Vista SP2 et surveillance par le "Centre de Securite" du fonctionnement de VirusScan Entreprise 8.7i

Bonjour,

Sur certaines machines sous Vista SP2, je constate depuis environ la
semaine du 21 décembre 2009 que le "Centre de Sécurité" ne "surveille"
plus le fonctionnement du VirusScan Entreprise 8.7.0i,, version du
moteur: 5400.1158, version des DAT: 5852.0000, alors que sur d'autres
Vista (installé plus récemment) il n'y a pas de lézard.

Tous ces Vista sont au même stade des mises à jour Windows Vista et
Office 2003 (celles de décembre 2009).

Le seul point commun que je puisse trouver pour cette différence de
comportement est apparemment la date plus ancienne de l'installation de
Vista pour ces machines et donc aussi celui de VirusScan Entreprise qui
a été pour ces machines d'abord VirusScan Entreprise 8.5i mis à jour par
le suite en 8.7i.

Un tel phénomène était déjà apparu avant le passage en SP2 de certaines
machines, c'est à dire vers le mois d'avril 2009. J'ai supposé alors
que, sans doute la façon de surveiller l'anti-virus avait changé entre
SP1 et SP2 mais que l'anti-virus avait été déjà mis à jour
automatiquement pour SP2 sans que je m'en aperçoive. En effet dès que
ces machines ont été passées en SP2 le phénomène a disparu.

Avez-vous observé quelque chose de similaire*?

Est-ce ce phénomène a un rapport avec les patchs 1 et 2 indiqués par
McAfee sur son site*?,

<https://kc.mcafee.com/corporate/index?page=content&id=KB51111>
<https://kc.mcafee.com/corporate/index?page=content&id=KB65664>
<https://kc.mcafee.com/corporate/index?page=content&id=KB66858>

mais qui ne sont pas pour autant en libre téléchargement. Il faut un
"grant number" pour pouvoir les télécharger.

<https://mysupport.mcafee.com/Eservice/Default.aspx>

--
Jacques PERROCHEAU
CNRS UMR 6226
Université de Rennes 1, Campus de Beaulieu, 35042 RENNES Cedex, France

Bonjour,
"Jacques Perrocheau" <Jacques.Perrocheau@univ-rennes1.fr> a écrit dans le
message de groupe de discussion : 4b44b0bb$0$9396$426a74cc@news.free.fr...
> Bonjour,
>
> Sur certaines machines sous Vista SP2, je constate depuis environ la
> semaine du 21 décembre 2009 que le "Centre de Sécurité" ne "surveille"
> plus le fonctionnement du VirusScan Entreprise 8.7.0i,, version du
> moteur: 5400.1158, version des DAT: 5852.0000, alors que sur d'autres
> Vista (installé plus récemment) il n'y a pas de lézard.
>
> Tous ces Vista sont au même stade des mises à jour Windows Vista et
> Office 2003 (celles de décembre 2009).
>
> Le seul point commun que je puisse trouver pour cette différence de
> comportement est apparemment la date plus ancienne de l'installation de
> Vista pour ces machines et donc aussi celui de VirusScan Entreprise qui
> a été pour ces machines d'abord VirusScan Entreprise 8.5i mis à jour par
> le suite en 8.7i.
>
> Un tel phénomène était déjà apparu avant le passage en SP2 de certaines
> machines, c'est à dire vers le mois d'avril 2009. J'ai supposé alors
> que, sans doute la façon de surveiller l'anti-virus avait changé entre
> SP1 et SP2 mais que l'anti-virus avait été déjà mis à jour
> automatiquement pour SP2 sans que je m'en aperçoive. En effet dès que
> ces machines ont été passées en SP2 le phénomène a disparu.
>
> Avez-vous observé quelque chose de similaire ?
>
> Est-ce ce phénomène a un rapport avec les patchs 1 et 2 indiqués par
> McAfee sur son site ?,
>
> <https://kc.mcafee.com/corporate/index?page=content&id=KB51111>
> <https://kc.mcafee.com/corporate/index?page=content&id=KB65664>
> <https://kc.mcafee.com/corporate/index?page=content&id=KB66858>
>
> mais qui ne sont pas pour autant en libre téléchargement. Il faut un
> "grant number" pour pouvoir les télécharger.
>
> <https://mysupport.mcafee.com/Eservice/Default.aspx>
>
> --
> Jacques PERROCHEAU
> CNRS UMR 6226
> Université de Rennes 1, Campus de Beaulieu, 35042 RENNES Cedex, France

A tout hasard passe un coup d'anti rootkit sur ces PC. Il y a un rootkit (du
doux nom de H8SRT) qui a pas mal sévis en décembre et qui désactives pas mal
d'antivirus et/ou de fonctions... Il passe par des failles de sécurité dans
IE.
Gmer est efficace pour le détecter


--

Olivier B.
MVP Windows Desktop Expérience
"le savoir est fait pour être partagé"
http://www.benquet.com

merci de ne répondre que dans le newsgroup
sinon retirer le "pas_de_spam_" devant mon adresse
(adresse rarement relevée)

In article <9D405C79-7DD5-46C9-A119-E436E0C1452C@microsoft.com>,
"O.B. [MVP]" <pas_de_spam_olivier-b@aliceadsl.fr> wrote:

> A tout hasard passe un coup d'anti rootkit sur ces PC. Il y a un rootkit (du
> doux nom de H8SRT) qui a pas mal sévis en décembre et qui désactives pas mal
> d'antivirus et/ou de fonctions... Il passe par des failles de sécurité dans
> IE.
> Gmer est efficace pour le détecter.

<http://www.gmer.net/>, ffectué pour essai sur une des machines.

;-( Gmer est incapable d'aller jusqu'au bout de son scan, plante de
façon reproductible toujours au même endroit.

Je ne l'ai pas essayé sur les autres machines (trop critiques), surtout
que l'application dit quelle modifie quelque chose dans le système mais
ne dit pas quoi. ;-(

----
Question:
How to install the GMER software ?
Answer:
Just run gmer.exe. All required files will be copied to the system
during the first lanuch.
----

J'ai donc effectué comme un grand une inspection à la main, en me basant
sur ces info <http://forum.sysinternals.com/forum_posts.asp?TID=21326>
et
<http://www.myantispyware.com/2009/12...t-trojan-remov
e-rootkit-tdss/>

Je n'ai trouvé ni fichier suspect, ni clefs suspectes dans la base de
registre à cet endroit "HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT".

Merci en tous cas pour la piste.

D'autres idées*?

--
Jacques PERROCHEAU
CNRS UMR 6226
Université de Rennes 1, Campus de Beaulieu, 35042 RENNES Cedex, France

In article <4b44b0bb$0$9396$426a74cc@news.free.fr>,
Jacques Perrocheau <Jacques.Perrocheau@univ-rennes1.fr> wrote:

> Bonjour,
>
> Sur certaines machines sous Vista SP2, je constate depuis environ la
> semaine du 21 décembre 2009 que le "Centre de Sécurité" ne "surveille"
> plus le fonctionnement du VirusScan Entreprise 8.7.0i,, version du
> moteur: 5400.1158, version des DAT: 5852.0000, alors que sur d'autres
> Vista (installé plus récemment) il n'y a pas de lézard.
>
> Tous ces Vista sont au même stade des mises à jour Windows Vista et
> Office 2003 (celles de décembre 2009).
>
> Le seul point commun que je puisse trouver pour cette différence de
> comportement est apparemment la date plus ancienne de l'installation de
> Vista pour ces machines et donc aussi celui de VirusScan Entreprise qui
> a été pour ces machines d'abord VirusScan Entreprise 8.5i mis à jour par
> le suite en 8.7i.
>
> Un tel phénomène était déjà apparu avant le passage en SP2 de certaines
> machines, c'est à dire vers le mois d'avril 2009. J'ai supposé alors
> que, sans doute la façon de surveiller l'anti-virus avait changé entre
> SP1 et SP2 mais que l'anti-virus avait été déjà mis à jour
> automatiquement pour SP2 sans que je m'en aperçoive. En effet dès que
> ces machines ont été passées en SP2 le phénomène a disparu.
>
> Avez-vous observé quelque chose de similaire*?
>
> Est-ce ce phénomène a un rapport avec les patchs 1 et 2 indiqués par
> McAfee sur son site*?,
>
> <https://kc.mcafee.com/corporate/index?page=content&id=KB51111>
> <https://kc.mcafee.com/corporate/index?page=content&id=KB65664>
> <https://kc.mcafee.com/corporate/index?page=content&id=KB66858>
>
> mais qui ne sont pas pour autant en libre téléchargement. Il faut un
> "grant number" pour pouvoir les télécharger.
>
> <https://mysupport.mcafee.com/Eservice/Default.aspx>

Je complète les informations et je cruci-poste sur fr.comp.os.ms-windows.

Le phénomène se propage "naturellement" sur les autres machines sous
Vista au fur et à mesure des mises à jour, lesquelles *?, je ne sais pas.

L'anti-virus fonctionne apparemment sans problème.

Pour le moment je serais tenté de conclure à un phénomène comparable à
celui observé lors du passage SP1->SP2 (voir ci-dessus).

Je ne sais pas qui est le "coupable" McAfee ou Microsoft*?

--
Jacques PERROCHEAU
CNRS UMR 6226
Université de Rennes 1, Campus de Beaulieu, 35042 RENNES Cedex, France