Author Topic: un qui est passé  (Read 11336 times)

0 Members and 1 Guest are viewing this topic.

Offline le flup

  • Newbie
  • *
  • Posts: 5
un qui est passé
« on: November 21, 2010, 11:31:54 AM »
config : win2000 / compte sans pouvoir
j'ai découvert un process AUDIOHD.EXE qui m'était inconnu! -> google est mon ami ! et --->

problème apparement connu depuis au moins SEPTEMBRE.
avast free 5.0.677 ( db à jour ) n'a rien vu - ni au scanning de l'exe infectant ni à la modification des clefs.
ni à l'écriture dans system32 etc...
---------
soit audiohd.exe soit wudhost.exe dans
HKCU/S/M/W/currentversion/run/???
HKLM/------------------------/???
HKEY_USERS/.DEFAULT/S/M/W/currentversion/run/internat.exe
des exe dans system32 et system32/dllcache et user/local settings/temp
PAS CONTENT !  PAS CONTENT !  PAS CONTENT !  PAS CONTENT !  PAS CONTENT !   :'(


Offline SMPlante

  • Jr. Member
  • **
  • Posts: 90
  • Avast! newbie
    • Les Services Michel Plante
Re: un qui est passé
« Reply #1 on: November 21, 2010, 05:29:56 PM »
Salut, désolé pour ta mésaventure mais c'est quand même curieux.

Surtout au fait que tu mentionnes que le compte que tu utilises n'est pas supposé avoir de privilège d'administration (donc, normalement, impossible d'installer quoi que ce soit):
Quote
config : win2000 / compte sans pouvoir

Si on fait quelques recherches sur internet sur ce "Virus/Malware" en tant que tel, et on trouve des utilisateurs pour lesquels Avast a pourtant supprimé la menace ?

Est-ce que c'est suite au fait de l'utilisation de la version Gratuite / PRO d'Avast, aucune idée je n'ai pas la réponse.

Gardez en mémoire que les fonctionnalités suivantes NE SONT PAS INTÉGRÉES dans Avast gratuit:
  • Pare-feu silencieux
    Le pare-feu permet de contrôler le trafic entrant et sortant. La protection est basée sur des analyses heuristique et comportementale, ainsi que sur une liste des applications fiables connues. En fonction du type de connexion, il est possible de modifier les trois paramètres réseau disponibles.
  • Antispam
    Nouveau filtre antispam et messages indésirables fonctionnant comme plug-in avec MS Outlook et comme proxy POP3/IMAP4 générique avec les autres programmes de messagerie.
  • avast! Sandbox
    Permet d'exécuter les programmes potentiellement exploitables (tels que les navigateurs) et/ou les fichiers exécutables suspects dans un environnement virtuel sécurisé unique appelé « avast! Sandbox », compatible avec les plates-formes 32 et 64 bits.
  • Agent de Scripts
    Détecte les scripts malveillants cachés dans les pages Web et empêche leur exécution, les détournements ou l'endommagement des ordinateurs (Internet Explorer et systèmes 32 bits uniquement).
  • Scanner en ligne de commande
    Permet d'exécuter un scan directement à partir de la ligne de commande.

Ce serait plus que plausible que ce "Virus/Malware" utilise une méthode de contamination qui n'est pas couvert par Avast Gratuit.

Aussi, plus de 130 millions d'utilisateurs utilisent Avast et si 1 sur 95000 possibilités de contamination différente (http://fr.wikipedia.org/wiki/Virus_informatique) passe une fois de temps en temps et que je peux, surtout, m'en tirer avec un minimum d'effort pour m'en débarrasser, je crois que c'est un très bon "Score" NON ?

J'espère que ton histoire ne t'auras pas découragé de toujours utiliser Avast (même gratuit).

@+
« Last Edit: November 21, 2010, 05:32:06 PM by SMPlante »

Offline Aethec

  • Jr. Member
  • **
  • Posts: 80
Re: un qui est passé
« Reply #2 on: November 21, 2010, 07:44:26 PM »
Utiliser un système d'exploitation non supporté par Microsoft, c'est la porte ouverte aux virus...  :-\

Offline SMPlante

  • Jr. Member
  • **
  • Posts: 90
  • Avast! newbie
    • Les Services Michel Plante
Re: un qui est passé
« Reply #3 on: November 21, 2010, 07:59:36 PM »
Salut Aethec,

Quote
Utiliser un système d'exploitation non supporté par Microsoft, c'est la porte ouverte aux virus...

Pas sûr de comprendre ton commentaire ? Windows 2000 EST un système d'opération de Microsoft.

Remarques que je ne pourrais pas te confirmer si OUI ou NON Microsoft supporte toujours Windows 2000 (le système que "le flup" utilise) et si les MAJ sont encore disponibles via Microsoft Update) mais je sais que Avast mentionne très bien, sur leur site WEB, que leurs logiciels sont compatibles avec Windows 2000.

Et pour commenter ton commentaire  ::), selon moi le système d'exploitation qui est le plus susceptible de se faire menacer par des contamination est sans aucun doute Windows (peu importe la version).  Non seulement parce que c'est un produit Microsoft Windows mais surtout parce c'est de loin celui qui est le plus populaire.

@+

Offline le flup

  • Newbie
  • *
  • Posts: 5
Re: un qui est passé
« Reply #4 on: November 22, 2010, 10:01:51 AM »
En réponse à Aethec et sans volonté de démarrer une flame war je dirais que pour échapper aux virus il vaudrait mieux n'employer aucun os supporté par microsoft !

P.S.
-l'exécutable qui m'a infecté est 'internat.exe' 33KB - le scanning statique de cet exe ne donne aucune alerte.
-La première chose que ce machin fait est de re-rendre invisibles les fichier cachés ( dont le répertoire applicationdata/temp où il se planque ).
-et, OUI, il est parvenu quand même à écrire dans system32 et system32/dllcache.

P.P.S. : je continuerais à utiliser 2000 tant que j'aurai besoin de certains programmes qui n'ont pas d'équivalent sous linux. Et puis après cela : abbastanza !

Offline dejavu

  • Jr. Member
  • **
  • Posts: 84
Re: un qui est passé
« Reply #5 on: November 23, 2010, 02:53:45 AM »
Hello!

Aucun Av n'est capable de tout détecter; j'ai bien dis aucun. Le meilleur moyen pour ne pas être infecté est d'avoir un Av tel Avast! puis en cas de parano y adjoindre Malwarebytes en version Pro (par exemple) et finalement de scanner/vérifier le(s) fichier(s) téléchargé(s) via le site Virus Total (ou les nombreux outils disponibles ici : http://www.virustotal.com/advanced.html )

Mis à part cela j'avoue également avoir des difficultés à comprendre ce genre de phrase :

En réponse à Aethec et sans volonté de démarrer une flame war je dirais que pour échapper aux virus il vaudrait mieux n'employer aucun os supporté par microsoft !

??? On ne peut pas employer d'Os par dessus Windows; tu dois confondre et/ou te tromper non ?

-l'exécutable qui m'a infecté est 'internat.exe' 33KB - le scanning statique de cet exe ne donne aucune alerte.
-La première chose que ce machin fait est de re-rendre invisibles les fichier cachés ( dont le répertoire applicationdata/temp où il se planque ).
-et, OUI, il est parvenu quand même à écrire dans system32 et system32/dllcache.

Je t'invite à lire cet article de Microsoft : http://support.microsoft.com/kb/263201/fr (3ème paragraphe) et tu verrais que Google est effectivement ton ami; suffit juste de bien chercher  ;)

Voici l'extrait de l'article :

Quote
internat.exe - Vous pouvez arrêter ce processus à partir du Gestionnaire des tâches.

    * Internat.exe s'exécute au démarrage ; il charge les différents paramètres régionaux spécifiés par l'utilisateur. Ces paramètres sont stockés dans la clé de Registre suivante :
      HKEY_CURRENT_USER\Keyboard Layout\Preload
      internat.exe charge l'icône "EN" dans la barre d'état système, ce qui permet à l'utilisateur de basculer rapidement entre différents paramètres régionaux. Cette icône disparaît lorsque le processus est arrêté, mais les paramètres régionaux peuvent toujours être modifiés dans le Panneau de configuration.

Ton PC n'est sans doute pas infecté; en tout cas pas par ce fichier.

++
« Last Edit: November 23, 2010, 02:56:24 AM by dejavu »
Ne me demandez jamais d'écrire ce que vous n'avez pas envie de lire.

Offline le flup

  • Newbie
  • *
  • Posts: 5
Re: un qui est passé
« Reply #6 on: November 23, 2010, 10:33:47 AM »
- je voulais signifier : ne plus employer aucun windows DU TOUT.

- ?? un autre OS au dessus de windows : vmware workstation et installer tout ce que l'on veut par dessus.

- pour l'infection en question :
   -tué le process inconnu ( audiohd )
   -effacé les références dans HKCU/..../run et HKLM/...../run
   -effacé les 2 exe qui se trouvaient dans users/...../temp
   -rebooté.
   -l'infection est revenue avec un autre nom ( wudhost ) - re-nettoyage.
   - TER REPETITA : pas PLACENT !

j'ai cherché plus loin et la seule référence 'autoexec' qui restait était dans HKEY_USERS/.DEFAULT/.../run et pointait vers internat.exe. J'ai enlevé cette référence. rebooté : plus d'infection - j'ai décompressé le ficher internat.exe du cd d'installation et substitué le fichier. réflexion faite, je n'ai même pas restauré le run du dit fichier - pas nécessaire pour ma config.
Peut-être, dans cette aventure, ai-je pris ma vessie pour une lanterne - j'ai viré le machin downloadé qui m'a infecté à l'origine et je ne suis pas assez maso pour reperdre tout ce temps en refaisant l'expérience.


Bon, maintenant, j'ai du boulot sur mon CENTOS ; je vais donc me permettre un petit plonk.
Une bien belle journée à tous.





Offline dejavu

  • Jr. Member
  • **
  • Posts: 84
Re: un qui est passé
« Reply #7 on: November 23, 2010, 12:29:35 PM »
- je voulais signifier : ne plus employer aucun windows DU TOUT.

Et ?

Quote from: le flup
- ?? un autre OS au dessus de windows : vmware workstation et installer tout ce que l'on veut par dessus.

Premièrement, Vmware n'installe pas un système par dessus ton système actuel puisque son principe est de virtualiser un environnement. Aucune interaction n'existe donc. Ne pas confondre avec ce qu'Apple permettait (ou permet encore ?) en proposant d'utiliser simultanément Mac Os 9.0 avec Mac Os X. Secondo, tu ne peux pas infecter ton système si tu passe par un programme comme Vmware; c'est tout l'intérêt de la virtualisation.

- pour l'infection en question :
   -tué le process inconnu ( audiohd )
   -effacé les références dans HKCU/..../run et HKLM/...../run
   -effacé les 2 exe qui se trouvaient dans users/...../temp
   -rebooté.
   -l'infection est revenue avec un autre nom ( wudhost ) - re-nettoyage.
   - TER REPETITA : pas PLACENT !

De quoi tu parle...? Tu fais un sketch tout seul non ?

j'ai cherché plus loin et la seule référence 'autoexec' qui restait était dans HKEY_USERS/.DEFAULT/.../run et pointait vers internat.exe. J'ai enlevé cette référence. rebooté : plus d'infection - j'ai décompressé le ficher internat.exe du cd d'installation et substitué le fichier. réflexion faite, je n'ai même pas restauré le run du dit fichier - pas nécessaire pour ma config.
Peut-être, dans cette aventure, ai-je pris ma vessie pour une lanterne - j'ai viré le machin downloadé qui m'a infecté à l'origine et je ne suis pas assez maso pour reperdre tout ce temps en refaisant l'expérience.

Je répète, internat.exe n'est pas un virus... Tu es visiblement entrain de "jouer" avec des fichiers sains provenant de ton système; rien d'autre.

Bon, maintenant, j'ai du boulot sur mon CENTOS ; je vais donc me permettre un petit plonk.
Une bien belle journée à tous.

Mouais... Je sais pas à quoi tu tourne mais en tout cas ça t'emmène bien loin ;D
Ne me demandez jamais d'écrire ce que vous n'avez pas envie de lire.

Offline le flup

  • Newbie
  • *
  • Posts: 5
Re: un qui est passé
« Reply #8 on: November 23, 2010, 01:52:34 PM »
TODO:
-écouter : Brassens / 1961 / Le Temps Ne Fait Rien A L'Affaire
-désintaller avast
-installer AVG
-se désinscrire de ce forum

PLONK

Offline dejavu

  • Jr. Member
  • **
  • Posts: 84
Re: un qui est passé
« Reply #9 on: November 23, 2010, 01:53:28 PM »
TODO:
-écouter : Brassens / 1961 / Le Temps Ne Fait Rien A L'Affaire
-désintaller avast
-installer AVG
-se désinscrire de ce forum

PLONK


Adieu !
Ne me demandez jamais d'écrire ce que vous n'avez pas envie de lire.

Offline SMPlante

  • Jr. Member
  • **
  • Posts: 90
  • Avast! newbie
    • Les Services Michel Plante
Re: un qui est passé
« Reply #10 on: November 23, 2010, 03:00:23 PM »
Messieurs,

Ce serait plus plaisant de vous lire si vous restiez dans un esprit plus constructif, pour les lecteurs de ce forum et les utilisateurs d'Avast, dans vos propos, commentaires, conseils, etc.

Je crois que ce fils de discussion a bien démarré mais qu'il a, par la suite dérapé, sur des sujets qui n'ont aucun rapport avec le fait que l'instigateur de celui-ci a tout de même vécu une mésaventure.

Je crois, aussi, que NOUS (les utilisateurs d'Avast) devraient utiliser principalement ce forum pour se documenter, écrire nos histoires vécues et/ou vérifier régler des problèmes et que SURTOUT ça reste constructif pour tous.  Et non pas pour y évacuer nos frustrations.

Bien qu'au départ "le flup" ait démarré ce fils de discussion en écrivant un texte qui semble se plaindre d'Avast, j'ai tendance à croire qu'il l'a fait plutôt pour tenter de trouver les raisons de ses mésaventures et une solution pour que ça ne lui arrive plus et dans une même ligne de pensé possiblement aider d'autres utilisateur d'Avast qui pourrait avoir des problèmes similaires.

S'il s'est donné la peine d'y écrire, c'est qu'il porte toujours un intérêt à utiliser Avast.  Pour moi, c'est constructif.....

Maintenant, a nous de montrer qu'on est une "Communauté" qui sait s'entraider.




Offline dejavu

  • Jr. Member
  • **
  • Posts: 84
Re: un qui est passé
« Reply #11 on: November 23, 2010, 03:06:34 PM »
Messieurs,

Ce serait plus plaisant de vous lire si vous restiez dans un esprit plus constructif, pour les lecteurs de ce forum et les utilisateurs d'Avast, dans vos propos, commentaires, conseils, etc.

Je crois que ce fils de discussion a bien démarré mais qu'il a, par la suite dérapé, sur des sujets qui n'ont aucun rapport avec le fait que l'instigateur de celui-ci a tout de même vécu une mésaventure.

Je crois, aussi, que NOUS (les utilisateurs d'Avast) devraient utiliser principalement ce forum pour se documenter, écrire nos histoires vécues et/ou vérifier régler des problèmes et que SURTOUT ça reste constructif pour tous.  Et non pas pour y évacuer nos frustrations.

Bien qu'au départ "le flup" ait démarré ce fils de discussion en écrivant un texte qui semble se plaindre d'Avast, j'ai tendance à croire qu'il l'a fait plutôt pour tenter de trouver les raisons de ses mésaventures et une solution pour que ça ne lui arrive plus et dans une même ligne de pensé possiblement aider d'autres utilisateur d'Avast qui pourrait avoir des problèmes similaires.

S'il s'est donné la peine d'y écrire, c'est qu'il porte toujours un intérêt à utiliser Avast.  Pour moi, c'est constructif.....

Maintenant, a nous de montrer qu'on est une "Communauté" qui sait s'entraider.


Ouais, auto-dérision non ? Y'en a aussi ras le C.. que des mecs postent n'importe quoi sur ce forum sous-prétexte qu'aucun modérateur ne soit toléré en dehors du staff Alwil. Pour ma part je répond par gentillesse et je n'ai vraiment pas envie d'avoir des remontrances et/ou conseils de la part d'un revendeur qui n'a effectivement pas intérêt que les sujets partent en vrille.

En conséquences je vous dis également au revoir (ou plutôt "Adieu" ;)) car je ne conçois pas un forum de support avec autant de laisser-aller.

Bye

EDIT : j'ai changé d'avis  :P
« Last Edit: November 23, 2010, 09:59:09 PM by dejavu »
Ne me demandez jamais d'écrire ce que vous n'avez pas envie de lire.

Offline Aethec

  • Jr. Member
  • **
  • Posts: 80
Re: un qui est passé
« Reply #12 on: November 23, 2010, 09:12:51 PM »
Ce qui m'amuse, c'est que le posteur originel n'avait aucune preuve de son infection...la plupart des processus de Windows ont des noms pas très clairs (merci la compatibilité 8.3...), regarder la liste des processus actifs ne permet pas de savoir si on a un virus  ::)

@SMPlante >> Win2k n'est plus supporté par MS depuis juillet...plus de mises à jour, rien. Et comme il est proche d'XP (Win2k = NT 5.0, XP = NT 5.1), les virus tournant sous XP tournent probablement sous Win2k...Déjà que XP n'est pas assez sécurisé dans le monde d'aujourd'hui - contrairement à ses successeurs - utiliser Windows 2000 c'est demander à attrapper des virus...
Je suis prêt à parier que "le flup" ne trouvera aucun virus sur son système en installant AVG (en tout cas pas audiohd.exe ou internat.exe). ;D

Offline dejavu

  • Jr. Member
  • **
  • Posts: 84
Re: un qui est passé
« Reply #13 on: November 23, 2010, 10:15:31 PM »
Je ne voulais pas répondre en détail à tes remarques mais à vrai dire je vais quand même prendre le temps de le faire.

Messieurs,

Ce serait plus plaisant de vous lire si vous restiez dans un esprit plus constructif, pour les lecteurs de ce forum et les utilisateurs d'Avast, dans vos propos, commentaires, conseils, etc.

Je crois que ce fils de discussion a bien démarré mais qu'il a, par la suite dérapé, sur des sujets qui n'ont aucun rapport avec le fait que l'instigateur de celui-ci a tout de même vécu une mésaventure.[/quote]

Ha... Et bien pas pour moi, le sujet à mal débuté puisqu'il s'agit encore une fois d'une personne postant de fausses informations mais également totalement incohérentes.

Je crois, aussi, que NOUS (les utilisateurs d'Avast) devraient utiliser principalement ce forum pour se documenter, écrire nos histoires vécues et/ou vérifier régler des problèmes et que SURTOUT ça reste constructif pour tous.  Et non pas pour y évacuer nos frustrations.

Non mais ici y'a pas de docs et on va pas raconter notre vie quoi... Ici c'est censé être un support technique gratuit, un forum d'entre-aide mais pas certainement pas un asile pour malades du web :)

Bien qu'au départ "le flup" ait démarré ce fils de discussion en écrivant un texte qui semble se plaindre d'Avast, j'ai tendance à croire qu'il l'a fait plutôt pour tenter de trouver les raisons de ses mésaventures et une solution pour que ça ne lui arrive plus et dans une même ligne de pensé possiblement aider d'autres utilisateur d'Avast qui pourrait avoir des problèmes similaires.

Il ne tentait rien de positif, il disait (surtout) n'importe quoi et la preuve est arrivée quelques paragraphes plus bas.

S'il s'est donné la peine d'y écrire, c'est qu'il porte toujours un intérêt à utiliser Avast.  Pour moi, c'est constructif.....

Franchement ? On s'en fout de son intérêt quand finalement il mélange tout à propos de Linux, VmWare, des process inoffensifs, Windows 2000 et son "Plonk". A quoi ça sert de légiférer quand ça devient fatiguant d'avoir ce genre de post ou celui-là : http://forum.avast.com/index.php?topic=65984.0 ... Rien que sur une page ça commence à faire beaucoup.

Maintenant, a nous de montrer qu'on est une "Communauté" qui sait s'entraider.

Exactement, et d'ailleurs les gens qui souhaitent se faire aider sont les bienvenus mais il faut bien se rappeler que l'entre-aide ça se respecte dans tous les sens du terme. Quelqu'un qui veut se faire aider doit d'abord s'exprimer correctement et/ou en tout cas le mieux possible. Après quelques réponses, si l'on constate que la personne se moque du monde je ne vois pas en quoi on devrait s'attendrir ou bien montrer une quelconque tolérance à son égard.

Et rassure-toi, cela ne te fera pas moins vendre de licences, bien au contraire ;)

Ce qui m'amuse, c'est que le posteur originel n'avait aucune preuve de son infection...la plupart des processus de Windows ont des noms pas très clairs (merci la compatibilité 8.3...), regarder la liste des processus actifs ne permet pas de savoir si on a un virus  ::)

@SMPlante >> Win2k n'est plus supporté par MS depuis juillet...plus de mises à jour, rien. Et comme il est proche d'XP (Win2k = NT 5.0, XP = NT 5.1), les virus tournant sous XP tournent probablement sous Win2k...Déjà que XP n'est pas assez sécurisé dans le monde d'aujourd'hui - contrairement à ses successeurs - utiliser Windows 2000 c'est demander à attrapper des virus...
Je suis prêt à parier que "le flup" ne trouvera aucun virus sur son système en installant AVG (en tout cas pas audiohd.exe ou internat.exe). ;D

Tu as tout résumé, rien a ajouter ;D
Ne me demandez jamais d'écrire ce que vous n'avez pas envie de lire.

Offline le flup

  • Newbie
  • *
  • Posts: 5
Re: un qui est passé
« Reply #14 on: November 24, 2010, 10:07:58 AM »
Dernière salve :

a) vive Brassens

b) le fait qu'un exe s'appelle internat.exe ne signifie en aucun cas qu'il s'agit du internat.exe d'origine et/ou que cet internat.exe n'a pas été hijaké par un autre exe.

c) downloadé un MACHIN - scanning statique de ce MACHIN - pas d'alarme - exécution du MACHIN -> machine qui rame - 1 process inconnu en RAM et 2 exe inconnus dans temp et modification des 2 clef run (dont je connais parfaitement le contenu par défaut ) et ... au moins un C.. qui dit que je n'ai pas été infecté.

d) basta windows ( très bientôt ).

e) ( autocensuré )

Un bonne continuation à tous les Génies des Carpathes qui se répandent ici et une bien belle journée à tous les autres.