Win32/FusionCore.AQ dans Recycle.Bin - $R1TO0OK.exe = NSIS = yLrbaQWAY.dll

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

yoz
Messages : 266
Inscription : 20 juil. 2010 16:47

Win32/FusionCore.AQ dans Recycle.Bin - $R1TO0OK.exe = NSIS = yLrbaQWAY.dll

par yoz »

Salut,

Suite à un fonctionnement suspect sur un PC (perte fond d'écran, menu démarrer inactif, reboot impossible, puis reboot à nouveau).

Pour info, Eset et MBAM ont trouvé uniquement ce PUP :

Journal
C:\$Recycle.Bin\S-1-5-21-2352943005-1466514916-3033745841-1631\$R1TO0OK.exe = NSIS = yLrbaQWAY.dll - variante de Win32/FusionCore.AQ application potentiellement indésirable - nettoyé par suppression [1]

Voici les logs de mon analyse FRST pour lever toute trace de risque:

!
Edit MODO : Lien des logs FRST effacés à la demande de l'utilisateur
ps : pjjoint.malekal.com ne semble pas fonctionner ??

Merci d'avance pour votre aide :)

Yoz
Avatar de l’utilisateur
angelique
Messages : 30962
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Analyse FRST

par angelique »

Salut,

C:\$Recycle.Bin c'était dans la corbeille

Les rapports sont corrects, pas d'infection active.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image
yoz
Messages : 266
Inscription : 20 juil. 2010 16:47

Re: Analyse FRST

par yoz »

Merci :)

D'après Hybrid-analysis et Joesandbox, la détection concerne à priori un PUP intégrée au setup de Filezilla bundled :

https://www.hybrid-analysis.com/sample/ ... 7f29bcebce
https://www.joesandbox.com/analysis/124154/0/html

@+
Avatar de l’utilisateur
Parisien_entraide
Messages : 9087
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: Analyse FRST

par Parisien_entraide »

Bonjour

C'est normal et en plus c'est indiqué
https://filezilla-project.org/download.php?type=client

Et on le voit bien avec le nom du fichier : FileZilla_3.55.1_win64_sponsored-setup.exe

Si on veut la version sans "sponsor" il faut aller en bas de la page, à "show additional download options"

https://filezilla-project.org/download.php?show_all=1
2021-09-22_113435.png


Et on voit bien la différence
2021-09-22_113253.png

Par contre je viens de tester et lors de l'installation cela n'indique pas dans le texte d'acceptation quoi que ce soit au sujet de "'sponsor" et pas de boutons non plus pour désactiver etc
Je n'utilise pas Chrome (et il n'est pas installé) et Firefox n'a pas bougé

Dans la "policy" générale on peut lire :

"Nous pouvons utiliser des sociétés de publicité tierces dans des programmes d'installation compatibles avec les offres pour diffuser des publicités lorsque vous installez notre logiciel. Les politiques de confidentialité des annonceurs peuvent être examinées au démarrage du programme d'installation avant que les annonces ne soient diffusées"


Sinon la question a été posée https://forum.filezilla-project.org/vie ... =1&t=53822
mais rien en t'empeche d'y participer pour savoir de quoi il retourne

A lire https://www.bleepingcomputer.com/news/s ... rom-users/


Extrait de https://en.wikipedia.org/wiki/FileZilla

En 2013, le site d'hébergement du projet, SourceForge.net, a fourni le téléchargement principal de FileZilla avec un wrapper de téléchargement, "offrant" un logiciel supplémentaire à installer par l'utilisateur. De nombreux utilisateurs ont signalé que certains des logiciels publicitaires étaient installés sans leur consentement, malgré le déclin de toutes les demandes d'installation, ou avaient utilisé la tromperie pour obtenir "l'acceptation" de l'utilisateur pour l'installation. Parmi les effets signalés, citons : le piratage du navigateur Web, le contenu, la page de démarrage et les moteurs de recherche étant modifiés de force, les fenêtres contextuelles, les problèmes de confidentialité ou d'espionnage, les événements d'arrêt et de redémarrage soudains pouvant entraîner la perte du travail en cours. Certains des logiciels publicitaires auraient résisté à la suppression ou à la restauration des paramètres précédents, ou auraient été réinstallés après une suppression supposée. En outre, les utilisateurs ont signalé que des logiciels publicitaires téléchargeaient et installaient davantage de logiciels indésirables, certains provoquant des alertes par les suites de sécurité, car ils étaient des logiciels malveillants.[21]

La page Web FileZilla propose des options de téléchargement supplémentaires sans installation de logiciel publicitaire, mais le lien vers le téléchargement du logiciel publicitaire apparaît comme le lien principal, mis en surbrillance et marqué comme "recommandé".[21][22]

Depuis 2016, FileZilla affiche des publicités (appelées mises à jour sponsorisées) lors du démarrage de l'application. Ces annonces apparaissent dans la boîte de dialogue "Vérifier les mises à jour".[23]

En 2018, une nouvelle controverse sur l'utilisation par FileZilla d'un programme d'installation de logiciels publicitaires groupé a suscité des inquiétudes.[24]

----


Edit :

Les alternatives : https://www.malekal.com/meilleurs-logic ... r-windows/

Edit 2 : Attention avec Fortinet vu le vol de la base de données clients (des Fr sont dedans) Aucun lien avec ce qui précede (FileZilla) mais cf tes rapports
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House
Avatar de l’utilisateur
angelique
Messages : 30962
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Win32/FusionCore.AQ dans Recycle.Bin - $R1TO0OK.exe = NSIS = yLrbaQWAY.dll

par angelique »

Prendre le zip sans installation c'est mieux lol



https://filezilla-project.org/download.php?show_all=1
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image
yoz
Messages : 266
Inscription : 20 juil. 2010 16:47

Re: Win32/FusionCore.AQ dans Recycle.Bin - $R1TO0OK.exe = NSIS = yLrbaQWAY.dll

par yoz »

C'est quoi le problème avec Fortinet ? Tu parles de cette brèche ? https://cyberguerre.numerama.com/13225- ... rance.html

Je ne suis pas client au service VPN de fortinet, mais je passe par le ForticlientVPN pour sortir sur un VPN opérateur hébergé ailleurs....

ps : comment supprimer le lien de mon 1er msg ?
Avatar de l’utilisateur
Parisien_entraide
Messages : 9087
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: Win32/FusionCore.AQ dans Recycle.Bin - $R1TO0OK.exe = NSIS = yLrbaQWAY.dll

par Parisien_entraide »

Oui et de cela aussi viewtopic.php?f=11&t=62280&start=45

Les logs FRST n'indiquent pas ce que tu fais ni de la façon dont tu te sers de Fortinet (mais il est vrai que j'ai lu en diagonale et j'ai juste relevé Fortinet) d'où mon petit avertissement

J'ai enlevé le lien, du moins sur le forum mais pas du site d'origine
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House
yoz
Messages : 266
Inscription : 20 juil. 2010 16:47

Re: Win32/FusionCore.AQ dans Recycle.Bin - $R1TO0OK.exe = NSIS = yLrbaQWAY.dll

par yoz »

Merci chef :)
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »