Trojan dans Drivers SAGEM F@ST 800

[benden]

Salut à tous

 

Il est TOUJOURS stipuler lors de l'installation de Drivers materiel , de stopper sont anti virus, car ceux ci ont une certaine tendance à faite de la psychose à ce moment la......

 

J'ai eu le meme cas avec kaspersky et sagem,

 

l'install sans kaspersky a fonctionné...Apres l'install faire un scan generale du Pc par kaspersky, ( ca rassure...) mais pas de prob il ne trouve rien !!!

 

Salut

[Myki]

Bon on va essayer de démeler cette histoire qui m'en rappelle un autre.

 

Y'a un bout de temps, un programmeur francais avait trouvé une porte dérobée sur les drivers du speed touch (alcatel) mais ca n'avait ému personne.

Ensuite, vint le jap du FBI (je me souviens plus de son nom), celui là meme qui avait arrété Kevin Mitnick (fallait le faire). Il avait dit qu'il s'amusait à optimiser les drivers quand il a découvert la faille (un an plus tard, après le francais).

Mais comme il était médiatisé (on sait pourquoi) il a eu plus de personnes qui l'ont écouté.

Réponse : cette porte dérobée sert pour la mise à jour et l'administration.

 

Donc, si Sagem s'amuse à faire le meme genre de chose, c'est tout simplement une belle porte dérobée (backdoor pour les intimes).

 

Myki, pas parano, mais mal au dos à force

[AlainM]

j'ai eu le meme soucis avec kaspersky 5 qui me trouvait 2 trojan dans svchost bizarre tout ca

Bonjour à tous

 

J'ai eu aussi le même problème.

svchost.exe se loge dans le fichier C:\Windows\Win32\Drivers et nulle par ailleurs et c'est un trojean de la forme Win32.Welchia.B, donc n'allez pas supprimer un autre fichier du même nom celà risquerait de vous poser des problèmes de fonctionnement.

 

Par contre pour ce qui est du fichier autoclk.exe je l'ai trouvé dans C:\Windows et c'est effectivement un trojan de la form KillReg.d, il date du 30/04 et il est possible que ce soit la date à laquelle j'ai mis en place la mise à jour de mon Sagem, mais là je ne sais pas, donc si une personne peut me renseigner. Pour l'instant il est à la corbeille et une fois mon ordinateur relancé tout fonctionne correctement.

 

Bon week end à tous

@lain

[higgins]

Bonjour à tous,

 

j'ai un sagem (fast800) également, j'ai aussi l'exe "autoclk.exe" dans windows\,

mais pas dans la BDR dans run.

j'ai ouvert cet exe avec le bloc note pour voir ce qu'il raconte, il se sert d'une DLL "ADVAPI32.dll" qui se trouve dans win\syst32\ et dans win\servicepackfile\

 

il y a un passage avec ça:

 

HotPlug.DLL NEWDEV.DLL software\microsoft\windows\currentversion\run autoclk Local AppWizard-Generated Applications CMainFrame Installed SOFTWARE\SAGEM\F@st800

 

 

et à la fin y'a tout ça: c'est bien bizzare comme prog...

 

 

a u t o c l k R e a d y E X T C A P N U M S C R L O V R R E C ? D i s p l a y p r o g r a m i n f o r m a t i o n , v e r s i o n n u m b e r a n d c o p y r i g h t

A b o u t 4 Q u i t t h e a p p l i c a t i o n ; p r o m p t s t o s a v e d o c u m e n t s

E x i t ( S w i t c h t o t h e n e x t w i n d o w p a n e

N e x t P a n e 5 S w i t c h b a c k t o t h e p r e v i o u s w i n d o w p a n e

P r e v i o u s P a n e ( S p l i t t h e a c t i v e w i n d o w i n t o p a n e s

S p l i t E r a s e t h e s e l e c t i o n

E r a s e E r a s e e v e r y t h i n g

E r a s e A l l 3 C o p y t h e s e l e c t i o n a n d p u t i t o n t h e C l i p b o a r d

C o p y 1 C u t t h e s e l e c t i o n a n d p u t i t o n t h e C l i p b o a r d

C u t F i n d t h e s p e c i f i e d t e x t

F i n d I n s e r t C l i p b o a r d c o n t e n t s

P a s t e R e p e a t t h e l a s t a c t i o n

R e p e a t 1 R e p l a c e s p e c i f i c t e x t w i t h d i f f e r e n t t e x t

R e p l a c e % S e l e c t t h e e n t i r e d o c u m e n t

S e l e c t A l l U n d o t h e l a s t a c t i o n

U n d o & R e d o t h e p r e v i o u s l y u n d o n e a c t i o n

R e d o C h a n g e t h e w i n d o w s i z e C h a n g e t h e w i n d o w p o s i t i o n R e d u c e t h e w i n d o w t o a n i c o n E n l a r g e t h e w i n d o w t o f u l l s i z e " S w i t c h t o t h e n e x t d o c u m e n t w i n d o w & S w i t c h t o t h e p r e v i o u s d o c u m e n t w i n d o w 9 C l o s e t h e a c t i v e w i n d o w a n d p r o m p t s t o s a v e t h e d o c u m e n t s ! R e s t o r e t h e w i n d o w t o n o r m a l s i z e A c t i v a t e T a s k L i s t O p e n S a v e A s A l l F i l e s ( * . * ) U n t i t l e d a n u n n a m e d f i l e & H i d e N o e r r o r m e s s a g e i s a v a i l a b l e . ' A n u n s u p p o r t e d o p e r a t i o n w a s a t t e m p t e d . $ A r e q u i r e d r e s o u r c e w a s u n a v a i l a b l e . O u t o f m e m o r y . A n u n k n o w n e r r o r h a s o c c u r r e d . I n v a l i d f i l e n a m e . F a i l e d t o o p e n d o c u m e n t . F a i l e d t o s a v e d o c u m e n t . S a v e c h a n g e s t o % 1 ? F a i l e d t o c r e a t e e m p t y d o c u m e n t . T h e f i l e i s t o o l a r g e t o o p e n . C o u l d n o t s t a r t p r i n t j o b . F a i l e d t o l a u n c h h e l p . I n t e r n a l a p p l i c a t i o n e r r o r . C o m m a n d f a i l e d . ) I n s u f f i c i e n t m e m o r y t o p e r f o r m o p e r a t i o n . P S y s t e m r e g i s t r y e n t r i e s h a v e b e e n r e m o v e d a n d t h e I N I f i l e ( i f a n y ) w a s d e l e t e d . B N o t a l l o f t h e s y s t e m r e g i s t r y e n t r i e s ( o r I N I f i l e ) w e r e r e m o v e d . F T h i s p r o g r a m r e q u i r e s t h e f i l e % s , w h i c h w a s n o t f o u n d o n t h i s s y s t e m . t T h i s p r o g r a m i s l i n k e d t o t h e m i s s i n g e x p o r t % s i n t h e f i l e % s . T h i s m a c h i n e m a y h a v e a n i n c o m p a t i b l e v e r s i o n o f % s . # U n a b l e t o r e a d w r i t e - o n l y p r o p e r t y . # U n a b l e t o w r i t e r e a d - o n l y p r o p e r t y . U n e x p e c t e d f i l e f o r m a t . V % 1

C a n n o t f i n d t h i s f i l e .

P l e a s e v e r i f y t h a t t h e c o r r e c t p a t h a n d f i l e n a m e a r e g i v e n . D e s t i n a t i o n d i s k d r i v e i s f u l l . 5 U n a b l e t o r e a d f r o m % 1 , i t i s o p e n e d b y s o m e o n e e l s e . A U n a b l e t o w r i t e t o % 1 , i t i s r e a d - o n l y o r o p e n e d b y s o m e o n e e l s e . . A n u n e x p e c t e d e r r o r o c c u r r e d w h i l e r e a d i n g % 1 . . A n u n e x p e c t e d e r r o r o c c u r r e d w h i l e w r i t i n g % 1 . P l e a s e e n t e r a n i n t e g e r . P l e a s e e n t e r a n u m b e r . * P l e a s e e n t e r a n i n t e g e r b e t w e e n % 1 a n d % 2 . ( P l e a s e e n t e r a n u m b e r b e t w e e n % 1 a n d % 2 . ( P l e a s e e n t e r n o m o r e t h a n % 1 c h a r a c t e r s . P l e a s e s e l e c t a b u t t o n . * P l e a s e e n t e r a n i n t e g e r b e t w e e n 0 a n d 2 5 5 . P l e a s e e n t e r a p o s i t i v e i n t e g e r . P l e a s e e n t e r a d a t e a n d / o r t i m e . P l e a s e e n t e r a c u r r e n c y . N o e r r o r o c c u r r e d . - A n u n k n o w n e r r o r o c c u r r e d w h i l e a c c e s s i n g % 1 . % 1 w a s n o t f o u n d . % 1 c o n t a i n s a n i n v a l i d p a t h . = % 1 c o u l d n o t b e o p e n e d b e c a u s e t h e r e a r e t o o m a n y o p e n f i l e s . A c c e s s t o % 1 w a s d e n i e d . . A n i n v a l i d f i l e h a n d l e w a s a s s o c i a t e d w i t h % 1 . < % 1 c o u l d n o t b e r e m o v e d b e c a u s e i t i s t h e c u r r e n t d i r e c t o r y . 6 % 1 c o u l d n o t b e c r e a t e d b e c a u s e t h e d i r e c t o r y i s f u l l . S e e k f a i l e d o n % 1 5 A h a r d w a r e I / O e r r o r w a s r e p o r t e d w h i l e a c c e s s i n g % 1 . 0 A s h a r i n g v i o l a t i o n o c c u r r e d w h i l e a c c e s s i n g % 1 . 0 A l o c k i n g v i o l a t i o n o c c u r r e d w h i l e a c c e s s i n g % 1 . D i s k f u l l w h i l e a c c e s s i n g % 1 . . A n a t t e m p t w a s m a d e t o a c c e s s % 1 p a s t i t s e n d . N o e r r o r o c c u r r e d . - A n u n k n o w n e r r o r o c c u r r e d w h i l e a c c e s s i n g % 1 . / A n a t t e m p t w a s m a d e t o w r i t e t o t h e r e a d i n g % 1 . . A n a t t e m p t w a s m a d e t o a c c e s s % 1 p a s t i t s e n d . 0 A n a t t e m p t w a s m a d e t o r e a d f r o m t h e w r i t i n g % 1 . % 1 h a s a b a d f o r m a t . " % 1 c o n t a i n e d a n u n e x p e c t e d o b j e c t . % 1 c o n t a i n s a n i n c o r r e c t s c h e m a . # U n a b l e t o l o a d m a i l s y s t e m s u p p o r t . M a i l s y s t e m D L L i s i n v a l i d . ! S e n d M a i l f a i l e d t o s e n d m e s s a g e . p i x e l s

[_Michel_]

Salut,

 

Je pense que Kapersky détecte un trojan là où il n'y en a pas à cause de son moteur heuristique (basé sur l'analyse du code et pas sur les signatures virales).

 

Voilà ce que l'on trouve sur autoclk.exe :

Voici la réponse de Sagem :

 

autoclk.exe est un software qui est installé par le Fast800 et qui sert à refermer les fenêtres Windows, lors de la demande de signature windows, ce n'est donc pas un virus ni un trojan ni un spyware, Kapersky à émis une fausse alerte.

Source : http://forum.touslesdrivers.com/reponses.p...24&v_pm=&v_pr=3

[HeAdLeSs]

si les pilotes sont pas signés c de la gruge de bloquer la fenetre...

 

depuis ke je l'ai delete g plus aucun probleme de connexion comme je l'ai ecrit plus heut, le modem se desynchronise plus, la seule deco ke g c au bout de 24h pour le changement IP. je l'ai delete ca marche mieux depuis donc je peux que vous encourager a le faire, maintenant chacun et libre de son choix...

 

voila en tt k si ca sert a de la maintenance comme le dit Myki ben jla fait moi meme la maintenance g pa besoin ke sagem vienne farfouiller ché moi allez hop autoclk.exe tu restes a l'etat de souvenir... d'ailleurs ca serait une freebox avec maj du fimware je ve bien, mais la....

 

enfin c chelou cette histoire.

 

bonne nuit

 

 

+a+

Modifié le 9 mai 2004 par HeAdLeSs