IPB

Welcome Guest ( Log In | Register )

 
Reply to this topicStart new topic
> Recherche d'outils de dissimulation d'activité
WEBNET
post 9.07.2009 14:39
Post #1


Advanced Member I
***

Group: Members
Posts: 193
Joined: 14.02.2009
From: FRANCE




Bonjour,

comment stoper la recherche d'outils de dissimulation d'activité (ou rootkit) qui se lance tous seul, mais rien pour la stoper.
Go to the top of the page
 
+Quote Post
Thierry
post 9.07.2009 14:48
Post #2


Posting guru
*************

Group: Moderators
Posts: 4076
Joined: 15.03.2006
From: France




Salut,

Comment ça qui se lance tout seul ?
Tu vois ça où ? Dans les rapports ?


--------------------
Go to the top of the page
 
+Quote Post
WEBNET
post 10.07.2009 18:40
Post #3


Advanced Member I
***

Group: Members
Posts: 193
Joined: 14.02.2009
From: FRANCE




Citation (Thierry @ 9.07.2009 12:48) *
Salut,

Comment ça qui se lance tout seul ?
Tu vois ça où ? Dans les rapports ?



Non pas dans les rapports, dans le menu de kaspersky en bas a droite (barre de statut de windows xp pro sp3).

Bien sur je n'ai parametré aucune analyse.

PS: quand je clique sur le menu il me renvois sur le menu analyse mais rien est lancé.

Apres une supression de virus au reboot ? peut etre par securité il effectue une analyse anti-rootkit

This post has been edited by WEBNET: 10.07.2009 18:46
Go to the top of the page
 
+Quote Post
Thierry
post 11.07.2009 15:45
Post #4


Posting guru
*************

Group: Moderators
Posts: 4076
Joined: 15.03.2006
From: France




J'ai vu de ce que tu parles mais je ne sais pas s'il y a possibilité de désactiver cette analyse.
Tu peux demander au support si tu veux > http://support.kaspersky.ru/helpdesk.html?LANG=fr


--------------------
Go to the top of the page
 
+Quote Post
DEGANO
post 12.07.2009 01:48
Post #5


Advanced Member III
*****

Group: Members
Posts: 548
Joined: 14.09.2008
From: Reims




Salut,

c'est pas plutot l'antivirus fichier qui peut faire cette analyse par hasard vu qu'il surveile en permanence les activités du PC ?


Extrait de l'aide dans la rubrique "Protection du système de fichier de l'ordinateur" :

<H2 class=heading2>Algorithme de fonctionnement du composant</H2>Antivirus Fichiers est lancé en même temps que le système d'exploitation, demeure en permanence dans la mémoire vive de l'ordinateur et analyse tous les programmes ou fichiers que vous ouvrez, enregistrez ou exécutez.

Par défaut, Antivirus Fichiers analyse uniquement les nouveaux fichiers ou les fichiers modifiés, c.-à-d. les fichiers qui ont été ajoutés ou modifiés depuis la dernière fois qu'ils ont été sollicités. L'analyse des fichiers est réalisée selon l'algorithme suivant :
    <LI class=listnumber1>Le composant intercepte les requêtes de l'utilisateur ou d'un programme quelconque adressé à chaque fichier. <LI class=listnumber1>Antivirus Fichiers recherche des informations sur le fichier intercepté dans les bases iChecker et iSwift et sur la base des informations obtenues, il décide s'il faut analyser ou non le fichier. Technologie qui permet d'accélérer l'analyse antivirus en excluant les objets qui n'ont pas été modifiés depuis l'analyse antérieure pour autant que les paramètres de l'analyse (bases antivirus et paramètres) n'aient pas été modifiés. Ces informations sont conservées dans une base spéciale. La technologie est appliquée aussi bien pendant la protection en temps réel que dans les analyses à la demande.

    Admettons que vous possédez une archive qui a été analysée par une application de Kaspersky Lab et qui a reçu l'état sain. Lors de la prochaine analyse, cet objet sera exclu pour autant qu'aucune modification n'ait été apportée au fichier en question ou aux paramètres de l'analyse. Si vous avez modifié le contenu de l'archive (ajout d'un nouvel objet), si vous avez modifié les paramètres de l'analyse ou procédé à la mise à jour des bases antivirus, l'archive sera analysée à nouveau.

    Limitations technologiques d'iChecker :
    • la technologie ne fonctionne pas avec les fichiers de grande taille car dans ce cas il est plus rapide d'analyser tout le fichier que de vérifier s'il a été modifié depuis la dernière analyse ;
    • la technologie est compatible avec un nombre restreint de formats (exe, dll, lnk, ttf, inf, sys, com, chm, zip, rar).
Les actions suivantes sont réalisées durant l'analyse :
    <LI class=listnumber1>Le fichier est soumis à la recherche d'éventuels virus. L'identification des objets malveillants s'opère à l'aide des bases de Kaspersky Internet Security. Les bases contiennent la définition de tous les programmes malveillants, menaces et attaques de réseau connus à ce jour et leur mode de neutralisation. Les bases de données sont créées par les experts de Kaspersky Lab et elles contiennent une description détaillée de toutes les menaces informatiques qui existent à l'heure actuelle ainsi que les moyens de les identifier et de les neutraliser. Les bases sont actualisées en permanence par Kaspersky Lab au fur et à mesure que de nouvelles menaces sont découvertes. Pour améliorer la qualité de la découverte de menaces, nous vous conseillons de télécharger fréquemment les mises à jour des bases depuis les serveurs de mise à jour de Kaspersky Lab.

    <LI class=listnumber1>Selon les résultats de l'analyse, Kaspersky Internet Security peut adopter les comportements suivants :
      <LI class=listalpha2>Si le fichier contient un code malveillant, Antivirus Fichiers le bloque, en crée une copie de sauvegarde et tente de le neutraliser. Si la réparation réussit, l'utilisateur peut utiliser le fichier. Dans le cas contraire, le fichier est supprimé. Mode de traitement de l'objet qui entraîne sa suppression physique de l'endroit où il a été découvert par l'application (disque dur, répertoire, ressource de réseau). Ce mode de traitement est recommandé pour les objets dangereux dont la réparation est impossible pour une raison quelconque.

      Mode de traitement des objets infectés qui débouche sur la restauration totale ou partielle des données ou sur le constat de l'impossibilité de réparer les objets. La réparation des objets s'opère sur la base des enregistrements des bases. Si la réparation est la première action exécutée sur l'objet (toute première action exécutée sur l'objet directement après sa découverte), alors une copie de sauvegarde de l'objet sera créée au préalable. Une partie des données peut être perdue lors de la réparation. Vous pouvez utiliser cette copie par la suite pour restaurer l'objet à l'état qu'il avait avant la réparation.

      Création d'une copie de sauvegarde du fichier avant sa réparation ou sa suppression et placement de cette copie dans la sauvegarde avec la possibilité de restaurer le fichier ultérieurement, par exemple pour l'analyse avec des bases actualisées.
    1. Si le fichier contient un code semblable à un code malveillant et que ce verdict ne peut pas être garanti à 100%, le fichier est réparé et placé dans un répertoire spécial : la quarantaine. Répertoire défini dans lequel sont placés tous les objets potentiellement infectés découverts pendant l'analyse ou par la protection en temps réel.
    2. Si aucun code malveillant n'a été découvert dans le fichier, le destinataire pourra l’utiliser immédiatement.
Quand l'application découvre un objet infecté ou potentiellement infecté, elle vous le signale. Suite à la découverte d'un objet infecté ou potentiellement infecté, un message interrogeant l'utilisateur sur la suite des opérations s'affichera. Vous aurez le choix entre les options suivantes :

Objet dont le code contient le code modifié d'un virus connu ou un code semblable à celui d'un virus mais inconnu de Kaspersky Lab. Les objets potentiellement infectés sont identifiés à l'aide de l'analyseur heuristique.

Objet contenant un code malveillant : l'analyse de l'objet a mis en évidence une équivalence parfaite entre une partie du code de l'objet et le code d'une menace connue. Les experts de Kaspersky Lab vous déconseillent de manipuler de tels objets car ils pourraient infecter votre ordinateur.
    <LI class=listbullet1>placer la menace en quarantaine en vue d'une analyse et d'un traitement ultérieur à l'aide de bases actualisées ;
  • supprimer l'objet ;
ignorer l'objet si vous êtes absolument convaincu qu'il n'est pas malveillant.



Si c'est bien ça, t'as possibilité de la couper lors d'un lancement d'une application ou alors dans une plage d'horaire bien précise.

This post has been edited by DEGANO: 12.07.2009 01:53


--------------------
My native language is French. I use google translate for you write.
Go to the top of the page
 
+Quote Post
WEBNET
post 12.07.2009 12:59
Post #6


Advanced Member I
***

Group: Members
Posts: 193
Joined: 14.02.2009
From: FRANCE




Citation (DEGANO @ 11.07.2009 23:48) *
Salut,

c'est pas plutot l'antivirus fichier qui peut faire cette analyse par hasard vu qu'il surveile en permanence les activités du PC ?
Extrait de l'aide dans la rubrique "Protection du système de fichier de l'ordinateur" :

<H2 class=heading2>Algorithme de fonctionnement du composant</H2>Antivirus Fichiers est lancé en même temps que le système d'exploitation, demeure en permanence dans la mémoire vive de l'ordinateur et analyse tous les programmes ou fichiers que vous ouvrez, enregistrez ou exécutez.

Par défaut, Antivirus Fichiers analyse uniquement les nouveaux fichiers ou les fichiers modifiés, c.-à-d. les fichiers qui ont été ajoutés ou modifiés depuis la dernière fois qu'ils ont été sollicités. L'analyse des fichiers est réalisée selon l'algorithme suivant :
    <LI class=listnumber1>Le composant intercepte les requêtes de l'utilisateur ou d'un programme quelconque adressé à chaque fichier. <LI class=listnumber1>Antivirus Fichiers recherche des informations sur le fichier intercepté dans les bases iChecker et iSwift et sur la base des informations obtenues, il décide s'il faut analyser ou non le fichier. Technologie qui permet d'accélérer l'analyse antivirus en excluant les objets qui n'ont pas été modifiés depuis l'analyse antérieure pour autant que les paramètres de l'analyse (bases antivirus et paramètres) n'aient pas été modifiés. Ces informations sont conservées dans une base spéciale. La technologie est appliquée aussi bien pendant la protection en temps réel que dans les analyses à la demande.

    Admettons que vous possédez une archive qui a été analysée par une application de Kaspersky Lab et qui a reçu l'état sain. Lors de la prochaine analyse, cet objet sera exclu pour autant qu'aucune modification n'ait été apportée au fichier en question ou aux paramètres de l'analyse. Si vous avez modifié le contenu de l'archive (ajout d'un nouvel objet), si vous avez modifié les paramètres de l'analyse ou procédé à la mise à jour des bases antivirus, l'archive sera analysée à nouveau.

    Limitations technologiques d'iChecker :
    • la technologie ne fonctionne pas avec les fichiers de grande taille car dans ce cas il est plus rapide d'analyser tout le fichier que de vérifier s'il a été modifié depuis la dernière analyse ;
    • la technologie est compatible avec un nombre restreint de formats (exe, dll, lnk, ttf, inf, sys, com, chm, zip, rar).
Les actions suivantes sont réalisées durant l'analyse :
    <LI class=listnumber1>Le fichier est soumis à la recherche d'éventuels virus. L'identification des objets malveillants s'opère à l'aide des bases de Kaspersky Internet Security. Les bases contiennent la définition de tous les programmes malveillants, menaces et attaques de réseau connus à ce jour et leur mode de neutralisation. Les bases de données sont créées par les experts de Kaspersky Lab et elles contiennent une description détaillée de toutes les menaces informatiques qui existent à l'heure actuelle ainsi que les moyens de les identifier et de les neutraliser. Les bases sont actualisées en permanence par Kaspersky Lab au fur et à mesure que de nouvelles menaces sont découvertes. Pour améliorer la qualité de la découverte de menaces, nous vous conseillons de télécharger fréquemment les mises à jour des bases depuis les serveurs de mise à jour de Kaspersky Lab.

    <LI class=listnumber1>Selon les résultats de l'analyse, Kaspersky Internet Security peut adopter les comportements suivants :
      <LI class=listalpha2>Si le fichier contient un code malveillant, Antivirus Fichiers le bloque, en crée une copie de sauvegarde et tente de le neutraliser. Si la réparation réussit, l'utilisateur peut utiliser le fichier. Dans le cas contraire, le fichier est supprimé. Mode de traitement de l'objet qui entraîne sa suppression physique de l'endroit où il a été découvert par l'application (disque dur, répertoire, ressource de réseau). Ce mode de traitement est recommandé pour les objets dangereux dont la réparation est impossible pour une raison quelconque.

      Mode de traitement des objets infectés qui débouche sur la restauration totale ou partielle des données ou sur le constat de l'impossibilité de réparer les objets. La réparation des objets s'opère sur la base des enregistrements des bases. Si la réparation est la première action exécutée sur l'objet (toute première action exécutée sur l'objet directement après sa découverte), alors une copie de sauvegarde de l'objet sera créée au préalable. Une partie des données peut être perdue lors de la réparation. Vous pouvez utiliser cette copie par la suite pour restaurer l'objet à l'état qu'il avait avant la réparation.

      Création d'une copie de sauvegarde du fichier avant sa réparation ou sa suppression et placement de cette copie dans la sauvegarde avec la possibilité de restaurer le fichier ultérieurement, par exemple pour l'analyse avec des bases actualisées.
    1. Si le fichier contient un code semblable à un code malveillant et que ce verdict ne peut pas être garanti à 100%, le fichier est réparé et placé dans un répertoire spécial : la quarantaine. Répertoire défini dans lequel sont placés tous les objets potentiellement infectés découverts pendant l'analyse ou par la protection en temps réel.
    2. Si aucun code malveillant n'a été découvert dans le fichier, le destinataire pourra l’utiliser immédiatement.
Quand l'application découvre un objet infecté ou potentiellement infecté, elle vous le signale. Suite à la découverte d'un objet infecté ou potentiellement infecté, un message interrogeant l'utilisateur sur la suite des opérations s'affichera. Vous aurez le choix entre les options suivantes :

Objet dont le code contient le code modifié d'un virus connu ou un code semblable à celui d'un virus mais inconnu de Kaspersky Lab. Les objets potentiellement infectés sont identifiés à l'aide de l'analyseur heuristique.

Objet contenant un code malveillant : l'analyse de l'objet a mis en évidence une équivalence parfaite entre une partie du code de l'objet et le code d'une menace connue. Les experts de Kaspersky Lab vous déconseillent de manipuler de tels objets car ils pourraient infecter votre ordinateur.
    <LI class=listbullet1>placer la menace en quarantaine en vue d'une analyse et d'un traitement ultérieur à l'aide de bases actualisées ;
  • supprimer l'objet ;
ignorer l'objet si vous êtes absolument convaincu qu'il n'est pas malveillant.
Si c'est bien ça, t'as possibilité de la couper lors d'un lancement d'une application ou alors dans une plage d'horaire bien précise.



Bonjour,

ce n'est pas ça car aucun virus, et cette fonction se lance aléatoirement, et que au boot jamais apres, j'ai installé la 463 et depuis pas reconstaté cette analyse, corrigé peut etre.

This post has been edited by WEBNET: 12.07.2009 13:00
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic

 



Lo-Fi Version Time is now: 23.10.2014 06:59