MBAM surfe-t-il abusivement sur les peurs?

Questions générales (installation, utilisation etc) sur les antivirus.

Modérateur : Mods Windows

Avatar de l’utilisateur
Adar Karmi
newbie
newbie
Messages : 12
Inscription : 07 mai 2018 21:41

MBAM surfe-t-il abusivement sur les peurs?

Message par Adar Karmi » 18 mai 2018 06:26

Bonjour,

Décidément, je ne me suis jamais senti moins en sécurité que depuis le jour où m'a pris l'envie de la renforcer.

Jusqu'à récemment (et ce depuis très longtemps), je me contentais d'Adblock, Avira Antivir (+ activation de protection en temps réel), configuration par défaut du pare-feu Windows (seven), une extension Chrome de protection Web Avira (dont on peut discuter de la réelle utilité), quelques nettoyages par CCleaner 2-3 fois par an.
Lorsque parfois Avira s'affolait (ce qui était rare), je passais un coup de Malwarebytes Anti-Malware (MBAM) (version gratuite) ou d'AdwCleaner.
Dernièrement, j'ai eu quelques soucis qui m'ont poussé à m'intéresser d'un peu plus près à ma sécurité.
En suivant un certain nombre de recommandations du site Malekal, j'ai amélioré quelques trucs: paramétrage du Firewall, blocage Powershell, mise à jour/suppression de certains softs (Java), etc...

En mettant à jour MBAM, ça m'a redonné un trial d'essai premium de 14 jours, supposé faire "doublon" avec ma protection en temps réel Avira. Comme c'était "cadeau", je n'avais à priori pas de raison de la désactiver dans la mesure où aucun conflit ne semblait poindre.

En conservant mes habitudes de surf depuis cette date, il ne se passait rien de particulier. Mais depuis quelques jours, alors que ma période de trial se rapproche de son terme (ce qui ne manque pas de m'être intempestivement rappelé), je relève que MBAM se met soudainement (comme par hasard) à détecter plein de trucs dangereux par l'intermédiaire de sa "protection en temps réel".
Rien qu'hier, j'avais déjà ouvert un topic sur le forum à propos d'un malware sur le site de "destyy" qui s'est retrouvé bloqué.
Et là, encore à l'instant, j'étais tranquillement en train de chercher une information sur un club de baseball français de 3ème division (pas vraiment le genre de truc qui appelle des milliers de requêtes par jour). Je tape le nom du club sur Chrome (Patriots de Paris) , et au moment où la page de résultats s'affiche, MBAM s'affole (autrement dit, contrairement au site destyy qui avait été bloqué quand j'avais cliqué dessus, ici je n'ai même pas eu besoin de cliquer sur le site du club en question, ça s'est déclenché au moment de l'affichage de la page de résultats Google).
Donc, par curiosité, je vais voir le rapport sur MBAM, que voici:
MBAM-hameconnage.jpg
MBAM détection hameçonnage
Du coup je me dis: "mais bordel, décidément on ne peut vraiment plus être en sécurité nulle part..."
Mais j'essaye aussi d'être "rationnel", et je me dis que c'est quand même bizarre que jusqu'à récemment je n'avais que très rarement des alertes, et que soudainement je me retrouve avec des "prédateurs" cachés partout, même jusqu'au fin fond de la ligue amateur de Baseball de Trifouilly-les-Oies.
Donc je lance une recherche de l'IP présente sur le rapport, et je tombe sur un site "ransonwaretracker.abuse.ch" (dont Avira Guard me dit qu'à priori il est safe... ceci dit au passage Avira Guard me disait bien également que "patriotsparis.com" était safe).
Bref, je vais sur ce site qui m'indique que cette IP correspondrait à 2 sociétés malveillantes (dont les adresses sont mentionnées).
Je fais une recherche Google à partir du nom de la première société, et bim rebelotte! Arrivé sur la page de résultats Google, MBAM "vole" une fois de plus à mon secours avant même que je ne clique sur aucun lien.
Le rapport est cette fois le suivant:
MBAM-site-bloque.jpg
MBAM détection site bloqué
Ce qui me surprend un peu dans cette histoire, c'est que ni la protection en temps réel Avira, ni Adblock, ni quoi que ce soit autre que MBAM ne détecte rien . C'est un peu comme si MBAM cherchait à me dire: "tu vois, il n'y a que moi qui te protège correctement, mais ce ne sera plus le cas dans 4 jours si tu ne passes pas à la caisse".

Donc, qu'en penser?:
- Que la protection en temps réel de MBAM repère et protège mieux les menaces réelles que celle d'Avira?
- Que la base de données des recherches associées à des sites connus pour être douteux est plus importante chez MBAM et qu'elle m'alerte uniquement à titre préventif en "anticipant mes comportements de surf"?
- Ou bien que MBAM cherche abusivement à me foutre les miquettes pour que je passe à sa version payante?

En fait, je pense avoir relativement bien compris comment on se fait infecter, comment ça se propage, etc. Mais ce que je comprends un peu moins, c'est comment un logiciel de sécurité procède pour détecter une menace, et encore moins comment deux logiciels qui prétendent protéger spécifiquement de la même chose peuvent interpréter les choses différemment (malware pour l'un, rien pour l'autre). Est-ce que ça se base exclusivement sur la base de données étoffée par les rapports d'utilisateurs?

Merci d'avance.




Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 91961
Inscription : 10 sept. 2005 13:57
Contact :

Re: MBAM surfe-t-il abusivement sur les peurs?

Message par Malekal_morte » 18 mai 2018 17:18

Salut,

Malwarebytes Anti-Malware (MBAM) a toujours eu des alertes exagérées sur le WEB.
En l’occurrence, t'es deux alertes sont sur l'IP 213.186.33.40 qui appartient à OVH et dont des milliers de sites sont hébergés dessus.
Je ne peux pas tester mais par le passé, MBAM avait déjà blacklisté l'IP du serveur mutualisé d'OVH, cela touchait des milliers de sites.
Après ils ont une relativement bonne protection.

Donc soit tu laisses la version gratuite.
Franchement avec tout ce que tu as, c'est déjà relativement suffisant.
Soit si vraiment cela t'interresse tu investies dans la version payante... mais faut pas faire cas plus de cela d'alerte, surtout quand elles sont isolées.
C'est surtout les alertes qui reviennent sans cesse et qui ont pour source autre chose que firefox.exe et chrome.exe

Autre chose, lancer AdwCleaner et CCleaner à la moindre détection n'a aucun sens.
Contente toi d'analyses Malwarebytes Anti-Malware (MBAM) version gratuite et Antivir
A lire sur ces mauvaises habitudes de scan dans tous les sens :
AdwCleaner, RogueKiller, ZHPCleaner : mauvaises habitudes.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 970
Inscription : 02 juin 2012 20:48

Re: MBAM surfe-t-il abusivement sur les peurs?

Message par Parisien_entraide » 18 mai 2018 17:47

Adar Karmi a écrit :
18 mai 2018 06:26
(....)
Je tape le nom du club sur Chrome (Patriots de Paris) , et au moment où la page de résultats s'affiche, MBAM s'affole (autrement dit, contrairement au site destyy qui avait été bloqué quand j'avais cliqué dessus, ici je n'ai même pas eu besoin de cliquer sur le site du club en question, ça s'est déclenché au moment de l'affichage de la page de résultats Google).
Donc, par curiosité, je vais voir le rapport sur MBAM, que voici:


Ce qui me surprend un peu dans cette histoire, c'est que ni la protection en temps réel Avira, ni Adblock, ni quoi que ce soit autre que MBAM ne détecte rien . C'est un peu comme si MBAM cherchait à me dire: "tu vois, il n'y a que moi qui te protège correctement, mais ce ne sera plus le cas dans 4 jours si tu ne passes pas à la caisse".
Bonjour

Pour faire court et synthétique

Déjà parcours le site Malekal, et tu verras qu'un AV, un MBAM, un Adwcleaner ne tapent pas dans les mêmes classes d'infection
Ca c'est la théorie
De plus en plus les AV font dans les Pup's dès lors qu'ils se comportent comme des malwares, MBAM flirte avec les AV, et ADCLEANER ne va pas faire la même chose qu'un AV

C'est pour cela qu'on peut trouver des Pup's avec Adwcleaner qu'un AV ne verra pas (ce n'est pas vraiment son rôle non plus)

Ensuite :

Le lien indiqué dans l'image de MBAM n' a rien à voir avec "un club de baseball français de 3ème division"

On note en 2016

https://ransomwaretracker.abuse.ch/ip/2 ... armeup.fr/
https://www.malwareurl.com/ns_listing.p ... 51.188.130

SAUF qu'il ne s'agit pas de http://www.startmeup.fr/

Si on se réfère à l'IP :

En 2018 l'IP mutualisée https://www.abuseipdb.com/check/213.186.33.40

On s'aperçoit qu'il y a plusieurs sites derrière cette IP d'OVH (adresse du cluster d'hébergement), et il suffit d'un seul infecté pour que l'ensemble soit déclaré comme malfaisant

Car il y en a un :
Hack.png
Donc soit l'AV est plus intelligent car il a déterminé après analyse que le site était inoffensif, soit MBAM agit comme un bourrin et se base uniquement sur une IP, et de ce fait par précaution signale le site comme infecté (et tous les autres sites derrière cette IP)

Désolé je n'ai pas trop le temps de détailler et faire une analyse complète mais je pense que tu as la réponse à ta question
________________________
Edit : Pendant que je tapotais (j'avais laissé la fenêtre ouverte, faisais autre chose en même temps et m'amusais à faire une copie écran :-) Je note que Malekal t avais répondu entre-temps, ce que j'ai vu qu'une fois que j'avais valisé ma réponse

Avatar de l’utilisateur
Adar Karmi
newbie
newbie
Messages : 12
Inscription : 07 mai 2018 21:41

Re: MBAM surfe-t-il abusivement sur les peurs?

Message par Adar Karmi » 19 mai 2018 09:36

D'abord merci pour vos deux réponses qui m'amènent à d'autres questions et remarques.

Malekal:

Je te remercie de confirmer que mes protections "automatiques" sont déjà suffisantes. J'ai bien conscience que pour le reste, ça relève grandement de mon propre comportement d'utilisation (et que ça, aucun logiciel ne pourra s'y substituer).
J'en ai toujours eu plus ou moins conscience et je réfléchis toujours 2 fois avant de cliquer/ouvrir/installer un truc inconnu.
En fait, j'ai commencé à utiliser Internet dès 1998, à cette époque j'étais ado et je faisais n'importe quoi: je traînais avec des types qui jouaient les "hackers du dimanche" en sévissant sur les réseaux IRC et en exploitant les failles mIRC, etc... Autant dire qu'à cette époque, j'ai "flingué" plus d'une fois mon système, et que ça m'a un peu "éduqué à la méfiance" (et puis ensuite j'ai un peu cessé de m'intéresser à ce domaine lorsque j'ai abandonné l'idée de devenir "le plus grand hackeur du monde pour faire chier les gens" au profit de celui "de travailler dans le domaine de la santé mentale").

Quoi qu'il en soit, on va dire que jusqu'à récemment, je pensais maîtriser le "minimum syndical". Mais en fait, c'était le minimum syndical d'il y a 10-15 ans, et je m'aperçois que depuis les choses ont pas mal changé et que les personnes malveillantes ont mis au point des techniques bien plus sournoises et sophistiquées (et qu'elles se sont acheté un bescherelle leur permettant d'être presque crédibles lorsqu'elle se font passer pour un site du gouvernement).

Le point de rupture (à l'origine de ma paranoïa actuelle) a eu lieu il y a quelques mois lorsque j'ai succombé à la "faiblesse" de vouloir chopper gratuitement le stream d'un match de foot de mon équipe favorite.
A cette époque, toutes les protections que j'ai listé ci-dessus étaient déjà présentes (sauf le blocage PowerShell).
Je fais alors une recherche de liens pour trouver un stream du match en question. Sachant bien évidemment les risques liés à ce genre de sites, j'avais pris soin de bien regarder la gueule du lien et de vérifier que l'extension Chrome d'Avira Antivir cochait "vert" le site en question.
Et là je tombe sur le lien d'un diffuseur sur lequel j'étais déjà allé plusieurs fois par le passé sans le moindre soucis (quelle aubaine!).
Donc partant de là, on va dire que j'avais un certain nombre d'éléments me permettant de penser que les risques encourus étaient "moindres" (et je n'allais pas passer 90 minutes à effectuer de plus amples vérifications sur un lien mis en ligne 5 minutes avant le début d'un match)
Bien mal m'en a pris! A peine arrivé sur le site, le module de protection en temps réel d'Avira se déclenche et m'éjecte du site. Puis, il se met à lancer automatiquement une procédure de scan + désinfection. A la fin de la procédure, message d'Avira m'obligeant (sans autre possibilité) à rebooter immédiatement pour terminer le processus de désinfection.
Redémarrage, au moment de l'écran de chargement Windows, BSOD (durée approximative de 20 dixième ne permettant pas de lire quoi que ce soit) et ainsi redémarrage en boucle... génial.
Donc, je "roule" sur mon clavier pour tenter de trouver la bonne touche d'écran de réparation Windows. Bingo! Sauf que voilà, impossible de la lancer car arrivé sur cet écran mon clavier et ma souris n'étaient plus alimentés (j'imagine que les pilotes se sont désactivés). Pendant une heure, j'ai tout tenté, et j'étais au bord du désespoir... et puis à un moment je ne sais pas trop comment, je suis parvenu à arriver à obtenir l'alimentation de mon clavier sur la page de réparation Windows. Je répare Windows, et ô miracle, ma session se lance.
Immédiatement, je veux refaire un scan Avira pour m'assurer que tout est OK. Et là, je m'aperçois que l'AV est désactivé et périmé. Et rien à faire pour le relancer. Je me retrouve obligé de le désinstaller et d'aller le retélécharger. Nouveau scan: ça semble OK. Bon entre-temps, j'avais raté le match évidemment...
Donc, au final, je ne sais même pas ce qu'il s'est passé qui aurait pu être susceptible de me renseigner sur un point de sécurité à améliorer (outre le renoncement aux stream de foot). Un script? Un web exploit? Il y a toujours la problématique Flash/Chrome qui sème le doute, mais pour le coup ici je n'avais rien activé de mes propres mains, juste cliqué sur l'url d'un site que je jugeais "fiable"... et ça m'a coûté d'être à deux doigts de perdre toutes mes données.
Depuis ce jour là... je vis dans la peur.

Au passage, dernièrement je voulais paramétrer un peu mieux Avira en suivant tes différents tutorials à son sujet. Et je suis confronté au problème suivant lorsque je clique sur l'icône de configuration:
Avira-Antivir-erreur-500.jpg
Avira erreur 500
Autant dire que depuis un petit moment, Antivir commence à me gonfler sérieusement (et c'est la raison aussi pour laquelle je consulte de plus en plus d'articles à propos d'un éventuel antivirus gratuit pour le remplacer)


Parisien_entraide:

Merci pour ce retour.
Par contre, je ne comprends pas lorsque tu dis que le lien MBAM ne renvoie pas à un site de baseball?
Sur la première des deux images, MBAM renvoie au domaine patriotsparis.com (qui est le nom du club, après je n'ai pas cliqué dessus pour vérifier si c'était bien le site du club, vu que l'alerte s'est déclenchée avant)

Mais bon, en synthèse, vous semblez tous les deux converger pour dire que c'est probablement une détection abusive. La question que je me posais, c'était aussi "pourquoi l'augmentation du nombre de détections abusives semble étrangement corrélée à la baisse du nombre de jours restants sur ma période trial?" Une simple coïncidence?



Je termine en disant que pour le "pékin moyen" tel que moi, ce n'est pas toujours évident de s'orienter et de faire la part de choses. Souvent bien davantage que "faire confiance à un logiciel", c'est plutôt "faire confiance à des personnes qui font la promotion de logiciels".
Car effectivement il y a beaucoup de sites, youtubeurs, etc... qui se revendiquent "experts de la sécurité", mais il est rare d'en trouver deux qui disent la même chose et qui ont la même "philosophie". Du coup ça reste malgré tout assez compliqué de savoir à quel sein se vouer.
Je sais que pour ma part si c'est à vous que j'ai choisi d'accorder ma confiance en priorité, à la base c'est simplement parce que dans mes lointains souvenirs j'ai toujours vu le "forum malekal" ressortir dans les recherches Google dès que j'avais un soucis informatique.
J'en déduis donc logiquement que si Malekal a "survécu" dans cet univers impitoyable pendant tout ce temps, c'est que les mecs derrière doivent probablement "tenir la route".

Mais par exemple, qu'est-ce que vous pensez de cette solution assez extrême de "désactiver son AV, ou au moins sa protection en temps réel", au motif que les logiciels AV obéissent à la même logique que les virus qu'ils prétendent combattre, et notamment en ouvrant des failles?
https://www.youtube.com/watch?v=-viFLuRMg-w
Je note d'ailleurs au passage qu'il en profite pour épingler 01net (ça on savait déjà), mais également Clubic (que moi-même j'avais jugé "douteux" par le passé, mais sur lequel Malekal ne semble pas entretenir de grief particulier).


En tout cas, merci une fois de plus pour votre précieuse aide.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 91961
Inscription : 10 sept. 2005 13:57
Contact :

Re: MBAM surfe-t-il abusivement sur les peurs?

Message par Malekal_morte » 19 mai 2018 10:51

Adar Karmi a écrit :
19 mai 2018 09:36
En fait, j'ai commencé à utiliser Internet dès 1998, à cette époque j'étais ado et je faisais n'importe quoi: je traînais avec des types qui jouaient les "hackers du dimanche" en sévissant sur les réseaux IRC et en exploitant les failles mIRC, etc... Autant dire qu'à cette époque, j'ai "flingué" plus d'une fois mon système, et que ça m'a un peu "éduqué à la méfiance" (et puis ensuite j'ai un peu cessé de m'intéresser à ce domaine lorsque j'ai abandonné l'idée de devenir "le plus grand hackeur du monde pour faire chier les gens" au profit de celui "de travailler dans le domaine de la santé mentale").
ha oui l'ère des nuke puis netbus \o/
Je te nuke, tu me nukes \o/

Quoi qu'il en soit, on va dire que jusqu'à récemment, je pensais maîtriser le "minimum syndical". Mais en fait, c'était le minimum syndical d'il y a 10-15 ans, et je m'aperçois que depuis les choses ont pas mal changé et que les personnes malveillantes ont mis au point des techniques bien plus sournoises et sophistiquées (et qu'elles se sont acheté un bescherelle leur permettant d'être presque crédibles lorsqu'elle se font passer pour un site du gouvernement).
Adar Karmi a écrit :
19 mai 2018 09:36
Donc partant de là, on va dire que j'avais un certain nombre d'éléments me permettant de penser que les risques encourus étaient "moindres" (et je n'allais pas passer 90 minutes à effectuer de plus amples vérifications sur un lien mis en ligne 5 minutes avant le début d'un match)
Bien mal m'en a pris! A peine arrivé sur le site, le module de protection en temps réel d'Avira se déclenche et m'éjecte du site. Puis, il se met à lancer automatiquement une procédure de scan + désinfection. A la fin de la procédure, message d'Avira m'obligeant (sans autre possibilité) à rebooter immédiatement pour terminer le processus de désinfection.
Redémarrage, au moment de l'écran de chargement Windows, BSOD (durée approximative de 20 dixième ne permettant pas de lire quoi que ce soit) et ainsi redémarrage en boucle... génial.
Peut-être un web exploit oui.
Les sites de streaming illégaux (films, sport, etc..) sont bourrés de merde : Les virus sur les sites de streaming.
Il faut y aller avec un bloqueur de publicités à minima.
Adar Karmi a écrit :
19 mai 2018 09:36
Mais bon, en synthèse, vous semblez tous les deux converger pour dire que c'est probablement une détection abusive. La question que je me posais, c'était aussi "pourquoi l'augmentation du nombre de détections abusives semble étrangement corrélée à la baisse du nombre de jours restants sur ma période trial?" Une simple coïncidence?
Je pense pas que MBAM ait ce genre de pratiques.
En plus, ça se verrait, saurait et il y a longtemps qu'il y aurait eu une polémique.
C'est pas le genre de choses où tu es gagnant sur le long terme.

Adar Karmi a écrit :
19 mai 2018 09:36
Mais par exemple, qu'est-ce que vous pensez de cette solution assez extrême de "désactiver son AV, ou au moins sa protection en temps réel", au motif que les logiciels AV obéissent à la même logique que les virus qu'ils prétendent combattre, et notamment en ouvrant des failles?

Je note d'ailleurs au passage qu'il en profite pour épingler 01net (ça on savait déjà), mais également Clubic (que moi-même j'avais jugé "douteux" par le passé, mais sur lequel Malekal ne semble pas entretenir de grief particulier).
Ca dépendant ce qu'on entend par "failles" ... vu que le mot peu être utilisés à tort et à travers.
Les antivirus sont des logiciels, surtout qui se chargent très bas dans Windows.... et comme tout logiciel ils peuvent être buggués et comportés des vulnérabilités.
Cela arrive régulièrement que des vulnérabilités permettant d'exécuter du code soit découverte sur les antivirus.
L'autre aspect c'est qu'ils récupèrent bcp de données, cela fait polémique avec Kaspersky (même si ça semble plus être un problème de géopolitique) : Antivirus : les données récupérées.
Mais pour une entreprise, c'est une question à se poser.

Le problème et ton long paragraphe sur Antivir est un énième exemple..... c'est plus l'impact sur l'ordinateur au quotidien.
- les bugs de fonctionnement que l'antivirus possède et qui rend son utilisation pénible. Antivir est assez balaise là dessus... Le plus connus étant la protection qui se désactive. Bon parfois, c'est à la suite d'une attaque.
- les bugs à dommage collatéraux : plantages de Windows, fonctions de Windows altérées.... Avast! par exemple est connu pour faire que le surf ne fonctionne plus dans certains cas. Quand c'est pas des BSOD
- Ralentissement provoqués par l'antivirus, certains sont de vrais usines à gaz
- Les problèmes de désinstallation qui ne fonctionnent pas, incomplètes.
- Les faux positifs... quand ça arrive sur un logiciel métier, c'est relou.

Bref, parfois, t'es plus emmerdé par l'antivirus qu'un virus....
Donc oui on peut se poser la question de savoir si on peut s'en passer.
Perso, j'en ai pas sur mon ordi portable si j'avais le choix mais Windows 10 est mis avec Windows Defender est franchement, il est pas trop chiant.
Du coup, je le laisse tourner.
Les portables, déjà c'est pas hyper rapide... mais si tu as une usine à gaz en antivirus derrières, tu le mets à genoux.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Adar Karmi
newbie
newbie
Messages : 12
Inscription : 07 mai 2018 21:41

Re: MBAM surfe-t-il abusivement sur les peurs?

Message par Adar Karmi » 19 mai 2018 13:15

Le truc c'est que je suis toujours sur Win 7, donc la question de Windows Defender ne se pose pas encore pour le moment.
Après, niveau ressources c'est pas trop un problème pour le moment: je suis sur un PC fixe et ma config (de 2013) était calibrée pour faire tourner de façon optimale les plus gros jeux à cette époque.

Sinon à propos du site de stream qui m'a flingué le système, j'avais bien évidemment mon adblock d'activé aussi... mais ça n'a rien empêché (je verrai un jour si j'ai envie de me pencher sur uBlock, mais sauf à ce que je décide de mettre réellement le nez dedans pour bien le paramétrer, avec la configuration standard ça doit être kiffe kiffe). Si effectivement c'était un web exploit, j'aimerais bien savoir par où, d'autant que je suis sur Chrome donc théoriquement ça ne pouvait déjà pas être via Flash.

Bref, j'ai le sentiment que sauf a être informaticien et bosser à temps complet sur cette thématique, le risque 0 n'existe pas sauf à surfer comme un "saint dénué de tout vice".
A mon prochain reformatage, quand je passerai sous Win 10 (autrement dit quand je changerai de matos), je vais opter pour système de switch de sessions Admin / Utilisateur selon que je surfe sur des sites inconnus/risqués ou non. J'essaierais peut-être de me pencher aussi sur les système de partition pour pouvoir reformater plus confortablement (là je me voyais mal partitioner mon SSD en Master de 100 go, qui à l'origine devait être réservé à mon OS s'il n'y avait pas eu la nécessité impérieuse postérieure de devoir l'utiliser également pour gagner en performances pour certains jeux en ligne... en 2013 le vendeur m'assurait qu'un SSD de 100 GO suffisait amplement, mais c'était sans compter qu'en 2018 il existerait des jeux tels que FF XV qui font 100 GO rien qu'à eux seuls).

Bref d'ici que je saute le pas, j'en profite pour compiler l'ensemble de tes très bons articles pour pouvoir à l'avenir repartir sur des "bases saines" (j'ai accumulé bien du retard en la matière).

Encore une fois merci pour la disponibilité dont tu fais preuve.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 91961
Inscription : 10 sept. 2005 13:57
Contact :

Re: MBAM surfe-t-il abusivement sur les peurs?

Message par Malekal_morte » 21 mai 2018 11:35

C'est difficile de dire à posteriori ce qui s'est passé.
Après pour la protection, oui il y a des subtilités et ça évolue selon les attaques utilisées.
C'est pour cela qu'il faut se tenir un peu au courant ici de ce qui se passe.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 970
Inscription : 02 juin 2012 20:48

Re: MBAM surfe-t-il abusivement sur les peurs?

Message par Parisien_entraide » 21 mai 2018 18:19

Adar Karmi a écrit :
19 mai 2018 09:36
(...)
Parisien_entraide:

Merci pour ce retour.
Par contre, je ne comprends pas lorsque tu dis que le lien MBAM ne renvoie pas à un site de baseball?
Sur la première des deux images, MBAM renvoie au domaine patriotsparis.com (qui est le nom du club, après je n'ai pas cliqué dessus pour vérifier si c'était bien le site du club, vu que l'alerte s'est déclenchée avant)
(...)
Mais bon, en synthèse, vous semblez tous les deux converger pour dire que c'est probablement une détection abusive. La question que je me posais, c'était aussi "pourquoi l'augmentation du nombre de détections abusives semble étrangement corrélée à la baisse du nombre de jours restants sur ma période trial?" Une simple coïncidence?
(...)
Je. note d'ailleurs au passage qu'il en profite pour épingler 01net (ça on savait déjà), mais également Clubic (que moi-même j'avais jugé "douteux" par le passé, mais sur lequel Malekal ne semble pas entretenir de grief particulier).
Bonsoir,

Alors effectivement la première des images indique bien patriotsparis.com, mais j'ai pris la deuxième, pour bien mettre en avant cette histoire et explication que j'ai donné d'IP mutualisée
Il est donc normal d'avoir le site que tu indiques et un autre. MBAM ne fait pas dans la finesse et ne regarde donc que l'IP
Du reste il y a bien quelque chose sur cette IP (image mise en exemple)

Pour le reste MALEKAL a répondu

Sinon pour CLUBIC, cela a été racheté fin mars, ce sont les anciens fondateurs qui reviennent aux commandes http://www.clubic.com/humour-informatiq ... ndant.html

La charte graphique n'a pas encore bougée, on a autant de scripts sur les pages, mais j'ai noté plus de logiciels, et pas que des commerciaux mis en avant avec une meilleure lisibilité du clic sur le site auteur (soit on télécharge sur Clubic soit sur le site auteur donc)
Je n'ai pas noté de pubs installées d'office non plus en téléchargeant pour test sur Clubic (mais ces derniers moins il y en avait de moins en moins)

Avatar de l’utilisateur
Adar Karmi
newbie
newbie
Messages : 12
Inscription : 07 mai 2018 21:41

Re: MBAM surfe-t-il abusivement sur les peurs?

Message par Adar Karmi » 31 mai 2018 17:23

Rebonjour! (je n'avais pas vu que vous aviez répondu par la suite à mon dernier message)

Donc maintenant que ma période trial premium MBAM était terminée, j'aurais pu espérer être moins sous "pression", mais pensez-vous...
Le sujet ne concerne pas MBAM cette fois, mais j'ai quelques scrupules à ouvrir un nouveau sujet à chaque fois.

Aujourd'hui, en navigant sur un site de confiance sur lequel je me rends régulièrement sans soucis ( https://www.ifpfrance.org/), j'ai eu une jolie surprise.
En cliquant sur l'un des boutons du menu, je me suis trouvé redirigé sur page blanche avec le message "votre version Win 7 est obsolète, blablabla, il faut vider les fichiers systèmes du navigateur blablaba, cliquez sur OK pour suivre la procédure".
Donc, je quitte la page illico presto en me disant "je n'ai peut-être pas fait gaffe, je suis peut-être allé sur un site cloné pour des fins malveillantes".

Je retourne sur le site, cette fois en faisant bien gaffe à l'url. Une fois sur le site, je clique sur le champ url de mon navigateur (je voulais copier/coller l'adresse), et rebelote, ouverture de cette même page avec le même message.
Je me suis aperçu en fait que quelqu'endroit où je posais mon cursus sur le portail du site, si je cliquais ça m'ouvrait cette fenêtre (ce n'était pas le cas sur d'autres sites).
J'en ai donc profité pour prendre l'url sur laquelle j'étais systématiquement redirigé (NE CLIQUEZ PAS DESSUS):
http://dh16keli2mxnq.cloudfront.net/dyna/loadie.html?osv=Windows%207&trk=v.linkingoutnow.online&lan=fr&voluumdata=deprecated&eda=deprecated&cep=3XXu3rDq2q0Q4q5_9UUYWoiOeI98MGlX5t505aPMVRRrSO1Jkw2CMITGfqVsz9kn2OVA1klIXNWNWFdVpTbF-kT5XpGNGgGPf3YORW35_jMKv1n4pSmrVF6xwE1rTxpu7ZlRp4qZ_XVVJS4Qykk2VU25fQa58K_6X6Ig6-semofHS8SYOFeIzig5u8pN9VszV9FvRGN3ln-gpZpAG7WmO45jPdkjbW1QmX9IAJKPZLZ3f5-zkPjj-Mb4dgkWuC7U&zoneid=1551094&campaignid=1134555&visitor_id=486168881152

D'après ce que j'ai compris, cloudfront est un nom de domaine connu pour être utilisé pour diffuser des add/malwares, et il existe des procédures de désinfections du virus cloudfront.net
Avant d'envisager la chose, je voulais déjà vérifier si j'étais infecté par quelque chose. J'ai fermé mon navigateur et j'ai lancé une analyse MBAM / adwcleaner => RAS
Puis avant d'envisager passer 2 heures d'analyse par Avira (même s'il était stipulé sur commentçamarche que le virus n'est pas détecté par la version gratuite de MBAM ni par les AV), par acquis de conscience je suis quand même retourné une énième fois sur le site (je voulais printer le screen). Sauf que cette fois plus rien, tout était redevenu normal.

Quelles hypothèses dois-je privilégier selon vous?

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 970
Inscription : 02 juin 2012 20:48

Re: MBAM surfe-t-il abusivement sur les peurs?

Message par Parisien_entraide » 31 mai 2018 19:55

Adar Karmi a écrit :
31 mai 2018 17:23


Aujourd'hui, en navigant sur un site de confiance sur lequel je me rends régulièrement sans soucis ( https://www.ifpfrance.org/), j'ai eu une jolie surprise.
En cliquant sur l'un des boutons du menu,
(...)
J'en ai donc profité pour prendre l'url sur laquelle j'étais systématiquement redirigé
D'après ce que j'ai compris, cloudfront est un nom de domaine connu pour être utilisé pour diffuser des add/malwares, et il existe des procédures de désinfections du virus cloudfront.net
Je vais faire plus court que toi :-) QUEL BOUTON ? J'en ai testé quelques uns.. RIEN
Le lien n'apporte pas grand chose car de visu c'est le résultat d'une requête via javascript te concernant et on retrouve à la fin un Adword Google bien connu "campaign " (avec l'ID à la fin)

Le site est clean



A mon humble avis
c'est soit un problème d'interprétation d'affichage ou de ta config. Le site récupère les données de version windows, résolution, polices etc et il n'a pas réussi à délivrer le message qu'il voulait fournir (qui peut être lié au site mais j'en doute ou une pub extérieure non liée au site)

En plus tu utilises Chrome (d'après ton premier message) qui est un programme d'aspirateur de données pour mieux te cibler afin de générer de la pub, déguisé en navigateur
Dès lors que tu vas naviguer un peu partout, entre les coockies, le cache etc, obligatoirement certains sites vont se servir de cela (Idem pour google) pour te balancer des liens, de la pub à terme

Tu es sur les réseaux sociaux ? (facebook etc ?)

Essaie avec le navigateur Firefox, avec le minimum comme modules comme " No script", "Ublock Origin" et à la rigueur même Privacy Possum

Au pire fait et demande une analyse FRST (y a surement des trucs inutiles sur ton PC surtout que ton Win7 est installé depuis 2013, qu'il a subi des infections peut etre mal nettoyées etc)

Avatar de l’utilisateur
Adar Karmi
newbie
newbie
Messages : 12
Inscription : 07 mai 2018 21:41

Re: MBAM surfe-t-il abusivement sur les peurs?

Message par Adar Karmi » 31 mai 2018 22:33

Merci pour ce premier retour.

Donc, dans l'ordre, j'ai commencé par cliquer sur l'image concernant le film " La rébellion cachée"
Image

Si je passe sur le curseur sur l'image, on se rend compte qu'il ne change pas. Par contre si je le passe sur l'image du haut, il se transforme en main (ce qui signifie qu'elle renvoie à un lien si on clique dessus). Il me semble que j'avais cliqué sur l'image alors que le curseur n'avait pas changé et que c'est à ce moment là que la fenêtre s'est ouverte (du coup je n'ose pas recliquer sur cette image pour vérifier).

Suite à cela, j'ai fermé le navigateur, puis je suis retourné sur le site, j'ai ensuite cliqué sur "découvrir l'institut" dans le menu, en passant le curseur dessus, il ne se transformait pas en main (maintenant si), et en cliquant ça m'avait réouvert la même fenêtre.

J'ai fait une 3ème tentative, mais cette fois en cliquant sur la barre d'url du navigateur, normalement le curseur de la souris se transforme en " I " quand on le passe dessus, mais là il restait en flèche. C'est à partir de ce moment que j'ai compris que la page entière du navigateur était foireuse et que cette fenêtre allait s'ouvrir si je cliquais n'importe où.

Je suis donc allé directement sur un autre site au pif, et là aucun soucis.

J'ai lancé MBAM, adwcleaner, et je viens de finir un scan complet d'Avira => RAS. Je précise aussi que j'ai Adblock plus d'activé et qu'il n'a aucunement empêché cette fenêtre de s'ouvrir automatiquement. Et étrangement, la protection en temps réel d'Avira ne s'est pas déclenchée.

Je suis sur Facebook, mais c'est juste pour des groupes fermés très ciblés en lien direct avec ma profession, je n'ai que 5 amis que je connais personnellement, j'ai rendu confidentiel tout ce que je pouvais, je ne suis même pas sous mon vrai nom, et les quelques pubs sponsorisée qui passent n'ont strictement aucun rapport avec mes centres d'intérêt et mes recherches Google.
J'ai également modifié les paramètres Google pour qu'il n'enregistre et n'archive pas mon historique. Je refuse toujours un maximum les cookies lorsque je surfe (en générale je me barre du site si je ne peux pas refuser).

J'étais sur Firefox avant de passer sur Chrome, mais j'avais des bugs que je n'arrivais pas à résoudre (je n'arrivais pas à lancer les vidéos Dailymotion, exclusivement). La réinstallation n'avait rien changé, seul le passage à Chrome avait réglé ce problème. Depuis, je me suis habitué à Chrome...

J'avais fait une demande d'analyse FRST sur un autre topic il y a moins d'un mois. Malekal n'avait rien noté de particulier, il m'avait juste fait désactiver CCleaner au démarrage et "formater" mon navigateur Chrome.
Je n'ai que 3 extensions Chrome: Adblock Plus / Checker plus for Gmail / Protection Web Avira (dont j'ai eu la confirmation que c'était elle qui me spammait avec un comparateur de prix depuis des années, mais je tolère le rapport coût/bénéfice).

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 970
Inscription : 02 juin 2012 20:48

Re: MBAM surfe-t-il abusivement sur les peurs?

Message par Parisien_entraide » 31 mai 2018 23:25

Adar Karmi a écrit :
31 mai 2018 22:33
Merci pour ce premier retour.

Donc, dans l'ordre, j'ai commencé par cliquer sur l'image concernant le film " La rébellion cachée"
Image
J'aurai du demander le lien exact de l'image que tu as posté en plus du bouton (je ne tombe pas dessus) et je n'ai pas la même présentation

Néanmoins je reste persuadé que c'est lié à ton navigateur (et/ou protections) qui repose également sur la configuration de Windows

Tu as bien fait toutes les MAJ de windows dont celles liés à tout ce qui touche au graphisme ? Tu n'as pas bidouillé ta configuration ?

Tu dis qu'il y avait un soucis également avec Firefox, ce qui laisse à penser à un problème en amont

Avatar de l’utilisateur
Adar Karmi
newbie
newbie
Messages : 12
Inscription : 07 mai 2018 21:41

Re: MBAM surfe-t-il abusivement sur les peurs?

Message par Adar Karmi » 01 juin 2018 00:33

Le lien: https://www.ifpfrance.org/wp-content/up ... 10x511.png

Mes MAJ Win7 se font automatiquement, je fais globalement attention que tout soit à peu près à jour. Je n'ai pas bidouillé quoi que ce soit, juste dernièrement le pare-feu pour désactiver PowerShell.
Niveau protections, je vois pas bien ce que je peux faire de plus. Installer l'extension No Script qui me manque, peut-être.

Le problème avec Firefox, c'était peut-être il y a 3 ou 4 ans... depuis je n'avais pas d'autres soucis.
Mais c'est vrai que depuis ces derniers temps, ça enchaîne. Un bon reformatage ferait surement du bien, mais je suis sur Seven, donc autant passer sous 10, donc ça veut dire des "frais" à faire et c'était pas prévu dans mon budget à court terme. J'aurais bien aimé trouver le moyen de tirer encore 1 ou 2 ans sans avoir à reformater. Et à ce moment là, je ferai un compte utilisateur dédié au surf et un compte admin pour tout le reste... ce qui limitera peut-être un peu la casse.
Je vais voir si ça se reproduit, et si c'est le cas je basculerai à nouveau sur Firefox.

En tous cas merci.

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 970
Inscription : 02 juin 2012 20:48

Re: MBAM surfe-t-il abusivement sur les peurs?

Message par Parisien_entraide » 02 juin 2018 23:38

Adar Karmi a écrit :
01 juin 2018 00:33
Le lien: https://www.ifpfrance.org/wp-content/up ... 10x511.png
(...)
Humm ca c'est le lien image. J'ai vérifié quand même le source et.. rien
En fouillant j'ai retrouvé le lien originel (celui que je voulais) https://www.ifpfrance.org/les-lundis-de-lifp/

Rien qui traine de nocif dans le source malgré les nombreux scripts (et le seul iframe est pour le lien vidéo)

Par contre (j'ai retrouvé tes logs) j'ai noté que tu as peut être quelques programmes et jeux... "à part" (on va dire cela comme ça :-) d'où l'usage de Utorrent et de Daemon Tools ?

Si tu utilises Utorrent même avec ton VPN, lui par contre il va te pourrir via les régies de pubs de scories sur le disque dur
Donc dans l'absolu c'est normal que quel que soit le site visité et de façon irrégulière si tu as quelques soucis (sans compter Avira Free) surtout avec Chrome

Sinon j'ai trouvé ton cloudflare :
https://cdnjs.cloudflare.com/ajax/libs/ ... eel.min.js

Ca fait du finger Printing, et comme je le disais c'est pour pouvoir afficher ce qu'il faut en fonction de ton navigateur, résolution écran etc
Si c'est mal interprété par Chrome (la réponse à ce GET) ca s'affichera mal etc

Avatar de l’utilisateur
Adar Karmi
newbie
newbie
Messages : 12
Inscription : 07 mai 2018 21:41

Re: MBAM surfe-t-il abusivement sur les peurs?

Message par Adar Karmi » 08 juin 2018 07:12

Alors clairement, je ne télécharge plus aucun jeu illégalement depuis des années (plus de 5 ans). Mais de tête, il y a néanmoins eu 2 exceptions (bien avant que mes problèmes apparaissent):
- Borderlands (le premier), dont je possède une copie légale sur Steam, mais qui affiche un plantage au lancement via la plate-forme. Par conséquent j'ai été contraint de devoir passer par une version piratée sur un site de torrent pour pouvoir y jouer (il me semble que c'est légal).
- Skyrim, car je possède le jeu sur PS3, lequel n'a pas bénéficié de mises à jours depuis des années (et n'a globalement jamais bénéficié du moindre suivi), ce qui fait que, passé la centaines d'heure sur une save (lorsqu'elle dépasse la taille de 100 mo), la progression devient impossible (les temps de chargements entre chaque écrans durent 5 minutes). Donc par confort, je me suis autorisé à récupérer le jeu pour y jouer sur PC (là je pense que ce n'est pas légal, mais "éthiquement" excusable vu la façon dont Bethesda prend ses joueurs console pour des cons, le problème étant identique pour Fallout 3).

Pour Utorrent: je plaide coupable cette fois d'avoir été un grand utilisateur de T411 (pour des films uniquement, et peut-être un logiciel de montage vidéo aussi), dans la mesure où justement, j'avais dans l'idée que je risquais moins de récupérer de la merde sur mon PC en passant par là (torrents vérifiés) que par des sites de streaming (ce qui m'a valu quelques mails Hadopi, raison de mon passage sur Nordvpn).
Mais depuis la fermeture de T411 (donc bien avant l'apparition de mes soucis), j'ai considérablement diminué cette pratique (l'intérêt de T411 était surtout de pouvoir mettre la main sur des trucs introuvables). Je ne prétends pas être un "saint", il m'arrive de faire quelques "écarts", mais rien de comparable à avant. C'est d'ailleurs pour ça que je suis resté sur Utorrent dans une version périmée (car T411 recommandait de ne pas faire de maj d'Utorrent).

Pour Daemon Tools, je n'ai même pas souvenir de la dernière fois dont je m'en suis servi en toute sincérité (ça faisait partie des logiciels utilitaires que j'installais par "réflexe" sur mes systèmes dans les années 2000, époque où mes moeurs de consommation étaient "différentes").

Mais du coup, tu me dis que avec Utorrent, il est logique que je sois "pourri" par des pubs. Là encore, Utorrent je l'ai installé depuis des plombes sur mon ordi (mon installation actuelle date de 2013, donc l'installation d'utorrent remonte à cette date), et je n'avais aucun soucis jusqu'à maintenant.

Bon à part ça, j'ai encore eu une pub pour un Samsung Galaxy en cliquant sur le lien d'un profil (de particulier) Facebook dont la redirection était claire (j'ai toujours le réflexe de regarder le lien de redirection dans ma barre en bas à gauche quand je passe ma souris sur un lien imagé). Le lien était censé renvoyer à l'adresse suivante: http://www.aftcc.org/experimentation-du ... otherapies
Et au lieu de ça, j'ai à nouveau eu droit à cela (pour la deuxième fois en 2 semaines):
Image

Bien évidemment Adblock n'a rien bloqué... comme d'hab.
Dans la foulée, j'ai lancé un scan de logiciels malveillants (directement avec celui intégré à Chrome), mais c'est négatif (en même temps, ça revenait à confier à l'assassin la responsabilité de mener l'enquête de police).

Quand je pense qu'hier j'ai fait installer Adblock et MBAM à un pote (handicapé de Windows) qui tourne toujours sur XP et qui surfe n'importe où avec rien d'autre que free Avira (porno / streaming,...): MBAM lui a détecté 260 menaces! D'après ses dires, il n'avait pas le moindre soucis de confort à l'utilisation (bon, ça ramait un peu).
Moi j'ai 0 menaces, j'essaye de faire un peu gaffe à ce que je fais, et j'ai plus d'emmerdes que lui =)

Donc concernant le Finger Printing, tu confirmes que les meilleures options sont No Script, Privacy Possum ou le repassage à Mozilla?

Encore une fois merci =)


Répondre

Revenir vers « Discussions/Aides Antivirus »