Avira n'aime pas MBAM sous Firefox

Bonjour ° Bonsoir, le Sun, 17 Oct 2010 11:47:07 +0200, "Az Sam"
<me@home.net> a wroté:

Bonjour,

salut,

Vous me direz que mon titre n'a guère de sens.
C'est vrai. Et en même temps il en a quand même un.

Si vous allez sur le site de MBAM pour le télécharger en version gratuite :
http://www.malwarebytes.org/mbam.php

Dont le lien de téléchargement de MBAM est :
https://www.regnow.com/softsell/visitor.cgi?affiliate793&action=site&vendor128&ref=http%3A%2F%2Ffileforum.betanews.com%2Fsendfile%2F1186760019%2F1%2F1287308213.41d9770bbd0b8c4c7c82db9813b157ebf99bcc25%2Fmbam-setup.exe

https://www.regnow.com/softsell
Et tu tombes direct dans l'onglet 'Market Place'

Je me dis, ou tu es contaminé ou c'est un site partenaire
commercial-vente de progiciels toutes catégories (Category List)
d'Avira...

- avec IE6 ou Firefox 3.6 vous êtes rediriger sur une page techspot qui vous
renvoi par le bouton de téléchargement vers
http://www.filescrunch.com/techspot/mb0923/mbam-setup-1.46.exe

Très curieux.
Si tu fais juste http://www.filescrunch.com , tu tombes sur une page
pratiquement blanche (genre site qui vient de se créer)
Et en rajoutant techspot au lien, tu te retrouves devant 3 dossiers.
le 1er: 5 utilitaires
le 2eme: mbam 1.46 du 16sept2010 et un autre zip
le 3eme: mbam 1.46 du 23sept2010

Je doute qu'Avira s'emmerderait avec un site partenaire commercial
aussi peu achalandé.
Je crains que tu sois réellement contaminé par une redirection.

Et en creusant un peu cela confirme avec une recherche gougueule sur
filescrunch.com

http://www.vistax64.com/system-security/282713-interactive-services-dialogue-detection-virus.html
Registry Keys Infected:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExtStats{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb}
(Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USERSOFTWAREThe Weather Channel (Adware.Hotbar) ->
Quarantined and deleted successfully.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallWeather
Services (Adware.Hotbar) -> Quarantined and deleted successfully.
Registry Values Infected:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionControl
PanelCplswxfw.dll (Adware.Hotbar) -> Quarantined and deleted
successfully.

C'est MBAM qui a déniché et éradiqué ces clés dans la BdR.

avec le lien de IE8 Antivir premium ne dit rien.
Avec le lien de IE6 ou FF Antivir webguard bloque le lien de téléchargement

J'utilise Comodo (gratuit et à jour)
IE 6.2009.5512 (xp sp3): accès direct au site MBAM
FF 3.6.10: idem
Opera 10.62 b3500: idem

conclusion ?
Encore un faux positif de Avira .

Sur ce coup ci, je ne pense pas qu'Avira t'es redirigé ailleurs, ni
par sécurité, ni par entente commerciale avec un site partenaire.

--
VaN.

"houba" <@lacave.net> a écrit dans le message de
news:4iilb61jju206ib3c16skcb1gj8gk8kq4a@4ax.com...

https://www.regnow.com/softsell
Et tu tombes direct dans l'onglet 'Market Place'

Je me dis, ou tu es contaminé ou c'est un site partenaire
commercial-vente de progiciels toutes catégories (Category List)
d'Avira...

Très curieux.
Si tu fais juste http://www.filescrunch.com , tu tombes sur une page
pratiquement blanche (genre site qui vient de se créer)
Et en rajoutant techspot au lien, tu te retrouves devant 3 dossiers.
le 1er: 5 utilitaires
le 2eme: mbam 1.46 du 16sept2010 et un autre zip
le 3eme: mbam 1.46 du 23sept2010

Je doute qu'Avira s'emmerderait avec un site partenaire commercial
aussi peu achalandé.
Je crains que tu sois réellement contaminé par une redirection.

Et en creusant un peu cela confirme avec une recherche gougueule sur
filescrunch.com

http://www.vistax64.com/system-security/282713-interactive-services-dialogue-detection-virus.html
Registry Keys Infected:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExtStats{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb}
(Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USERSOFTWAREThe Weather Channel (Adware.Hotbar) ->
Quarantined and deleted successfully.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallWeather
Services (Adware.Hotbar) -> Quarantined and deleted successfully.
Registry Values Infected:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionControl
PanelCplswxfw.dll (Adware.Hotbar) -> Quarantined and deleted
successfully.

C'est MBAM qui a déniché et éradiqué ces clés dans la BdR.

Sur ce coup ci, je ne pense pas qu'Avira t'es redirigé ailleurs, ni
par sécurité, ni par entente commerciale avec un site partenaire.

de quoi tu parles ?

De ce que tu dis je retiens que le blocage de filecrunch par Avira serait
justifié.
J'ai également été surpris par ce lien commercial qui possède même un id
client. Mais ce genre de pratiques commerciales est tellement répandu...
Mais pour le reste

MBAM, pas celui ci, celui qui est installé depuis longtemps, ne trouve rien.

Dans une MV avec Vista32b, depuis IE8 le site MBAM me renvoi sur Techspot
(comme FF sur l'hôte) et cette fois le lien me renvoi var filecrunch, qui
est lui même bloque par Antivir webguard (situe sur ma machine hôte).


Donc je vais effectivement voir pourquoi le IE8 de l'hôte me renvoi sur
FileForum.betanews.com
Mais ca n'explique pas pourquoi je pars sur file crunch que Avira bloque.

de quel accès direct parles tu ?


--
Cordialement,
Az Sam.

Bonjour ° Bonsoir, le Sun, 17 Oct 2010 14:20:58 +0200, "Az Sam"
<me@home.net> a wroté:

re,

"houba" <@lacave.net> a écrit dans le message de
news:4iilb61jju206ib3c16skcb1gj8gk8kq4a@4ax.com...

http://www.vistax64.com/system-security/282713-interactive-services-dialogue-detection-virus.html
Registry Keys Infected:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExtStats{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb}
(Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USERSOFTWAREThe Weather Channel (Adware.Hotbar) ->
Quarantined and deleted successfully.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallWeather
Services (Adware.Hotbar) -> Quarantined and deleted successfully.
Registry Values Infected:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionControl
PanelCplswxfw.dll (Adware.Hotbar) -> Quarantined and deleted
successfully.

C'est MBAM qui a déniché et éradiqué ces clés dans la BdR.

Sur ce coup ci, je ne pense pas qu'Avira t'es redirigé ailleurs, ni
par sécurité, ni par entente commerciale avec un site partenaire.

de quoi tu parles ?

Lire un peu plus haut...
'Je crains que tu sois réellement contaminé par une redirection.
Et en creusant un peu cela confirme avec une recherche gougueule sur
filescrunch.com'

Mais ca n'explique pas pourquoi je pars sur file crunch que Avira bloque.

Je me serais demandé +tôt.
1. pourquoi une simple demande [d'accès] au site 'Malwarebytes' est
redirigée vers un autre site de [téléchargement] de MBAM qui n'est
qu'1 des produits de Malwarebytes ?
2. qui a initialisé cette re-direction, *.exe, *.dll, *.sys ...?
3. pourquoi Avira bloque alors que le lien filescrunch et le fichier
MBAM 1.46 à télécharger ne sont pas infectieux ?
http://forum.malekal.com/http-www-filescrunch-com-techspot-mb0923-mbam-setup-exe-t28880.html

de quel accès direct parles tu ?

Aucune *redirection* vers un autre site avec les 3 navigateurs et
Comodo que j'utilise, càd *directement* sur le site 'Malwarebytes'
avec le lien que t'avais donné.
http://www.malwarebytes.org/mbam.php

--
VaN.

Bonjour ° Bonsoir, le Sun, 17 Oct 2010 15:39:24 +0200, houba
<@lacave.net> a wroté:

Bonjour ° Bonsoir, le Sun, 17 Oct 2010 14:20:58 +0200, "Az Sam"
<me@home.net> a wroté:

Mais ca n'explique pas pourquoi je pars sur file crunch que Avira bloque.

Je me serais demandé +tôt.
1. pourquoi une simple demande [d'accès] au site 'Malwarebytes' est
redirigée vers un autre site de [téléchargement] de MBAM qui n'est
qu'1 des produits de Malwarebytes ?
2. qui a initialisé cette re-direction, *.exe, *.dll, *.sys ...?
3. pourquoi Avira bloque alors que le lien filescrunch et le fichier
MBAM 1.46 à télécharger ne sont pas infectieux ?
http://forum.malekal.com/http-www-filescrunch-com-techspot-mb0923-mbam-setup-exe-t28880.html

Ok, oublie le point 1, car tu as bien demandé d'accéder à la fiche
produit MBAM.

Sur le point 2, je te rejoins sur la question que tu te posais.
Mais je ne pense pas que c'est la sécu du navigateur qui te l'a
imposé, ni des liens privilégiés de partenaires commerciaux qu'Avira
t'aurait re-routés (vu la pauvreté de techspot).

Sur un autre poste que j'ai, j'y accède également directement avec:
FF 2.0.0.9
Avira Free (product vers. 9.0.0.422 du 09Mars2010 et VirusDefinition
au 16Oct2010).

Sur le point 3, je dirais qu'Avira premium a paniqué pour rien.

--
VaN.

"houba" <@lacave.net> a écrit dans le message de
news:gaslb6loqaq0fd1qcbkuodqkljlsaqnrul@4ax.com...

Je me serais demandé +tôt.
1. pourquoi une simple demande [d'accès] au site 'Malwarebytes' est
redirigée vers un autre site de [téléchargement] de MBAM qui n'est
qu'1 des produits de Malwarebytes ?
2. qui a initialisé cette re-direction, *.exe, *.dll, *.sys ...?
3. pourquoi Avira bloque alors que le lien filescrunch et le fichier
MBAM 1.46 à télécharger ne sont pas infectieux ?
http://forum.malekal.com/http-www-filescrunch-com-techspot-mb0923-mbam-setup-exe-t28880.html

heu.. et ca m'apprend quoi ca ? Si MalwareByte's a un partenariat avec
ThePlanet que puis je en savoir.
C'est bien ce que je me suis dit, encore un FP de Avira.

Aucune *redirection* vers un autre site avec les 3 navigateurs et
Comodo que j'utilise, càd *directement* sur le site 'Malwarebytes'
avec le lien que t'avais donné.
http://www.malwarebytes.org/mbam.php

J'ai peur que tu n'ai mal compris alors. Ce lien envoi bien sur le site
officiel de MBAM.
C'est ensuite que ca se corse. relis ;-)
C'est le lien DANS la page officielle VERS le téléchargement qui renvoi
comme décrit.

On parle bien de la même chose ? Du lien de téléchargement pas de la page
elle même?


Opéra et chrome donnent le même fileforum sur mon W7-64b.
Je vérifie chez moi, mais pour l'instant chou blanc.
Le Hosts est clean bien sur.
Les DNS sont ceux de Free
Pas "vu" de procès incongrus (mais ca c'est pas très fiable)
Pa vu de dll "anormales" chargées par svchost (depuis HJT)
Pas trouve de drivers en tant que services suspects
Avira = 0
Panda = 0
Trend = 0
commodo en ligne que j'ai fait suite a ton poste =0
MBAM =0
VBA32 = en cours, (il a trouve des trucs mais ca doit être des connus dans
mes archives + outils)

Je teste les rootkits maintenant.

Mais j'ai bien l'impression que ce choix de fileforum sur le IE8 de ma
machine est lie a autre chose.

--
Cordialement,
Az Sam.

Az Sam avait soumis l'idée :

Bonjour,

Vous me direz que mon titre n'a guère de sens.
C'est vrai. Et en même temps il en a quand même un.

Si vous allez sur le site de MBAM pour le télécharger en version gratuite :
http://www.malwarebytes.org/mbam.php

- Avec IE8 vous êtes redirigé vers
http://fileforum.betanews.com/download/Malwarebytes-AntiMalware/1186760019/1
Dont le lien de téléchargement de MBAM est :
https://www.regnow.com/softsell/visitor.cgi?affiliate793&action=site&vendor128&ref=http%3A%2F%2Ffileforum.betanews.com%2Fsendfile%2F1186760019%2F1%2F1287308213.41d9770bbd0b8c4c7c82db9813b157ebf99bcc25%2Fmbam-setup.exe

- avec IE6 ou Firefox 3.6 vous êtes rediriger sur une page techspot qui vous
renvoi par le bouton de téléchargement vers
http://www.filescrunch.com/techspot/mb0923/mbam-setup-1.46.exe


avec le lien de IE8 Antivir premium ne dit rien.
Avec le lien de IE6 ou FF Antivir webguard bloque le lien de téléchargement

Lequel est dangereux ? les 2 peut être... ou aucun !

Voici les MD5 de chaque fichiers :
6ae625d478c96a378dfc9683f9db34ba *mbam-setup-1.46.exe
6ae625d478c96a378dfc9683f9db34ba *mbam-setup.exe


conclusion ?
Encore un faux positif de Avira .

Bizarre, moi je suis redirigé (en choisissant le version 'free')vers:
http://www.bleepingcomputer.com/download/anti-virus/malwarebytes-anti-malware?1

Je suis chez Free avec les DNS de Free.

--
In gold we trust (c)

Bonjour ° Bonsoir, le Sun, 17 Oct 2010 16:59:00 +0200, "Az Sam"
<me@home.net> a wroté:

J'ai peur que tu n'ai mal compris alors. Ce lien envoi bien sur le site
officiel de MBAM.
C'est ensuite que ca se corse. relis ;-)
C'est le lien DANS la page officielle VERS le téléchargement qui renvoi
comme décrit.

Vi t'as raison, manque de concentration et j'ai lu trop vite.

Pour la vers gratuite MBAM par 4 fois Opera 10.62 b3500 me renvoie sur
http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html?part=dl-10804572&subj=dl&tag=button
le téléchargement effectif reste sur cnet.

Tandis que FF 3.6.10 par 2 fois me renvoie
http://www.techspot.com/downloads/4716-malwarebytes-anti-malware.html
le téléchargement effectif envoie bien sur FilesCrunch.
le MBAM-setup.1.46 téléchargé est [sain] sur VirusTotal 0sur43.

Par contre je me suis amusé à copier ton lien FileForum.betanews dans
FF. Je valide, je vais sur téléchargement et le téléchargement pointe
sur dl.betanews.com. Je ferme FF.
Je rouvre FF, je recopie ton lien MalwareByte, valide et clik sur
téléchargement de la version gratuite.
Et bam, je me retrouve cette fois sur Fileforum et non plus sur
Techspot comme auparavant.


IE 6.2009.5512 (xp sp3), par 2 fois
http://www.bleepingcomputer.com/download/anti-virus/malwarebytes-anti-malware?1
le téléchargement effectif reste sur Bleepingcomputer.

Des 3 navigateurs, aucun blocage pour le téléchargement. Comme je n'ai
pas Avira premium...mais Comodo.

--
VaN.

"houba" <@lacave.net> a écrit dans le message de
news:7s5mb6pth1js3n23l8gcg8lb78qah5s7m5@4ax.com...

Pour la vers gratuite MBAM par 4 fois Opera 10.62 b3500 me renvoie sur
http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html?part=dl-10804572&subj=dl&tag=button
le téléchargement effectif reste sur cnet.

Tandis que FF 3.6.10 par 2 fois me renvoie
http://www.techspot.com/downloads/4716-malwarebytes-anti-malware.html
le téléchargement effectif envoie bien sur FilesCrunch.
le MBAM-setup.1.46 téléchargé est [sain] sur VirusTotal 0sur43.

Par contre je me suis amusé à copier ton lien FileForum.betanews dans
FF. Je valide, je vais sur téléchargement et le téléchargement pointe
sur dl.betanews.com. Je ferme FF.
Je rouvre FF, je recopie ton lien MalwareByte, valide et clik sur
téléchargement de la version gratuite.
Et bam, je me retrouve cette fois sur Fileforum et non plus sur
Techspot comme auparavant.


IE 6.2009.5512 (xp sp3), par 2 fois
http://www.bleepingcomputer.com/download/anti-virus/malwarebytes-anti-malware?1
le téléchargement effectif reste sur Bleepingcomputer.

Des 3 navigateurs, aucun blocage pour le téléchargement. Comme je n'ai
pas Avira premium...mais Comodo.

ca c'est excellent.
Donc que peut bien chercher a faire ce /mbam-download.php du site de MBAM ?
Il utilise les cookies ? il jette un oeil dans l'historique ? il redirige
sur une liste de partenaires en fonction de la charge/occupation/origine
IP/Autre ?

Tout cela est tout de même bien ennuyeux de la part d'un logiciel de
sécurité.
Surtout quand couple avec un générateur de faux positif (mais est ce a tort
?) comme Antivir. :-/
Je sens qu'il va sauter pas tard lui, comme Avast en son temps. Ca fait déjà
un moment que j'en cause. Heureusement que c'était dimanche et qu'il fait
froid...

Moi je n'ai rien trouvé sur ma machine en tout cas. ca faisait bien
longtemps qu'elle n'avait pas chauffe comme ca ;-)



--
Cordialement,
Az Sam.