Spyware Medic

Modérateur: Modérateurs et Modératrices

Spyware Medic

Messagede May31 » 05 Mai 2006, 23:33

Bonjour,

J'ignore si quelqu'un ici a déjà parlé de spyware medic, puisqu'on ne peut tjrs pas faire de recherche sur le forum, cependant je voulais signaler ceci :
j'ai téléchargé ce soft en suivant les liens suivants : http://assiste.forum.free.fr/viewtopic.php?t=11760 (forum internet et moi, effondrement de la ligne...), puis le lien suivant donné par NickW (je cite cette réf pour remonter au début de l'histoire, et mieux montrer combien on est protégé de rien quelle que soit la bonne volonté des gens, et pas du tout pour mettre NickW en cause...) :

http://www.windowsbbs.com/showthread.php?t=49053

Là je tombe sur "WindowsBBS.com the on-line community for Windows Support." et dans la liste des intervenants se trouve un certain Arie, Microsoft MVP. Pour ceux qui lisent l'anglais, Microsoft MVP = Microsoft Most Valuable Professional.
"The Microsoft Most Valuable Professional Award is "a worldwide award and recognition program that strives to identify amazing individuals in technical communities around the globe who share a passion for technology and the spirit of community. Microsoft MVPs are recognized for both their demonstrated practical expertise and willingness to share their experience with peers in Microsoft technical communities."

Several individuals who will try and assist you with any problems you might have using Windows, have been awarded this prestigious Microsoft award."

Donc a priori, ces Microsoft MVP ne racontent pas n'importe quoi... Je m'aperçois qu'Arie, qui plus est "WindowsBBS Forum Administrator & Owner", a un site, http://www.helpwithwindows.com/, que je vais visiter de ce pas, là je vois qu'il en a un 2ème, rosecitysoftware.com, division logiciels de infinitysource.com, Société dont il est le vice-président (voir : http://www.infinisource.com/aboutus.html).
rosecitysoftware.com vend le logiciel Spyware Medic (voir : http://www.rosecitysoftware.com/SpywareMedic/ ), logiciel ayant été très bien noté sur différents sites (voir la page), là, on se dit de suite qu'il doit cartonner, cet antispyware, vu toutes ces bonnes références...
Pour des raisons de lisibilité je continue plus bas...
Avatar de l’utilisateur
May31
 
Messages: 545
Inscription: 24 Oct 2003, 21:21
Localisation: Toulouse

Messagede May31 » 05 Mai 2006, 23:51

Avant de continuer, sachez que j' ai passé hier soir et ce matin un petit coup de Kaspersky 6, scan au maxi, +spybot +addaware + l'antispy d'Outpost,+ewido (quickscan sur celui-là...).

Un passage de spyware medic a donné ceci :
malware.topantispyware C:\Documents and Settings\Administrateur\Application Data\microsoft\internet explorer\desktop.htt
Marketscore (Netsetter) logC:\WINNT\nsreg.dat
SearchSquire HKEY_CURRENT_USER\software\microsoft\windows\currentversion\internet settings\zonemap\domains\searchsquire.com
CoolWWWSearch HKEY_CURRENT_USER\software\microsoft\windows\currentversion\internet settings\zonemap\domains\coolwwwsearch.com
AdBar HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\toolbar
Pstopper HKEY_CLASSES_ROOT\component categories\{7dd95801-9882-11cf-9fa9-00aa006c42c4}
Pstopper HKEY_CLASSES_ROOT\component categories\{7dd95802-9882-11cf-9fa9-00aa006c42c4}
Coulomb Dialer HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\explorer bars\{c4ee31f3-4768-11d2-be5c-00a0c9a83da1}\filesnamedmru
E-Book.TexasHoldem HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\bitbucket
SearchSquire HKEY_USERS\.default\software\microsoft\windows\currentversion\internet settings\zonemap\domains\searchsquire.com
AdBar HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\toolbar
Trojan.intell32 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\desktop\general
SurfSideKick HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows
Transponder.ABetterInternet.Aurora HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
14 bestioles...

Après un petit couop de ccleaner (me semble bien que je l'avais passé avant, mais bon...), je redémarre je sais plus trop pourquoi, et là quelle n'est pas ma surprise de constater qu'un second passage de spyware medic révèle tout ce qu'il y a plus haut, mais en + Win32.TrojanDownloader.Agent.al C:\WINNT\debug\usermode\userenv.log donc 15 bestioles et non plus 14...
D'autre part plus de modem USB détecté...

Un coup d'oeil sur certaines des clés ci-dessus dans le registre lui-même me fait croire que leur suppression risque d'être la cause de dysfonctionnements ultérieurs, si je me trompe faites-moi signe...

Méfiante, j'avais fait une sauvegarde du registre avant, malheureusement pour moi, impossible d'importer ma sauvegarde... erreur d'accès au registre...

Donc je vais faire un petit tour ici : http://www.spywarewarrior.com/rogue_anti-spyware.htm, où je trouve "Spyware Medic rosecitysoftware.com : false positives work as goad to purchase [A: 3-11-05 / U: 3-11-05]" , autrement dit logiciel générant des faux-positifs pour susciter son achat (puisque la version téléchargeable permet son évaluation...).

J'espère que la désinstall de ce soft se passera sans trop de problème, et ça m'énerve de ne plus savoir à qui se fier (je parle du fameux Microsoft MVP Arie...). Sinon, mon modem remarche.

May
Avatar de l’utilisateur
May31
 
Messages: 545
Inscription: 24 Oct 2003, 21:21
Localisation: Toulouse

Messagede Jim Rakoto » 06 Mai 2006, 08:27

Salut

Première erreur commise : Arie Slob n'est pas un MVP security mais un MVP Windows shell/user

Car il y en a un paquet des MVPs, dans tous les domaines que couvre Microsoft.

Cela fait bien sur une carte de visite informatique...pour certains.

https://mvp.support.microsoft.com/communities/mvp.aspx

Deuxième erreur : quand on a :
- KAV (repris dans les tests AV comme le meilleur en détection virus, trojan) avec un antispyware intégré si bases AV étendues activées dans la version 5,

- Ewido catalogué dans les très bons antispywares

- L'antispyware d'Outpost

- Spybot dont l'efficacité n'est plus à démontrer

et que toutes les connexions sont surveillées par OP 3.5 et KAV 6 (avec protection proactive parmi les meilleures dans les tests pare-feu)

Comment se pourrait-il qu'autant de choses leurs échappent ??

Internet, c'est comme pour tout, faut réserver sa confiance à quelques personnes triées sur le volet, après avoir pris le temps de les connaître.

Il ne faut donc pas nettoyer les clés trouvées sans autre forme de procès.

A+
Mes configs Linux user #402189
Garder toujours son sens critique en éveil en utilisant le doute rationnel comme filtre de lecture.
Avatar de l’utilisateur
Jim Rakoto
Modérateur
 
Messages: 6152
Inscription: 09 Mar 2004, 19:49
Localisation: Durbuy

Messagede May31 » 06 Mai 2006, 14:14

Cher Jim, bonjour, et merci de ta réponse, je vois que tu réponds toujours présent à l'appel...

Je connaissais les MCP (Microsoft certified professionals) et quelques unes de leurs sous-catégories (MCSE, MCSDT, etc...), mais je ne connaissais pas les MVP....
Il y a peut-être encore bien d'autres catégories d'"experts" ou reconnus comme tels pour les produits Microsoft (ce que j'ignore), et tu as raison de souligner qu'il faut regarder précisément à qui on a affaire. Aussi je te remercie d'avoir donné le lien qui permet de s'y retrouver en ce qui concerne les # types de MVP.
Ceci dit, moi-même après réflexion, je me suis dit, vu la définition des MVP donnée sur la page que j'ai citée, que ce titre était plus une sorte de "récompense" qu'une certification de la part de Microsoft, et donc que ça ne constituait en aucune façon une garantie (de + je ne savais même pas qu'il y avait # catégories de MVP...). Malheureusement je dois bien être honnête et dire que cette réflexion je me la suis faite après l'install de Spyware medic... Au moins ça me servira de leçon et j'y regarderai maintenant à 2 fois!

Pour ce qui est des clés citées ci-dessus, je n'avais pas l'intention de les effacer, car comme je le soulignais ds mon post, je risque sans doute d'avoir des pbs si je le fais (je pense entre autres à : HKEY_LOCAL_MACHINE\software\microsoft\windows NT\currentversion\winlogon...). En fait cela me semble grave d'induire ainsi les gens en erreur, quelqu'un qui suivrait bêtement les indications de cet antispyware risquerait à mon avis des plantages.

De cette expérience et de ce que tu viens de me dire je retire que si l'information est indispensable en matière de sécurité, malheureusement c'est un peu sans fin et l'on s'aperçoit que plus on croit en savoir, et + l'on s'aperçoit que l'on ne sait rien... Il y a toujours quelque chose d'autre à apprendre, et je trouve cette espèce de quête incessante de savoir (là je parle pour moi) à la fois inspirante et dangereuse (le danger étant l'addiction). D'autant plus que l'information (sa quête) a tendance à remplacer la communication (réelle)... Ceci dit, un peu de bon sens, de logique et de conscience aident à faire le tri dans la masse d'informations, mais c'est parfois plus facile à dire qu'à faire...
Je m'égare peut-être un peu par rapport au thème de départ, ces réflexions étant très personnelles, mais si cela peut en aider quelques uns à réfléchir, eh bien ma fois, tant mieux!

Plus concrètement (pour revenir au sujet de départ), pourrais-tu me dire ce à quoi se rapporte la clé suivante : HKEY_USERS\.default\software\microsoft\windows\currentversion\internet settings\zonemap\domains\ , car j'y ai trouvé un tas de références à des sites + ou moins adultes qui laisseraient à penser qu' il y a un lien avec le "hosts" ou peut-être plutôt avec des restrictions que l'on peut mettre en place ds Internet explorer, mais dans l'un comme ds l'autre cas cela paraît d'autant plus illogique que "searchquire" soit un problème s'il est placé ici, me semble-t-il... Encore un autre élément qui me faire dire que spyware Medic est vraiment bidon, corrige-moi si je me trompe...

D'autre part, puisque je vois que personne n'a pu m'éclairer sur cet autre point, pourrais-tu s'il te plaît jeter un oeil à 1 de mes autres posts resté sans réponse (peut-être noyé dans la masse de sujets non urgents ?) :
http://assiste.forum.free.fr/viewtopic.php?t=11810 . Si cela en inspire d'autres, il peuvent bien entendu y répondre aussi...

Merci d'avance,


May
Avatar de l’utilisateur
May31
 
Messages: 545
Inscription: 24 Oct 2003, 21:21
Localisation: Toulouse

Messagede nickW » 06 Mai 2006, 14:28

Bonjour,

Réponse à propos de la clé
HKEY_USERS\.default\software\microsoft\windows\currentversion\internet settings\zonemap\domains\
ou
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\internet settings\zonemap\domains\

Elle contient une liste de noms de domaines.

Si la valeur DWORD associée à un nom de domaine est égale à 2, il s'agit d'un "site de confiance"
Si la valeur DWORD associée à un nom de domaine est égale à 4, il s'agit d'un "site sensible"

Voilì, voilò, voilà.

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede May31 » 06 Mai 2006, 15:23

Bonjour NickW et merci, je savais bien que je pouvais aussi compter sur toi pour les réponses...

J'ai regardé la valeur DWord de searchsquire.com, et c'est bien 4 pour les 2 clés! Idem pour coolwwwsearch.com sur la 1ère clé...! Donc ça ne fait que confirmer ce que j'ai dit sur spyware medic + haut. Et de plus je constate que si j'enlève ces clés, coolwwwsearch.com et searchsquire.com ne figureront plus dans les sites sensibles et que si je mets en place des restrictions concernant ce type de sites ds Internet explorer, cela ne m'empêchera nullement d'aller sur searchsquire.com, ni coolwwwsearch.com... (ceci dit je ne mettrais pas en place de restrictions ds IE car j'utilise IE de manière rarissime et je fais attention où je mets les pieds et puis ma liste hosts me suffit pour l'instant...).
Y aurait-il un lien entre searchsquire.com, coolwwwsearch.com et infinitysource ? Je serais bien en mal de le dire, cependant cela décrédibilise un peu plus spyware medic......

Ce spyware medic mériterait bien de figurer dans l'antilogithèque me semble-t-il, à Pierre d'en juger...


Bonne fin de journée,
May
Avatar de l’utilisateur
May31
 
Messages: 545
Inscription: 24 Oct 2003, 21:21
Localisation: Toulouse

Messagede shl » 08 Mai 2006, 03:06

Bonsoir,

Spyware Medic est d'autant moins crédible que spyware warrior le classe parmi les antispywares suspects. Motif : ce logiciel donne de faux positifs pour inciter à l'acheter. La meilleure chose à faire c'est de le désinstaller, puis passer un coup de vrai antispyware au cas où SMedic aurait laissé un souvenir sur ton PC.

a + :wink:
La vie privée n'est pas réservée à ceux qui ont des choses à se reprocher.
Ma config détaillée
Assiste.com
Avatar de l’utilisateur
shl
Modérateur
 
Messages: 3648
Inscription: 30 Oct 2004, 23:06
Localisation: Suivez mon regard...


Retourner vers Logiciels (tous logiciels) et moi

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 2 invités

cron