Attention, rootkit
Le
Michel MARTIN
Bonsoir,
je ne sais pas si ce forum est le meilleur pour ce sujet, mais je
voudrai dénoncer un rootkit présent sur un logiciel que je trouvais
intéressant, WebMediaPlayer. Logiciel qui présente quelques centaines de
radio locales sur Internet. Dommage!
Après son installation, j'ai eu une alarme de Zone Alarm qui demandait
l'autorisation de passer, avec un logiciel dont le nom est aléatoire
(suite de consonnes, peu de voyelles) suivi du fatidique .EXE
Refusé, il y a eu plusieurs tentatives avortées. Inquiet de ce remue
ménage, j'ai installé Avastr Anti-rootkit qui me l'a trouvé (bien sûr,
il est invisible, même si on demande à voir tous les fichiers extensions
comprises). Tout désinstallé, je n'avais plus rien.
Voulant en avoir le coeur net, j'ai réinstallé ce logiciel (car j'en
avais installé 2 ou 3 le même jour), et le rootkit est réaparu.
J'en ai donc eu la certitude que c'était bien lui.
Attention, lors de la désinstallation, il réclame à corps et a cri le
branchement sur Internet, sinon il refuse de se désinstaller. sauf
si on clique plusieurs fois sur le bouton "reéssayer" . Accès refusé sur
le Net, désinstallation un peu à la cosaque. Puis passage de Ccleaner.
Et de plusieurs anti-spywares. et vérification finale par Avast
anti-rootkit.
Je ne sais pas s'il existe un site pour dénoncer ces saletés, ce serait
une bonne chose.
Ha, le programme de désinstallation s'appelle AU_.exe, qui est dans un
des fichiers temp du dossier Documents and settings/propriétaire/Local
settings/~nsu.tmp.
Le rootkit (invisible, sauf pour un anti-rootkit) est dans le dossier
Documents and settings/propriétaire/Local settings/Application data.
Amicalement, Michel
--
http://martin.michel47.free.fr/
je ne sais pas si ce forum est le meilleur pour ce sujet, mais je
voudrai dénoncer un rootkit présent sur un logiciel que je trouvais
intéressant, WebMediaPlayer. Logiciel qui présente quelques centaines de
radio locales sur Internet. Dommage!
Après son installation, j'ai eu une alarme de Zone Alarm qui demandait
l'autorisation de passer, avec un logiciel dont le nom est aléatoire
(suite de consonnes, peu de voyelles) suivi du fatidique .EXE
Refusé, il y a eu plusieurs tentatives avortées. Inquiet de ce remue
ménage, j'ai installé Avastr Anti-rootkit qui me l'a trouvé (bien sûr,
il est invisible, même si on demande à voir tous les fichiers extensions
comprises). Tout désinstallé, je n'avais plus rien.
Voulant en avoir le coeur net, j'ai réinstallé ce logiciel (car j'en
avais installé 2 ou 3 le même jour), et le rootkit est réaparu.
J'en ai donc eu la certitude que c'était bien lui.
Attention, lors de la désinstallation, il réclame à corps et a cri le
branchement sur Internet, sinon il refuse de se désinstaller. sauf
si on clique plusieurs fois sur le bouton "reéssayer" . Accès refusé sur
le Net, désinstallation un peu à la cosaque. Puis passage de Ccleaner.
Et de plusieurs anti-spywares. et vérification finale par Avast
anti-rootkit.
Je ne sais pas s'il existe un site pour dénoncer ces saletés, ce serait
une bonne chose.
Ha, le programme de désinstallation s'appelle AU_.exe, qui est dans un
des fichiers temp du dossier Documents and settings/propriétaire/Local
settings/~nsu.tmp.
Le rootkit (invisible, sauf pour un anti-rootkit) est dans le dossier
Documents and settings/propriétaire/Local settings/Application data.
Amicalement, Michel
--
http://martin.michel47.free.fr/
Poser une question
Ah ben oui, faut pas installer sur son PC n'importe quelle cochonnerie
téléchargée sur Internet. De même, il est déconseiller de manger
quelque chose qui traîne par terre dans la rue.
En plus, en cherchant "WebMediaPlayer" dans Google, le deuxième lien
indique "WebMediaPlayer is a backdoor application that allows remote
access to the computer".
Même en décochant le bug "Masquer les fichiers protégés du système
d'exploitation" ?
J'espère que tu es bien conscient que ton PC est maintenant compromis,
et que tu dois réinstaller le système.
confondre le Web Mediaplayer (présenté par Clubic, et apparement
correct, avec le WebMediaPlayer apparement d'origine russe, et qui cause
problème.
mauvaise note AVANT son installation. Je me rappelle que ce logiciel
avait été donné sur un forum de discussion, mais je ne me rappelle plus
lequel (je recherche ...). J'ai bien passé un anti-virus et un
anti-spyware AVANT d'installer, mais je n'avais pas pensé à
l'anti-rootkit. Heureusement que je regarde bien toutes les alarmes de
Zone Alarm. C'est lui qui m'a alerté qu'un fichier voulait aller voir
ailleurs!!! ET là, j'ai dis: STOP. Heureusement.
contrôler TOUS les fichiers, y compris les extensions LNK (même si ce
n'est pas très beau, en particulier sur le bureau).
Oulala, tu me fais peur. D'après toi, tous les passages de logiciels de
sécurité ne sont pas suffisants? Tous me répondent qu'il n'y a rien (y
compris Secuser.com, ou plutôt Trend Micro, avec son AV en ligne).
Je viens encore, par sécurité, de (re)passer CCleaner, et toutes les
listes présentées ont été vérifiées au peigne fin, il ne reste
absolument aucune trace de quelque chose de bizarre.
Alors, que penser?
Amicalement, Michel
--
http://martin.michel47.free.fr/
C'est bien à ton honneur, tout ce que tu as fait déjà. Seulement
personne ne sait ce que fait précisément un rootkit donné.
Autant réinstaller.
--
Niesz
http://www.krolestwa.com
Bof, pour ma part, je fais cela :
http://inforadio.free.fr/nettoy.htm
puis
http://inforadio.free.fr/protect-virus.htm
Les collègues ne s'en plaignent pas.
Maintenant, si tu as du temps à perdre...
On n'arrête pas le progrès : Maintenant,
on ne te donne plus de réponse sur les
newsgroups, on te dit carrément de faire
un format c: ...
LoL...
Cordialement,
Ludovic.
machine propre, et vouloir faire confiance à une machine compromise pour se
tester elle-même. Dans l'absolu c'est pour le moins douteux de faire
confiance à une machine qui se prétend saine une fois qu'elle ne l'a pas
toujours été...
Manuel.