Un trojan dans les kit free

Un trojan dans les kit free - Sécurité - Windows & Software

Marsh Posté le 29-05-2004 à 18:04:16    

Je sais bien que c'est à la mode d'espionner son prochain par les sociétés du NASDAQ.
 
Mais quand même autant ils peuvent s'espionner entre eux ca ne nous dérange pas. Mais quand on entre dans les foyers avec des spyware planqué ca devient limite quand même.
 
En voulant installer un pilote de MODEM Sagem Fast 800 et ne trouvant pas le pilote sur le site du constructeur (les drivers Windows ne sont plus en ligne pour une raison obscure) et nul part sur le net j'ai donc essayer de les télécharger chez un FAI qui fournis des MODEM ADSL Sagem (Tiscal, Free...).
 
Le site de tiscali donne une URL sur le site de Sagem donc pas de bol. Mais Free dans sa grande bontée propose un kit avec les pilotes. Enfin, j'avais trouvé les pilotes...
 
Bien malheuresement ceux-ci sont en auto-extractible et incompatible avec Winzip, Winrar & Co... Il faut donc exécuter le fichier. Alors j'éxécute !
 
Et la au fil des fenètres de configution mon antivirus (F-Secure) m'annonce le trojan (au moment de la configuration PPPoE) :
 
2004-05-29  17:37:59+02:00 F-Secure Anti-Virus
 Malicious code found in file C:\WINDOWS\auto704a.rra.
 Infection: Trojan.Win32.KillReg.d
 
Alors c'est quoi ? Une parano de ma part, ou un coup bas de chez Free ?
 
PS : pensant que ce Trojan était venu la "par hasard" par un port quelconque j'ai réésayer l'installation du kit et la chose a recommencer donc...
 
EDIT : Ce n'est pas dans le kit Free qu'il y a le Trojan mais dans le pilote lui même. J'ai trouvé une ancienne version du pilote (2.0.11) et en l'intallant j'ai eu le même avertissement.


Message édité par Drwily le 31-05-2004 à 16:05:29

---------------
@+
Reply

Marsh Posté le 29-05-2004 à 18:04:16   

Reply

Marsh Posté le 29-05-2004 à 18:26:00    

salut, ah je vois que je suis pas le seul!!!
 
meme trojan detecte par fsecure et pour verifier j'ai teste avec avp5 meme detection de ce trojan.
 
je me suis posé la meme question sur la paranoia  
 
pour l'instant je sais pas quoi en penser !
 
j'utilises le sagem 800 quand probleme de connection avec le bewan ethernet, je me suis donc empresser de desinstaller le program suspect.

Reply

Marsh Posté le 29-05-2004 à 18:42:18    

Le pire c'est que le fichier incriminé n'est absolument pas utile a l'installation.
 
Je me dit aussi que c'est peut être pour ca que les pilotes Windows du Sagem 800 ont été retiré.


---------------
@+
Reply

Marsh Posté le 29-05-2004 à 18:45:05    

Vous etes sur que c'est pas f-secure, qui fait du zelle

Reply

Marsh Posté le 29-05-2004 à 23:51:21    

DesuetCR_B a écrit :

Vous etes sur que c'est pas f-secure, qui fait du zelle


 
c'est carrément ça  :o   :jap:  
 

Reply

Marsh Posté le 30-05-2004 à 01:07:50    

sayen a écrit :

c'est carrément ça  :o   :jap:


Ca me rapelle la glorieuse epoque ou je m'etait lancé dans le pascal : j'avai fai une merde qui fesai biper le buzzer, norton m'y a trouvé un dangereux virux  [:sygus]

Reply

Marsh Posté le 30-05-2004 à 02:29:22    

hu hu pareil pour le pascal, en plus c'était un code à la con, le genre de prog que tu dois faire comme exercice :D
 
pour le KillReg.d, c'est un de ces trucs pouris qui te change la page de démarrage de iexplore, c'est pas méchant mais c'est quand même des cons !

Reply

Marsh Posté le 30-05-2004 à 03:44:27    

J'ai essayé avec PCCilin et Norton 2003 tout deux a jour et même résultat.
 
Si c'est un faux trojan il est quand même très similaire pour tous les antivirus.  :sarcastic:

Reply

Marsh Posté le 30-05-2004 à 05:19:48    

ouaip mais si tu vas voir sur le site de mcafee ou trendmicro ou symantec, ils n'est pas vraiment dans la base de données... c'est une page de démarrage de ie...

Reply

Marsh Posté le 31-05-2004 à 04:36:42    

Donc pas trop grave. Mais bon c'est tout de même assez limite, c'est sur que c'est juste ca ? C'est pas un truc qui modofi le registre vite fait dans les coins ?

Reply

Marsh Posté le 31-05-2004 à 04:36:42   

Reply

Marsh Posté le 31-05-2004 à 06:38:41    

C'est probablement un faux positif... suffit que la chaîne utilisée pour identifier le trojan sus-mentionné se trouve dans un programme légitime pour que l'AV gueule.
 
Il y a certes une faible probabilité que celà arrive, mais comme tu peux le constater elle n'est pas nulle.


Message édité par Requin le 31-05-2004 à 06:39:31
Reply

Marsh Posté le 31-05-2004 à 15:42:56    

Ok je vous fait confiance. Mais comme le pilote a été retiré préipitement du téléchargement chez Sagem ca m'a paru louche...
 
(ils mettent "piolte en cour de mise a jour" c'est bien la 1ère fois que je vois un constructeur enlever les anciennes versions pendant la mise a jour de nouvelles versions...)

Reply

Marsh Posté le 31-05-2004 à 15:45:12    

DrWily a écrit :

Ok je vous fait confiance. Mais comme le pilote a été retiré préipitement du téléchargement chez Sagem ca m'a paru louche...
 
(ils mettent "piolte en cour de mise a jour" c'est bien la 1ère fois que je vois un constructeur enlever les anciennes versions pendant la mise a jour de nouvelles versions...)


 
Pour qu il n y ait pas de conflit avec vos fameux antivirus ;)  
Ils ont preferé le retirer au lieu d avoir des milliers de plaintes :D

Reply

Marsh Posté le 31-05-2004 à 17:50:32    

Ca me parais plausible.

Reply

Marsh Posté le 10-06-2004 à 13:29:15    

salut, oui je me suis posé la question de savoir si c'eatit pas fsecure ou avp5 mais bon le truc me deplais quand meme!
je crois meme que si je le supprimer l'install ne finis pas;
par contre en desactivant l'antivirus , install, reactivation de l'antivirus, detection et suppression, cela n'empeche pas le modem et program lié de fonctionner  
voici un screenshot du probleme:
http://lolojpm.free.fr/IMAGE/sagem800_trojan.jpg

Reply

Marsh Posté le 11-06-2004 à 17:34:51    

moi, c'est carrement internet qui ne marche plus
j'ai essayer de tout reinstaller mais rien ne marche je sais plus comment faire . Quelqu'un pourrai m'aider ?

Reply

Marsh Posté le 11-06-2004 à 23:01:05    

lolodel a écrit :

salut, ah je vois que je suis pas le seul!!!
 
meme trojan detecte par fsecure et pour verifier j'ai teste avec avp5 meme detection de ce trojan.
 
je me suis posé la meme question sur la paranoia  
 
pour l'instant je sais pas quoi en penser !
 
j'utilises le sagem 800 quand probleme de connection avec le bewan ethernet, je me suis donc empresser de desinstaller le program suspect.


 
C'est probablement l'algo de détection empirique des antivirus qui fait du zèle.  
 
Le truc Sagem en question se lance automatiquement au démarrage, voire quand on le tue il me semble. Ca peut être interprété comme un code malicieux alors que ça ne l'est pas.

Reply

Marsh Posté le 13-06-2004 à 19:21:06    

Ce truc est egalement detecte par RAV...
Il s'installe dans la restauration automatique, je ne pense pas que ce soit une fausse alerte...
En le supprimant tout fonctionne quand meme correctement.

Reply

Marsh Posté le 14-06-2004 à 13:02:04    

Je penses que c'est tout de même suspect puisque Sagem a retiré ses drivers. Il doit y avoir un truc...


---------------
@+
Reply

Marsh Posté le 16-06-2004 à 23:48:24    

bonsoir,  
je suis sur Free adsl et mon antivirus pccillin vient de mettre troj killreg D en quarantaine, que dois-je faire le laisser en quarantaine ou le supprimer et comment, j'ai eu qq soucis avec internet explorer, une fenêtre apparaissait en me proposant une mise à jour d'internet exploreur, méfiante j'ai refusé.. par précaution j'ai installé netscape navigator, ... cela n'a peut etre aucun rapport, bon excusez moi je ne suis pas très calée

Reply

Marsh Posté le 17-06-2004 à 10:14:58    

Oui tu peux vider ta qurantaine...

Reply

Marsh Posté le 17-06-2004 à 13:48:23    

Moi j'ai eu une alerte le 15 juin (trend serverprotect)
 
Pourtant ma connexion est installé depuis trèèèès longtemps, je n'ai fait aucune mise à jour des pilotes, et voilà que ce 15 juin il me détecte un virus dans le fichier "autoclk.exe" lors de l'exécution de la tâche de scan planifiée chaque nuit (après update).
 
Voilà l'alerte:
 

Citation :


-----Original Message-----
From: <postmaster@...>
To: <me@...>
Date: Tue, 15 Jun 2004 00:06:01  
Subject: [SRV.local] Standard Alert
 
 
Scan: TASK SCAN  
Virus:   TROJ_KILLREG.D
File:   C:\WINNT\autoclk.exe
Computer:   SERVER
User:   SYSTEM
Infection source:   SERVER
 
 
Action:   CLEAN FAIL


 
Donc si j'ai bien compris, heureusement qu'il n'a pas réussi à nettoyer le fichier ?


Message édité par Latinus le 17-06-2004 à 13:49:31
Reply

Marsh Posté le 17-06-2004 à 13:51:54    

le problème est discuté à un stade plus avancé ici :  
 
http://forum.touslesdrivers.com/re [...] 724&v_pr=1

Reply

Marsh Posté le 17-06-2004 à 21:57:52    

salut à tous,
j'ai eu moi aussi cette désagréable surprise aujourd'hui en installant mon sagem fast 800 sur mon autre pc, sauf que chez moi c'est le firewall qui arrête pas de m'annoncer des tentatives d'intrusion (netbios...avec une ip différente à chaque fois)...
j'ai scanné le pc avec norton,puis avec kaspersky qui n'y ont vu que du feu.. c'est le scan en ligne de secuser qui m'a décelé le fameux troj killreg.d une fois et qui depuis ne le detecte plus.
Or les tentatives d'intrusion à repetition continuent.
j'ai donc éssayé les deux antivirus sité précedement, j'ai désinstallé le driver puis réinstallé, j'ai supprimé les deux fichiers autoclk en mode sans echec,fais une restauration système.... mais rien n'y fait, alors si qqn a la solution ce serait sympa de la communiquer

Reply

Marsh Posté le 17-06-2004 à 22:52:52    

Bizarre pourtant Kaspersky le detecte...

Reply

Marsh Posté le 17-06-2004 à 22:58:00    

pour info j'avais eu le même symptome avec AVP a la suite d'un windows update...
Je ne sais tjrs pas d'où venait le pbl (AVP ou microsoft)...:??:

Reply

Marsh Posté le 17-06-2004 à 23:05:19    

et comment t'as résolu le problème stp???

Reply

Marsh Posté le 18-06-2004 à 07:30:14    

ben laissé AVP supprimé le fichier...
http://forum.hardware.fr/forum2.ph [...] =0&subcat=

Reply

Marsh Posté le 18-06-2004 à 09:05:44    

ottomobile a écrit :


j'ai scanné le pc avec norton,puis avec kaspersky qui n'y ont vu que du feu.. c'est le scan en ligne de secuser qui m'a décelé le fameux troj killreg.d une fois et qui depuis ne le detecte plus.


 
Ce qui nous ramène à Trend :)
 
(secuser antivirus = produit TrendMicro, donc même parten que pc-cilin, officescan, serverprotect, ...)
 
Si c'est un problème du côté de Trend, c'est sans doute normal que ce fameux fichier ne soit plus détecté comme étant un virus depuis leur dernière mise à jour de patern.
Rechercher le topic qui cause de "supercopier", y'a eu aussi un souci de ce genre (avec Trend également).

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed