avec comme ligne de commande; wscript.exe suivit d'un VBS ou .VBE. P.S. La Désactivation de Windows Script Host, est aussi valable avec les .VBS et .VBE. Tout comme la désactivation de la fonction Autorun de Windows, qui peut s'appliquer qu'aux supports amovibles. Les Antivirus gratuits ont tous une option (pas toujours activée), qui bloque les fichiers Autorun.inf que sur les supports USB. Et y a l'ajout d'un répertoire autorun.inf pour contrer la mise en place d'un fichier autorun.inf, pour les supports USB qui vont en promenade. L'importance du rôle de l'utilisateur en prévention. Avec près de 95% des infections, qui viennent de décisions / actions des utilisateurs. Les téléchargements y sont pour beaucoup ; • rien que les PUPs, adware & infections de navigateurs, de logiciels gratuits, représentent près de 80% de tous les sujets de désinfections. • les Faux plugins FlashPlayer, lecteur vidéo & codec vidéo .. sur les sites «« à fuir »», qui les obligent pour accéder à leur site. • les Fix bidon(SpyHunter, Re-Image etc) sur les Faux sites de conseils de sécurité. «« Y en a tellement. »» • les logiciels crackés ≈ botnet = ordi. zombie. • .. Et. • les pièces-jointe & liens Web de courriels d'origines ; inconnus ≈ ransomware & connus-Fake ≈ phishing. • les supports USB inconnus. À lancer par un clic-droit → Ouvrir (au lieu du double-clic) etc. Bref. Toutes des choses qu'un utilisateur avisé devrait éviter aisément. Alors. Dans la majorité des cas. Quand l'antivirus a à intervenir(s'il le peut), c'est que l'usager a commis une erreur de sécurité. Et après. S'il y a un endroit où l'incertitude a sa place en sécurité, c'est avec la navigation. Alors que des pub vérolées, Exploits .., peuvent même surgir sur des sites safe piratés .. L'utilisateur doit donc utiliser davantage de mesures de sécurité, avec les navigateurs. Aussi. Pour protéger la navigation des URL/sites à risques ; • le fichier Hosts, à mettre à jour aux 30 jours, «« uBlock en a, sauf que plus on ajoute de liste plus ça ralentit le navigateur. Alors qu'une liste dans le Hosts, est valable pour tous. »» • bouclier Web d'antivirus, • les navigateurs qui doivent être m-à-j régulièrement. Leurs m-à-j servent souvent qu'à colmater des failles de sécurité. • les extensions de sécurité ; uBlock Origin, NoScript etc ੦ facultatif - On peut même remplacer les IP du serveur DNS du FAI, par NortonDNS ou OpenDNS .., qui bloquent aussi des sites. Cela. • Sans négliger l'ajout d'un anti-Exploit, comme ; EMET ou mb-ae free. «« Les antivirus payants en on un ! »» Et. • Tenir à jours; les plugins d'Adobes & Java, à télécharger que sur le site de l'éditeur. Si possible, désactiver Java(plein de failles) dans les navigateurs. • Évidemment. On pourrait ajouter d'éviter les sites à risque. À propos. Les navigateurs. Chrome a redéfini les normes de ce que doit être un navigateur. Par contre. Avec leur penchant avoué pour la collecte de données. Y a Chromium, Opera etc, qui partagent le même ADN que Chrome. Pour Firefox. Après avoir été mis de coté en 2016, dans une convention de hacker sur la sécurité. L'éditeur s'est enfin décidé de remodeler son navigateur en 2017. L'extension de sécurité NoScript. NoScript est une authentique protection contre les menaces zero-day. Aussi. Cette extension est la plus puissante et la plus difficile à maitriser. «« Si on Autorise tout sur ses sites favoris etc. Aussi bien ne pas installer NoScript. »» Au début on doit investiguer chaque Domaine/URL, c'est long. Après. Comme plusieurs sites utilisent les mêmes Domaine/URL, ça devient plus rapide. «« On peut sauvegarder les autorisations enregistrées. »» Si nécessaire. On doit d'abord autoriser le Domaine du site visité. Ensuite. Au cas par cas, pour retracer les Domaines/URL utiles pour accéder aux fonctions/services du site visité. Ex. comme avec la fonction qui sert à s'inscrire ou se loguer sur un site etc. Parmi les URL "non autorisés par défaut", y en a qui servent à sniffer, à de la pub, afficher des vidéo etc, etc. Que ce soit les sites favoris visités à chaque jours ou les gros sites comme TF1 etc. Y a aucun site exempt d'être piraté. Et rare sont les sites qui ne sont pas associés à des régie publicitaire, pour faire un peu de cash. En tout cas. Les sites de streaming vidéo, sont très dangereux.
  5. Remiblues

    Sondage : Quels antivirus utilisez-vous ?

    Av-comparative Free vs Paid - https://www.av-comparatives.org/wp-content/uploads/2017/07/avc_free_2017_en.pdf
×