Nouvel outil de suppression de virus

[ipl_001]

Bonsoir centaure, bonsoir à tous,

 

Tu peux exprimer les mêmes choses avec des mots plus corrects et si tu es de mauvais poil, défoule toi sur autre chose !

 

Emettre des réserves en examinant l'outil est permis ; tirer dessus à boulet rouge, non !

 

As-tu proposé un outil, toi ? une procédure ? un tutorial ?

 

Je t'ai déjà demandé plus de correction ( http://forum.zebulon.fr/index.php?s=&s...st&p=777602 ), tu as fait des progrès ! Je te prie de faire encore des efforts et de mieux choisir tes mots !

Oliver369 et beckbe sont parfaitement corrects !

 

Encore une fois : si le sujet ne te plaît pas, n'y viens pas !

 

 

 

Pour ce qui est du message de Tauscan, je rappelle que le tutorial de Smitfraudfix affiche la mention :

Faux positif :

 

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

http://www.beyondlogic.org/consulting/proc...processutil.htm

sans que personne ne s'en émeuve !

S!Ri a, en ce moment, un problème avec Panda qui persiste à lui trouver Win32.Bagle.pwdzip et il ne parvient même pas à avoir de réponse de leur part !

Il faut dire que SmitfraudFix n'est pas compilé et est affichable, analysable, examinable par tous, ce qui facilite bien les choses !

[Pierre (aka Terdef)]

Bonjour Beckbe, Bonjour à tous

 

J'interviens ici car l'outil VSSCleaner a été annoncé sur mes forums.

 

Jusqu'à présent, seule la démarche de Laurent_62 a été la bonne.

 

A priori, l'outil est suspect mais ceci reste à vérifier.

 

Je n'arrive pas à joindre le site ni le téléchargement (quota de bande passante dépassé).

 

Je suis surpris de la manière dont Beckbe présente et défend cet outil avec une insistance appuyée : l'impression est qu'il en est l'auteur et ceci me fait penser à du cyberdexing ou du spamdexing.

 

Surtout ne pas désactiver la restauration du système avant d'exécuter un tel outil dont la nature est délicate, la présentation suspecte, la stabilité inexplorée et les résultats imprévisibles ! Quel est l'audacieux qui dirait le contraire ? Le seul cas ou il convient de recommander sa désactivation est lorsqu'un outil de type antivirus ou anti-trojans a détecté un parasite dans le répertoire de restauration et signale qu'il ne peut pas l'éradiquer. Préconiser de désactiver la restauration du système avant d'exécuter un outil qui va toucher aux ruches de la base de registre, c'est demander, explicitement, à l'utilisateur, de se mettre au bord du précipice et de faire un grand pas en avant ! C'est vouloir lui interdire de faire marche arrière et c'est, une nouvelle fois, suspect dans la démarche de présentation de cet outil et criminel en général.

 

L'exécuter 2 fois ? Encore faut-il savoir ce qu'il a fait la première fois ! Une mise à jour semble prévue avec affichage de ce qui est trouvé mais, généralement, ce sont les angoissés de la sécurité qui vont utiliser ce genre d’outil et il ne trouvera rien.

 

Laurent_62, je suggère de le tester sur une machine saine juste après avoir lancé un truc comme Total uninstall ( http://assiste.free.fr/p/logitheque/total_uninstall.php ) ou Ashampoo Uninstaller Suite ( http://assiste.free.fr/p/logitheque/ashamp...aller_suite.php ). Ainsi, on peut voir exactement tous les objets créés, modifiés, supprimés où qu'ils soient.

 

A propos de la redirection vers SpyCleaner : comment quelqu'un qui prétendrait oeuvrer dans l'anti-parasites ( je n'arrive pas à accéder à son site pour voir ce qui s'y dit mais, des extraits cités ici, cela ne va pas bien loin) pourrait rediriger ses lecteurs vers un utilitaire marginal (face aux grands antivirus ou anti-trojans) et, de surcroît, étant de notoriété piégé : Spycleaner est utilisé en cheval de Troie pour installer le parasite (adware) WhenU ! Il est dit, dans un message de ce fil de discussion, que SpyCleaner n'aurait rien à voir avec SpyCleaner mais serait le précédent nom de VSSCleaner. 2 remarques :

• une telle méconnaissance des outils existant avant de nommer le sien est affligeant (une simple recherche avec un moteur quelconque aurait permis de voir que ce nom était déjà utilisé!
  
• Pourquoi passe t’on de Spy à VSS ? L'auteur ne sait pas ce que fait son outil ? Spywares ou Virus ? C'est un peu léger que tout cela !
  

Cordialement

[centaure]

Content de voir que je ne souffre pas de paranoia aigu

[Pierre (aka Terdef)]

Bonjour à tous, Salut Ipl

 

A propos de l'envoi du fichier contenant le PE aux éditeurs d'antivirus et d'anti-trojans par Laurent_62 :

kaspersky.com

f-prot.com

bitdefender.com

trendmicro.com

ewido.net

nod32.com

eset.com

f-secure.com

sophos.com

 

C'est une bonne démarche que l'on peut simplifier. Lors de l'envoi d'un fichier pour analyse sur VirusTotal ou sur Jotti's VirusScan, si on ne coche pas explicitement une case demandant la confidentialité pour le fichier analysé, ("distribute" pour VirusTotal - après-tout, nous pouvons parfaitement faire analyser des fichiers contenant des données personnelles ou des travaux confidentiels...) celui-ci, dès qu'il est suspecté par un seul des outils utilisés est immédiatement diffusé à tous les autres éditeurs automatiquement (sauf, bien sûr, vers ceux ne faisant pas partie de ces 2 panels). Attention : Jotti's VirusScan ne permet pas la confidentialité et le fichier est systématiquement diffusé aux éditeurs.

 

kaspersky est dans les 2 panels

f-prot est dans les 2 panels

bitdefender est dans les 2 panels

trendmicro n'y est pas mais propose son analyse en ligne

ewido est dans le panel VirusTotal

nod32 est dans les 2 panels

eset n'y est pas

f-secure n'y est pas

sophos est dans le panel VirusTotal

 

Petit exercice instructif :

En recommençant la même analyse jour après jour, on s'aperçoit très rapidement de la prise en compte d'un parasite par les autres éditeurs qui mettent ainsi à jour leurs bases de signatures. Cet exercice est d'ailleurs intéressant pour analyser la vitesse de réaction des dits éditeurs et permet d'en tirer des conclusions quant-aux plus réactifs, aux moins réactifs et également, stratifier ceux qui ciblent spécifiquement telle ou telle nature de parasites mais pas une autre (certains antivirus sont résolument virus, d'autres sont touche à tout, y compris trojans, adwares, spywares, backdoor etc. ..., certains anti-trojans sont résolument anti-backdoor, trojans, spy etc. ... mais pas virus du tout, d'autres regardent également du côté des worms...).

Exemple : http://assiste.forum.free.fr/viewtopic.php?t=11658

 

Cordialement

[horus agressor]

Salut

 

Je viens de visiter ce site:

http://home.wanadoo.nl/oliversmith/fr/

 

J'ai mis la langue francaise. Tout en bas de l index, il y a :

Pourquoi nous envois t on sur un site ou le programme est un rogue?

 

Merci de ta réponse.

Bien vu Regis59

 

J'ai mentionné que le site http://home.wanadoo.nl est bloqué par ma liste hosts, mais personne n'y a prêté attention

 

Pour SpyCleaner auquel http://home.wanadoo.nl/oliversmith/fr/ renvoie, il fait partie de la liste des sites crapuleux d'Assiste. Vous trouvez pas ça douteux ? A moins que le concepteur de VSSCLEANER soit nul à ce point ou que sont propre log soit lui-même vérolé. Faire de la pub pour une autre vérole, c'est fortiche

 

spycleaner.net => http://assiste.free.fr/p/sites_crapuleux/s..._crapuleux.html

 

spycleaner-gold.com => http://assiste.free.fr/p/sites_crapuleux/s..._crapuleux.html

 

spyclean.com => http://assiste.free.fr/p/sites_crapuleux/s..._crapuleux.html

 

En espérant, cette fois, avoir su rester poli, aimable et constructif.

 

Amicalement.

Modifié le 17 juillet 2006 par horus agressor

[horus agressor]

en fait spycleaner etait la toute premiere version de vss cleaner. Donc c est juste que le site en francais est en construction et qu il envoie sur l ancien site.

Juste relire mon post précédent, Beckbe essaie bien de fourguer une vérole !! Vous trouvez cela honnête ? Que les Zorro viennent défendre Beckbe et sa vérole, que je marre un coup Charité bien ordonnée...

 

Alors que les âmes charitables du forum installe VSSVérole.exe si cela leur fait plaisr, pour ma part, j'ai rajouté cette daube à ma liste hosts.

 

Amicalement.

RAPPEL, tiré de l'aide SpyBot :

Spyware et pubs Dictionnaire

Qu'est-ce que le spyware? En termes simples, le spyware est un logiciel qui transmet des informations vous identifiant personnellement depuis votre ordinateur vers quelque part sur l'internet à votre insu, sans votre accord explicite.

 

Le spyware n'est pas du tout le produit que vous installez, mais de petits composants additionnels, que vous pouvez ou non mettre hors service pendant l'installation. Dans la plupart des cas, le contrat de licence (EULA) possède à un endroit quelconque quelques lignes vous parlant de vie privée, mais généralement la plupart des utilisateurs ne lisent pas la totalité du contrat de licence et ne savent jamais qu'ils ont du spyware sur leur système.

 

Une espèce moins menaçante de malveillant (malware) est l'adware. L'adware est semblable au spyware, mais ne transmet pas d'informations vous identifiant personnellement, ou du moins celui qui les recueille promet de ne pas les vendre. Au lieu de cela, des informations globales sur votre activité sont collectées.

 

L'adware est aussi souvent un effet secondaire du spyware, car les deux vous surveillent dans un seul but – vous envoyer de la pub spécialement adaptée à vos habitudes.

 

Une autre sorte d'espion qui est détectée dans la catégorie du spyware, ce sont les cookies traceurs. Les cookies sont utilisés partout sur internet, avec des fonctions utiles et moins utiles. Les annonceurs (boîtes de pub) installent souvent des cookies à chaque fois que votre navigateur ouvre une de leurs bannières de pub. Dans ce cas et si ce cookie contient un GUID (le GUID est un numéro permettant d'identifier de manière unique et certaine un composant matériel ou logiciel d'un ordinateur, ou l'ordinateur lui-même), la société est prévenue à chaque fois que vous visitez un site contenant ses pubs.

Modifié le 17 juillet 2006 par horus agressor

[horus agressor]

kevin76 peux tu me dire ou est ce que tu as eu ton fichier HOSTS?

Bonjour,

 

Ma liste est une compil entre les liste Assiste et Zebulon, et relit mes 2 derniers post, ton log est dans les sites crapuleux d'Assite, crapuleux parce que contenant au moins un spyware

 

Tu bosses pour qui pour défendre ta vérole à ce point-là ? Cela te rapporte-t-il du fric ?

 

Amicalement.

Modifié le 17 juillet 2006 par horus agressor

[horus agressor]

C'est qui le mec Russe ? Dmitry Sidorov

http://foreignexchange.tv/?q=node/1083

 

Le buisiness de Sidorov, le gaz et le pétrole ukrainien :

 

Dmitry Sidorov, Corrrespondent for the Russian business publication Kommersant. http://foreignexchange.tv/?q=node/1067

 

Russia Halts Natural Gas Sales to Ukraine http://abcnews.go.com/International/wireStory?id=1461996

 

UPDATE 3-Gazprom sees '06 gas export revenues up 27 pct http://today.reuters.com/business/newsArti...ryID=nL13732119

 

Pour le site foreignexchange :

Location: United States [City: Huntington Park, California]

 

NOTE: More information appears to be available at ZD69-ARIN.

 

 

OrgName: New Dream Network, LLC => site : http://www.newdream.net/ bloqué par ma liste hosts

OrgID: NDN

Address: 10 Pointe Drive

Address: Suite 235

City: Brea

StateProv: CA

PostalCode: 92821

Country: US

 

NetRange: 205.196.208.0 - 205.196.223.255

CIDR: 205.196.208.0/20

NetName: DREAMHOST-BLK3

NetHandle: NET-205-196-208-0-1

Parent: NET-205-0-0-0-0

NetType: Direct Allocation

NameServer: NS1.DREAMHOST.COM

NameServer: NS2.DREAMHOST.COM

NameServer: NS3.DREAMHOST.COM

Comment:

RegDate: 2004-05-18

Updated: 2004-05-18

 

OrgAbuseHandle: DAT5-ARIN

OrgAbuseName: DreamHost Abuse Team

OrgAbusePhone: +1-714-706-4182

OrgAbuseEmail: *****@dreamhost.com

 

OrgTechHandle: ZD69-ARIN

OrgTechName: Network Operations

OrgTechPhone: +1-714-706-4182

OrgTechEmail: ******@dreamhost.com

 

# ARIN WHOIS database, last updated 2006-07-16 19:10

# Enter ? for additional hints on searching ARIN's WHOIS database.

http://www.dnsstuff.com/tools/whois.ch?ip=205.196.208.249

Faut arrêter de nous prendre pour des bouffons !

 

Amicalement.

Modifié le 17 juillet 2006 par horus agressor

[Sacles]

Bonjour,

 

Je résume un peu l'histoire initiale de ce sujet:

 

- beckbe connaît un progammeur anglais très doué: Oliver Smith.

 

- Je m'étonne que le site mentionné redirige vers wanadoo.nl

 

- beckbe me donne l'explication: en fait Oliver Smith vit aux Pays-Bas où il (beckbe) vit aussi tout en étant Suisse.

 

Quand je m'étonne que vivant aux Pays-Bas, beckbe ne parle pas le néerlandais, il m'explique (avec un peu d'irritation) qu'il y vit seulement depuis un mois et apprends le Néerlandais mais qu'il n'a eu que 3 cours d'une heure.

 

Oliver Smith a créé un antivirus qui au départ s'appelait SpyCleaner (non déjà utilisé par un logiciel par très clean et repris d'après beckbe par erreur).

 

Le site renvoyait vers celui de SpyCleaner (mais la référence dans le site a disparu).

 

A chacun d'apprécier l'histoire.

 

Note: aux Pays-Bas (qui n'est pas la Hollande) on parle le Néerlandais et pas le hollandais comme le pense beckbe (la Hollande n'étant qu'une province des Pays-Bas).

Modifié le 18 juillet 2006 par Sacles

[Invité Laurent_62]

Bonjour à tous, bonjour à asiste.com

 

Je prend note de tout ces conseils avec grand interet ainsi que de cette discussion qui deviend très instructive

 

Je n'ai pas encore pris le temps de lire en détail les liens cités mais n'y manquerai pas un peu plus tard dans la journée.

 

Merci à tous pour les différentes informations cette discussion aura au moins permis d'en apprendre un peu plus notement dans la conduite à tenir face à un nouveau utilitaire prétendu "magique".

 

J'ai tout de même une remarque concernant l'insistance reprochée à la publicité de l'utilitaire du moins un point qui m'interpele un peu ou du moins dont j'ai du mal à saisir.

 

- Pourquoi une personne mal intentionnée posterait une telle publicité pour un utilitaire vérolé sur un forum ou il est plus que frequement conseillé de e pas installé un utilitaire ou programme inconnu ?

 

Certains anonceront le fait que la section sécurité est active est accueil bon nombre de novices et donc cibles potentielles seulement je ne peut me soustraire à l'idée que ce choix me parait être totalement dénué de sens ou ne serait vraiment pas malin car les conseillers Sécurité ne mettront pas 1 semaine à stopper nette cette promotion s'il s'avérait être un utilitaire malicieux en propageant la bonne parole partout ou cela sera possible.

Ors cette même technique de promotion employée simultanement sur plusieurs forums beaucoup plus petits et surtout ne disposant pas de personnes "averties" aurait sans null doute été beaucoup plus dévastateur.

 

Mauvais choix "tactique" ou programmeur méconnaissant les techniques de la lutte anti malware je sais pas en tout cas moi même n'étant pas un "pro" de la sécurité informatique j'aurai opté pour la seconde solution qui à mon avis aurait été beaucoup plus efficace.

 

Même si je rejoins les diverses interventions en appelant à l'extreme prudence face à ce genre d'annonce je ne peux, à mon niveau, que me contenter des outils à ma disposition et portée à savoir le scan du fichier, (local, jotti, virustotal) puis suivant les résultats tester le jouet sur ma machine prévue à cet effet en incluant divers "gadget" me permettant de comparer les entrées de la BdR ou encore les logs de demande de connexion entrante/sortante afin d'essayer de déceler une activité suspecte.

Apres quoi soit je confirme la position actuelle (ma position): Mérite d'être testé afin d'en estimer l'efficacité. Soit je reviend avec une avalanche de propos beaucoup moins "politiquement correct" à l'encontre d'une personne qui aurait essayer de diffuser une cochonnerie de plus.

 

Voila mes impressions du moment.

 

Au plaisir de tous vous relire

 

Cordialement