[Résolu] problème logiciel espion (?)

de **kobe24** » 30 Aoû 2008 11:18

Salmut à tous, voilà, j'ai un problème :oops:

, quand je fais un scann avec ad-aware, systématiquement depuis quelques semaines, il me trouve toujours ce "bidul" là

si je développe, ça donne ça

J'ai beau le supprimer, le mettre en quarantaine ad-aware me le retrouve toujours (bah oui j'y connais rien, donc je tente tout et donc peut être que c'est "logique" qu'il me le retrouve à chaque fois :oops:

). J'ajoute aussi, que le log me le supprime quand je le lui demande (si je refais un scann après mis en quarantaine ou suppr, le bidul n'est plus là)

J'ajoute juste que j'ai ce "bidul" depuis quelques semaines et que ça doit coincider avec l'installation de quelques logiciels de streaming (d'habitude dès l'install, je fais un scann, mais là j'ai du le faire 2-3 jours après install, donc si ça se trouve ça n'a pas de lien direct ou alors ce n'est pas un logiciel espion mais juste l'un de mes log de streaming et que ad-aware le trouve "louche" (bah oui un peu naif moi en plus :oops:

)

Voilà, ça fait un bout de temps que j'ai pas fait de format, donc je vais m'y pencher prochainement, mais avant j'aurais aimé savoir d'où ce "bidul" venait ? s'il vient de l'un de mes log de steaming, y a t il un moyen de savoir lequel ? (histoire que je ne le réinstall pas

)

PS : capture d'écran réaliser à 2 moment différent, donc "le résumé de l'analyse" est différent d'une capture à l'autre ce qui est normal

Je pense n'avoir rien oublié :oops:

(peut être que la capture de la 2e image n'est pas assez parlante, si c'est le cas, dites le, j'en ferais une en fesant en sorte qu'il y ait tout dessus)

Merci d'avance pour votre aide

http://www.tribal-auto-users.net/c/57835 · de **louis84** » 30 Aoû 2008 11:40

salut
a tu essayé de faire une analyse avec un autre log comme spybot par exemple ( juste voir si il te dit la même chose ou te le supprime)
il y a tellement de possibilité

a savoir rootkit spyware et autre .....

de **kobe24** » 30 Aoû 2008 12:11

oui, j'utilise aussi spy bot avec ad-aware, après est ce que lui me supprimerais mon "bidul" ? je commence toujours par faire un scan ad aware puis après je lance spy bot, mais bon je vais faire spy bot puis ad aware pour voir si spybot me détecte mon bidul.

merci pour ta réponse, je vous tiens au courant :wink:

de **dd2024** » 30 Aoû 2008 12:58

Salut kobe24

D'après se que j'ai compris vite fait, ça serai des entrées (ligne) dans le fichier HOSTS qui est présent dans Windows \system32\drivers\etc

Sur F-Secure, ils disent que ça peut être un trojan qui a rajouté des lignes pour rediriger des IP vers d'autres sites

Logiquement il doit avoir que la ligne suivante : 127.0.0.1 localhost

de **kobe24** » 30 Aoû 2008 13:03

Effectivement dd, ça doit etre ça, après scan en commençant avec spy bot, il me trouve ça (et ça reprend je pense l'autre bidul de ad aware)

Que faire ? (vous pensez que ça peut avoir une insidence sur le fait que firefox ne bloque pas certaine popup ? (j'ai envi de penser oui). Perso c'est vrai que j'utilise plus opera, mais mon frère s'y fait pas et continu avec firefox

merci pour votre aide :wink:

EDIT : je vois pas ton lien dd :cry:

EDIT 2 : j'ai ce message quand je clic sur "corrigés les problèmes"

de **dd2024** » 30 Aoû 2008 13:26

Montre nous le contenu du fichier HOSTS qui est présent dans Windows \system32\drivers\etc et aussi qu'elle est ton OS

de **kobe24** » 30 Aoû 2008 13:34

dd2008 a écrit:Montre nous le contenu du fichier HOSTS qui est présent dans Windows \system32\drivers\etc et aussi qu'elle est ton OS

j'avais envi de supprimer ces 12 fichiers là (mais bon comme j'y connais rien)

merci pour ton aide

EDit : oops j'ai windows xp pro

de **dd2024** » 30 Aoû 2008 13:43

les backups oui sont bizarres, par contre ne supprime pas des fichiers comme ça, car c'est des fichiers systeme de Windows ça pourrait se bloqué ou être instable

Quand je te disais montre nous le contenu, c'était à l'intérieur du fichier HOSTS, ouvre le avec le bloc note et copie/colle sur le forum

de **kobe24** » 30 Aoû 2008 13:47

dd2008 a écrit:les backups oui sont bizarres, par contre ne supprime pas des fichiers comme ça, car c'est des fichiers systeme de Windows ça pourrait se bloqué ou être instable

Quand je te disais montre nous le contenu, c'était à l'intérieur du fichier HOSTS, ouvre le avec le bloc note et copie/colle sur le forum

oui c'est pourquoi j'ai juste dis j'envisageais :oops:

127.0.0.1 localhost
127.0.0.1 update.microsoft.com
#AAW 127.0.0.1 download.microsoft.com
#AAW 127.0.0.1 downloads.microsoft.com
#AAW 127.0.0.1 windowsupdate.microsoft.com
127.0.0.1 www.windowsupdate.microsoft.com
#AAW 127.0.0.1 support.microsoft.com
#AAW 127.0.0.1 www.symantec.com
#AAW 127.0.0.1 liveupdate.symantecliveupdate.com
#AAW 127.0.0.1 liveupdate.symantec.com
#AAW 127.0.0.1 update.symantec.com
127.0.0.1 avpg.crsi.symantec.com
#AAW 127.0.0.1 securityresponse.symantec.com
#AAW 127.0.0.1 symantec.com
127.0.0.1 pif.symantec.com
127.0.0.1 pifmain.symantec.com
127.0.0.1 update.avg.com
127.0.0.1 backup.avg.cz
127.0.0.1 akamai.avg.com
127.0.0.1 u20.eset.com
127.0.0.1 www.eset.com
127.0.0.1 eset.com
#AAW 127.0.0.1 www.mcafee.com
#AAW 127.0.0.1 mcafee.com
#AAW 127.0.0.1 us.mcafee.com
#AAW 127.0.0.1 download.mcafee.com
#AAW 127.0.0.1 viruslist.com
#AAW 127.0.0.1 f-secure.com
#AAW 127.0.0.1 www.f-secure.com
#AAW 127.0.0.1 www.avp.com
#AAW 127.0.0.1 www.sophos.com
#AAW 127.0.0.1 sophos.com

dézolé j'avais pas compris :oops:

J'ai windows xp pro, version non officiel, donc je fais pas de MAJ (c'est pourquoi quand je vois windowsupdate.microsft.com, ça me fou un poil les boules

)

EDIT : et la politesse :?:

merci pour ton aide dd :wink:

de **dd2024** » 30 Aoû 2008 18:34

logiquement sur un windows original il n'y a que la 1ere ligne avec le 127.0.0.1 localhost

La ligne 127.0.0.1 update.microsoft.com oui c'est surement pour eviter que tu te connecte sur le site de microsoft et que tu fasse des mises a jour, le reste je vois pas trop le rapport, il faudrait avoir des infos sur ton windows car c'est peut être fait exprès que les autres lignes soit ici...

Ou alors c'est un trojan pirate qui a rajouter des lignes pour pas que tu mette ton système a jour, ça expliquerai les liens vers symantec, microsoft, eset.com, ...

moi je serai toi je supprimerai les lignes et laisserez juste la ligne 127.0.0.1 localhost comme sur un windows normal

de **kobe24** » 30 Aoû 2008 18:42

c'est windows xp pro sp2 optimisé v4.8 MKEx64 (je sais pas si ça peut aider ?)

merci du conseil en tout cas pour les lignes "rajouté"

de **kobe24** » 30 Aoû 2008 19:19

bon voilà, j'ai supprimé toute les lignes, sauf la première, j'ai rebooté le pc, relancé ad-aware (comme ça pour voir) et il me retrouve le meme bidul. Je suis retourné voir le fichier host et j'ai les meme lignes que dans mon post précédent :cry:

EDIT ; dezolé pour le double post :oops:

EDIT 2 : je l'ai pas préciser, mais après suppression des lignes en trop, j'ai pensé à faire fichier enregistrer :wink:

EDIT 3 : bon je sais pas si ça va vous aidez ou pas, mais je viens de rerebooté le pc, j'ai été voir le fichier host, j'ai supprimé les lignes supplémentaire, j'ai enregistrer, puis j'ai lancé ad aware et il ne m'a pas trouvé le bidul

. Mais bon ce serait quand meme mieux si j'avais pas à faire le "supprimage des lignes supplémentaire de host" à chaque rebootage de pc

merci pour votre aide

de **Kibagami** » 30 Aoû 2008 19:47

J'ai le même Windows que toi sur 2 PC et je n'ai pas ces entrées dans le fichier hosts, donc cela ne vient pas de cette (excellente) version.

Ces entrées ont dû être inscrites par une cochonnerie.

Si ton fichier n'a pas bougé depuis, clique droit sur le fichier hosts, propriétés, puis coche "lecture seule", puis appliquer.

Et tu peux supprimer tous tes fichiers qui se terminent par "backup".

de **kobe24** » 30 Aoû 2008 19:59

Kibagami a écrit:Si ton fichier n'a pas bougé depuis, clique droit sur le fichier hosts, propriétés, puis coche "lecture seule", puis appliquer.

si je supprime toutes les entrées "en trop", que je fasse enregistré, puis que je modifie en le mettant en lecture seule, c'est bon ? (je comprend pas trop la première partie de ta phrase :oops:

)

et merci pour les .backup, ils sont plus là

merci pour ton :wink:

de **Kibagami** » 30 Aoû 2008 20:09

Ouais, c'est ça :

1°) tu supprimes les entrées pourries de ton fichier hosts
2°) tu l'enregistres
3°) ensuite clique-droit .... etc ... "lecture seule"

Une fois en lecture seule, il ne pourra (en théorie..) plus être modifié.
Tu peux essayer : ouvre-le, modifie-le pour de faux, et essaye de l'enregistrer : tu auras un message d'erreur.

Si plus tard tu veux le modifier, bah tu fais la démarche inverse, c'est-à-dire que tu décoche "lecture seule", tu modifies, tu enregistres (puis tu remets en lecture seule).

C'est comme cela que je fais (car j'utilise beaucoup le fichier hosts)

de **kobe24** » 30 Aoû 2008 20:10

C'est bon merci à tous.

Une dernière question, avant metage de balise et/ou verrouillage par les modos (si ça vous déranges pas), selon vous, ce problèmes peut être à l'origine à mon problème avec firefox qui ne me bloque pas certaine popups ? (je m'y suis fait à opera, mais ce qui est chiant c'est que à chaque fois que je lance ad aware et spy bot, il me faut remettre tout mes pseudos et MDP alors que firefox les conservent en mémoires)

enfin voilà, juste une autre tite question :oops:

merci pour la réponse et merci à tous pour votre aide :wink:

de **kobe24** » 31 Aoû 2008 09:28

mouaips bah non, toujours les memes popups avec firefox (betwin, "popup" me disans que j'ai des spyware (la question est popup ou pas ?) ...) donc je pense qu'on peut mettre les balises

encore merci à tous pour votre aide :wink: