Sign in to follow this  
Followers 0
WEBNET

Recherche d'outils de dissimulation d'activité

6 posts in this topic

Bonjour,

 

comment stoper la recherche d'outils de dissimulation d'activité (ou rootkit) qui se lance tous seul, mais rien pour la stoper.

Share this post


Link to post
Share on other sites

Salut,

 

Comment ça qui se lance tout seul ?

Tu vois ça où ? Dans les rapports ?

Share this post


Link to post
Share on other sites
Salut,

 

Comment ça qui se lance tout seul ?

Tu vois ça où ? Dans les rapports ?

 

 

Non pas dans les rapports, dans le menu de kaspersky en bas a droite (barre de statut de windows xp pro sp3).

 

Bien sur je n'ai parametré aucune analyse.

 

PS: quand je clique sur le menu il me renvois sur le menu analyse mais rien est lancé.

 

Apres une supression de virus au reboot ? peut etre par securité il effectue une analyse anti-rootkit

Edited by WEBNET

Share this post


Link to post
Share on other sites

Salut,

 

c'est pas plutot l'antivirus fichier qui peut faire cette analyse par hasard vu qu'il surveile en permanence les activités du PC ?

 

 

Extrait de l'aide dans la rubrique "Protection du système de fichier de l'ordinateur" :

<H2 class=heading2>Algorithme de fonctionnement du composant</H2>Antivirus Fichiers est lancé en même temps que le système d'exploitation, demeure en permanence dans la mémoire vive de l'ordinateur et analyse tous les programmes ou fichiers que vous ouvrez, enregistrez ou exécutez.

 

Par défaut, Antivirus Fichiers analyse uniquement les nouveaux fichiers ou les fichiers modifiés, c.-à-d. les fichiers qui ont été ajoutés ou modifiés depuis la dernière fois qu'ils ont été sollicités. L'analyse des fichiers est réalisée selon l'algorithme suivant :

  1. <LI class=listnumber1>Le composant intercepte les requêtes de l'utilisateur ou d'un programme quelconque adressé à chaque fichier. <LI class=listnumber1>Antivirus Fichiers recherche des informations sur le fichier intercepté dans les bases
iChecker et iSwift et sur la base des informations obtenues, il décide s'il faut analyser ou non le fichier. Technologie qui permet d'accélérer l'analyse antivirus en excluant les objets qui n'ont pas été modifiés depuis l'analyse antérieure pour autant que les paramètres de l'analyse (bases antivirus et paramètres) n'aient pas été modifiés. Ces informations sont conservées dans une base spéciale. La technologie est appliquée aussi bien pendant la protection en temps réel que dans les analyses à la demande.

 

Admettons que vous possédez une archive qui a été analysée par une application de Kaspersky Lab et qui a reçu l'état sain. Lors de la prochaine analyse, cet objet sera exclu pour autant qu'aucune modification n'ait été apportée au fichier en question ou aux paramètres de l'analyse. Si vous avez modifié le contenu de l'archive (ajout d'un nouvel objet), si vous avez modifié les paramètres de l'analyse ou procédé à la mise à jour des bases antivirus, l'archive sera analysée à nouveau.

 

Limitations technologiques d'iChecker :

  • la technologie ne fonctionne pas avec les fichiers de grande taille car dans ce cas il est plus rapide d'analyser tout le fichier que de vérifier s'il a été modifié depuis la dernière analyse ;
  • la technologie est compatible avec un nombre restreint de formats (exe, dll, lnk, ttf, inf, sys, com, chm, zip, rar).
Les actions suivantes sont réalisées durant l'analyse :
  1. <LI class=listnumber1>Le fichier est soumis à la recherche d'éventuels virus. L'identification des objets malveillants s'opère à l'aide des
bases de Kaspersky Internet Security. Les bases contiennent la définition de tous les programmes malveillants, menaces et attaques de réseau connus à ce jour et leur mode de neutralisation. Les bases de données sont créées par les experts de Kaspersky Lab et elles contiennent une description détaillée de toutes les menaces informatiques qui existent à l'heure actuelle ainsi que les moyens de les identifier et de les neutraliser. Les bases sont actualisées en permanence par Kaspersky Lab au fur et à mesure que de nouvelles menaces sont découvertes. Pour améliorer la qualité de la découverte de menaces, nous vous conseillons de télécharger fréquemment les mises à jour des bases depuis les serveurs de mise à jour de Kaspersky Lab.

 

<LI class=listnumber1>Selon les résultats de l'analyse, Kaspersky Internet Security peut adopter les comportements suivants :

  1. <LI class=listalpha2>Si le fichier contient un code malveillant, Antivirus Fichiers le bloque, en crée une
copie de sauvegarde et tente de le neutraliser. Si la réparation réussit, l'utilisateur peut utiliser le fichier. Dans le cas contraire, le fichier est supprimé. Mode de traitement de l'objet qui entraîne sa suppression physique de l'endroit où il a été découvert par l'application (disque dur, répertoire, ressource de réseau). Ce mode de traitement est recommandé pour les objets dangereux dont la réparation est impossible pour une raison quelconque.

 

Mode de traitement des objets infectés qui débouche sur la restauration totale ou partielle des données ou sur le constat de l'impossibilité de réparer les objets. La réparation des objets s'opère sur la base des enregistrements des bases. Si la réparation est la première action exécutée sur l'objet (toute première action exécutée sur l'objet directement après sa découverte), alors une copie de sauvegarde de l'objet sera créée au préalable. Une partie des données peut être perdue lors de la réparation. Vous pouvez utiliser cette copie par la suite pour restaurer l'objet à l'état qu'il avait avant la réparation.

 

Création d'une copie de sauvegarde du fichier avant sa réparation ou sa suppression et placement de cette copie dans la sauvegarde avec la possibilité de restaurer le fichier ultérieurement, par exemple pour l'analyse avec des bases actualisées.

Si le fichier contient un code semblable à un code malveillant et que ce verdict ne peut pas être garanti à 100%, le fichier est réparé et placé dans un répertoire spécial : la quarantaine. Répertoire défini dans lequel sont placés tous les objets potentiellement infectés découverts pendant l'analyse ou par la protection en temps réel.Si aucun code malveillant n'a été découvert dans le fichier, le destinataire pourra l’utiliser immédiatement.Quand l'application découvre un objet infecté ou potentiellement infecté, elle vous le signale. Suite à la découverte d'un objet infecté ou potentiellement infecté, un message interrogeant l'utilisateur sur la suite des opérations s'affichera. Vous aurez le choix entre les options suivantes :

 

Objet dont le code contient le code modifié d'un virus connu ou un code semblable à celui d'un virus mais inconnu de Kaspersky Lab. Les objets potentiellement infectés sont identifiés à l'aide de l'analyseur heuristique.

 

Objet contenant un code malveillant : l'analyse de l'objet a mis en évidence une équivalence parfaite entre une partie du code de l'objet et le code d'une menace connue. Les experts de Kaspersky Lab vous déconseillent de manipuler de tels objets car ils pourraient infecter votre ordinateur.

  • <LI class=listbullet1>placer la menace en quarantaine en vue d'une analyse et d'un traitement ultérieur à l'aide de bases actualisées ;
  • supprimer l'objet ;
ignorer l'objet si vous êtes absolument convaincu qu'il n'est pas malveillant.

 

 

 

Si c'est bien ça, t'as possibilité de la couper lors d'un lancement d'une application ou alors dans une plage d'horaire bien précise.

Edited by DEGANO

Share this post


Link to post
Share on other sites
Salut,

 

c'est pas plutot l'antivirus fichier qui peut faire cette analyse par hasard vu qu'il surveile en permanence les activités du PC ?

Extrait de l'aide dans la rubrique "Protection du système de fichier de l'ordinateur" :

<H2 class=heading2>Algorithme de fonctionnement du composant</H2>Antivirus Fichiers est lancé en même temps que le système d'exploitation, demeure en permanence dans la mémoire vive de l'ordinateur et analyse tous les programmes ou fichiers que vous ouvrez, enregistrez ou exécutez.

 

Par défaut, Antivirus Fichiers analyse uniquement les nouveaux fichiers ou les fichiers modifiés, c.-à-d. les fichiers qui ont été ajoutés ou modifiés depuis la dernière fois qu'ils ont été sollicités. L'analyse des fichiers est réalisée selon l'algorithme suivant :

  1. <LI class=listnumber1>Le composant intercepte les requêtes de l'utilisateur ou d'un programme quelconque adressé à chaque fichier. <LI class=listnumber1>Antivirus Fichiers recherche des informations sur le fichier intercepté dans les bases
iChecker et iSwift et sur la base des informations obtenues, il décide s'il faut analyser ou non le fichier. Technologie qui permet d'accélérer l'analyse antivirus en excluant les objets qui n'ont pas été modifiés depuis l'analyse antérieure pour autant que les paramètres de l'analyse (bases antivirus et paramètres) n'aient pas été modifiés. Ces informations sont conservées dans une base spéciale. La technologie est appliquée aussi bien pendant la protection en temps réel que dans les analyses à la demande.

 

Admettons que vous possédez une archive qui a été analysée par une application de Kaspersky Lab et qui a reçu l'état sain. Lors de la prochaine analyse, cet objet sera exclu pour autant qu'aucune modification n'ait été apportée au fichier en question ou aux paramètres de l'analyse. Si vous avez modifié le contenu de l'archive (ajout d'un nouvel objet), si vous avez modifié les paramètres de l'analyse ou procédé à la mise à jour des bases antivirus, l'archive sera analysée à nouveau.

 

Limitations technologiques d'iChecker :

  • la technologie ne fonctionne pas avec les fichiers de grande taille car dans ce cas il est plus rapide d'analyser tout le fichier que de vérifier s'il a été modifié depuis la dernière analyse ;
  • la technologie est compatible avec un nombre restreint de formats (exe, dll, lnk, ttf, inf, sys, com, chm, zip, rar).
Les actions suivantes sont réalisées durant l'analyse :
  1. <LI class=listnumber1>Le fichier est soumis à la recherche d'éventuels virus. L'identification des objets malveillants s'opère à l'aide des
bases de Kaspersky Internet Security. Les bases contiennent la définition de tous les programmes malveillants, menaces et attaques de réseau connus à ce jour et leur mode de neutralisation. Les bases de données sont créées par les experts de Kaspersky Lab et elles contiennent une description détaillée de toutes les menaces informatiques qui existent à l'heure actuelle ainsi que les moyens de les identifier et de les neutraliser. Les bases sont actualisées en permanence par Kaspersky Lab au fur et à mesure que de nouvelles menaces sont découvertes. Pour améliorer la qualité de la découverte de menaces, nous vous conseillons de télécharger fréquemment les mises à jour des bases depuis les serveurs de mise à jour de Kaspersky Lab.

 

<LI class=listnumber1>Selon les résultats de l'analyse, Kaspersky Internet Security peut adopter les comportements suivants :

  1. <LI class=listalpha2>Si le fichier contient un code malveillant, Antivirus Fichiers le bloque, en crée une
copie de sauvegarde et tente de le neutraliser. Si la réparation réussit, l'utilisateur peut utiliser le fichier. Dans le cas contraire, le fichier est supprimé. Mode de traitement de l'objet qui entraîne sa suppression physique de l'endroit où il a été découvert par l'application (disque dur, répertoire, ressource de réseau). Ce mode de traitement est recommandé pour les objets dangereux dont la réparation est impossible pour une raison quelconque.

 

Mode de traitement des objets infectés qui débouche sur la restauration totale ou partielle des données ou sur le constat de l'impossibilité de réparer les objets. La réparation des objets s'opère sur la base des enregistrements des bases. Si la réparation est la première action exécutée sur l'objet (toute première action exécutée sur l'objet directement après sa découverte), alors une copie de sauvegarde de l'objet sera créée au préalable. Une partie des données peut être perdue lors de la réparation. Vous pouvez utiliser cette copie par la suite pour restaurer l'objet à l'état qu'il avait avant la réparation.

 

Création d'une copie de sauvegarde du fichier avant sa réparation ou sa suppression et placement de cette copie dans la sauvegarde avec la possibilité de restaurer le fichier ultérieurement, par exemple pour l'analyse avec des bases actualisées.

Si le fichier contient un code semblable à un code malveillant et que ce verdict ne peut pas être garanti à 100%, le fichier est réparé et placé dans un répertoire spécial : la quarantaine. Répertoire défini dans lequel sont placés tous les objets potentiellement infectés découverts pendant l'analyse ou par la protection en temps réel.Si aucun code malveillant n'a été découvert dans le fichier, le destinataire pourra l’utiliser immédiatement.Quand l'application découvre un objet infecté ou potentiellement infecté, elle vous le signale. Suite à la découverte d'un objet infecté ou potentiellement infecté, un message interrogeant l'utilisateur sur la suite des opérations s'affichera. Vous aurez le choix entre les options suivantes :

 

Objet dont le code contient le code modifié d'un virus connu ou un code semblable à celui d'un virus mais inconnu de Kaspersky Lab. Les objets potentiellement infectés sont identifiés à l'aide de l'analyseur heuristique.

 

Objet contenant un code malveillant : l'analyse de l'objet a mis en évidence une équivalence parfaite entre une partie du code de l'objet et le code d'une menace connue. Les experts de Kaspersky Lab vous déconseillent de manipuler de tels objets car ils pourraient infecter votre ordinateur.

  • <LI class=listbullet1>placer la menace en quarantaine en vue d'une analyse et d'un traitement ultérieur à l'aide de bases actualisées ;
  • supprimer l'objet ;
ignorer l'objet si vous êtes absolument convaincu qu'il n'est pas malveillant.

Si c'est bien ça, t'as possibilité de la couper lors d'un lancement d'une application ou alors dans une plage d'horaire bien précise.

 

 

Bonjour,

 

ce n'est pas ça car aucun virus, et cette fonction se lance aléatoirement, et que au boot jamais apres, j'ai installé la 463 et depuis pas reconstaté cette analyse, corrigé peut etre.

Edited by WEBNET

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!


Register a new account

Sign in

Already have an account? Sign in here.


Sign In Now
Sign in to follow this  
Followers 0