Problème de malware indétectable - par spybot, ad-aware et windows defender

Al_Bundy785 · Mai 10, 2007, 10:09

Salut à tous :hello:

J’ai un problème de fenêtres de pub qui s’ouvrent de temps en temps lorsque je surfe. Cela se produit aussi bien avec Firefox qu’IE 7.
J’ai installé dernièrement un soft d’accès à des chaînes de TV en stream : Web Media Player. Je soupçonne celui-ci d’être accompagné du malware, je l’ai donc viré ensuite. :pfff:
J’ai aussi remarqué un processus suspect qui a essayé de communiquer sur le web et que j’ai bloqué avec Kerio : kqmgagaij.exe
Là où c’est bizarre, c’est que ce vicelard essaie de se planquer :paf:
Quand j’ouvre un gestionnaire de processus, je le vois qui se termine automatiquement dans la seconde qui suit [:paysan]

http://www.mezimages.com/up/05/min-104070-process.png

Le fichier est introuvable dans /Windows/System32/ même en fichier caché. Une recherche sur tout le disque ne donne rien non plus.
J’ai aussi viré toutes les clés de registre correspondant à cet exe et elle sont recrées au boot suivant [:kurdent]

J’ai scanné avec Spybot, Ad-Aware et Windows Defender et ça n’a rien donné non plus.

Je vous demande votre aide avant la solution ultime du formatage :jap: :ane:

fbzn · Mai 10, 2007, 10:13

Et un coup de Hitman pro ?

Torque_Roll · Mai 10, 2007, 10:16

Bonsoir,
ton explication est claire est precise :jap:
C’est un rootkit

Telecharge Blacklight (c’est un detecteur de rootkits) :
https://europe.f-secure.com/exclude/blacklight/index.shtml
prend le premier “download” en haut de la page web. Execute le, accepte les conditions puis > scan. Si il te trouve 4-5 fichiers avec le debut des noms semblables (kqmgagaij), clique sur “rename” et redemarre ton pc.

Les fichiers vont devenir apparent dans le dossier system32, tu vas pouvoir les supprimer manuellement

Al_Bundy785 · Mai 10, 2007, 10:35

Impec, il l’a détecté :ane:
Merci à toi pour ta rapidité et ton expertise :jap:

Torque_Roll · Mai 10, 2007, 10:36

Comme tu sais supprimer ces clés, tu pourra le refaire une derniere fois, lorsque les fichiers seront effacés

Torque_Roll · Mai 10, 2007, 10:37

les rootkits sont devenus à la mode
de rien :jap:

Al_Bundy785 · Mai 10, 2007, 10:39

c’est fait :jap:

Oui, c’est vraiment problématique.

Torque_Roll · Mai 10, 2007, 10:47

je viens de faire la recherche sur Web Media Player, il figure bien dans la liste des coupables !

Pour information, ces programmes suivants installent aussi ce meme genre de rootkits :
go-astro
GoRecord
HotTVPlayer
MailSkinner
Messenger Skinner
Instant Access
InternetGameBox
sudoplanet

Al_Bundy785 · Mai 10, 2007, 11:03

J’ai envoyé un petit mail de remerciement à l’adresse de contact de web media player.

:ane:

Torque_Roll · Mai 10, 2007, 11:40

j’ai trouvé ça :
http://www.top-logiciel.net/modules/newbb/…c_id=83&forum=2

Il existe 2 versions de Web Media player, la premiere a été conçu par un français qui est totalement clean. La deuxieme est une version russe qui au bout d’un mois lance des popups.

Le vrai programme ‘web Media Player’, realisé par le français, est telechargeable ici :
http://www.azertysite.new.fr/