[Ariandor]

Bonjour à tous, je pense que certains d'entre vous joue peut être avec 2 acompte sur 2 écran grâce Eve launcher comme ce fût mon cas jusqu'à aujourd'hui.

Le problème c'est que aujourd'hui je viens de me mettre pour Kaspersky Internet Security 2011 et je lance un full scan de mon PC.

Et paf ! Kaspersky me trouve un seul virus sur mon PC le cheval de Troie "Trojan-Spy.Win32.Wexd.n" dans une des dll du répertoire d'install de Eve Launcher.
Nom du fichier : Grismar.CBTHook.dll

Après renseignement sur le net celui-ci se comporte comme un Keylogger pouvant archiver (pour un envoi ultérieur) ou envoyer immédiatement des logs de frappe vers un serveur extérieur.

Cela fait déjà quelques temps que je l'utilise, j'ai jamais eu de problème avec mes comptes mais là je commence à douter que cela ne m'arrive un jour. J'ai donc changer mes mdp de mes comptes en utilisant le clavier virtuel de Kaspersky au cas ou.

Voila j'espère que cela pourra aider certains d'entre vous.

[Gaetaneos]

J'utilise EvE launcher depuis maintenant .... 9mois et je dois dire que je n'ai jamais eu de problème....
Es-tu sur de la provenance de ton setup.exe ?
Es-tu sur que ce trojan ne provient pas d'autre chose ?
Y-a-t'il d'autre personnes qui affirme cet affirmation ?

Merci, je car je commence à m'inquiéter.

Ou alors, peut-être est-ce ton kaspersky qui provient d'un gangster jouant a eve qui fait en sorte de t'afficher un virus sur eve launcher pour que tu change tes password avec le clavier virtuel qui est lui même piraté

[Cyanux]

Un keylogger prends aussi des screenshots, je te conseille de changer le mdp sur une machine seine .
Enfin avec un peux de chance le créateur trouverai ceci trop voyant... Et éviterai ale transfert d'images.

Merci de nous prévenir .

[The Londonian]

A premiere vue je dirais que ton antivirus s'excite parce que Eve Launcher touche au processus eve.exe pour les deplacer sur chaque écran (et pour les feature "cacher le jeu", etc ....)

[Miryade Loon]

Le meilleur moyen d'en être sur, c'est le Firewall... Qui t'indiquera si ce logiciel veut aller sur le serveur externe (a ne pas confondre avec l'appel aux serveurs CCP).

Parce que le luncher, fondamentalement, c'est normal qu'il utilise un global hook... Il induit un comportement non "normal" en détournant certaines informations pour faire sa job. C'est là que l'antivirus capote.

Aussi... Le fichier peut être infecté, mais avoir été vérolé par autre chose.

Donc méfiance, mais pas de paranoïa

[Linoa Hiroshi]

Citation :

Publié par Miryade Loon

[...]Parce que le launcher, fondamentalement, c'est normal qu'il utilise un global hook... Il induit un comportement non "normal" en détournant certaines informations pour faire sa job. C'est là que l'antivirus capote.

Aussi... Le fichier peut être infecté, mais avoir été vérolé par autre chose.

Donc méfiance, mais pas de paranoïa

Héhéhé, méfiance et paranoïa, c'est comme risque et danger. Il y a danger quand on ne mesure plus le risque.
Merci de cet optique, je commençait aussi à trembler et une envie idiote de courir en rond et en hurlant grandissait de plus en plus dans mon esprit maçédonien. (ouh, la blague de troyen...)

[Sorine]

Tu l'as téléchargé où ton eve launcher?

[Ariandor]

Ben sur le site du créateur de eve launcher.
L'alerte s'est produite lors d'une analyse complète de la machine après installation du nouveau client Kasper 2011. Donc il l'a découvert parce qu'il a analyse le fichier et non pas lorsque celui-ci était en exécution. Alors que hier et avant kasper 2010 n'avait jamais bronché avec Eve launcher.
Donc cela me fait penser que ce virus vient d'être intégrer à la database de virus dans le nouveau KIS et que l'a il l'a vu. De plus il semblerait que ce soit une variation très récente de ce trojan qui est ancien.

Après désinfection plus rien sur le PC mais je vais en profiter pour analyser le zip que j'ai conservé de Eve launcher avec le nouveau KIS pour voir si'il trouve pareil. Je vous tiens au courant.

[Ariandor]

Bon je suis retourné sur le site de Eve launcher et dès que j'ai voulu cliquer sur le lien pour le télécharger kaspersky a détecté ce fameux virus.

Voici le log de KIS

Citation :

Infecté (2)
23/07/2010 15:48:48 Infecté cheval de Troie Trojan-Spy.Win32.Wexd.m http://eve.grismar.net/evelauncher/setup.exe//data0002 Elevées
23/07/2010 15:48:48 Infecté cheval de Troie Trojan-Spy.Win32.Wexd.n http://eve.grismar.net/evelauncher/setup.exe//data0003 Elevées

Surtout cliquez pas sur les liens.

C'est bien le site du créateur de Eve launcher non ?

[reng]

le setup sur le site a cette somme MD5 :
A8D716D48AD755D558E7D638B60D2F7F
tu pourrais vérifier sur celui téléchargé ?
Tu as contacté grismar ?

[Whinette]

Upload le(s) fichier(s) incriminé(s) sur http://www.virustotal.com/ pour écarter tout faux-positif.

[BOGHOSS]

Bizarre, votre truc ! Car moi, sur mon PC, je n'ai pas de répertoire EvE Launcher. Je n'ai qu'un répertoire CCP, puis EVE dans lequel j'ai d'autres dossiers, mais pas d'EVE Launcher. J'ai une icône EVE (qui doit être celle du lancement de l'application) et une autre EVE.EXE (Safe Mode) (j'ignore à quoi elle correspond).

[Whinette]

Normal belle gosse, c'est une application tierce.

[BOGHOSS]

Merci, belle Whinette ! Je comprends mieux, car je n'utilise jamais d'application tierce, pour cause de paranoïa subaiguë. Je n'ai pas envie d'abîmer mon joli ordinateur qui m'a fait casser mon petit cochon rose.

[Ariandor]

Citation :

Publié par reng

le setup sur le site a cette somme MD5 :
A8D716D48AD755D558E7D638B60D2F7F
tu pourrais vérifier sur celui téléchargé ?
Tu as contacté grismar ?

Citation :

Publié par Whinette

Upload le(s) fichier(s) incriminé(s) sur http://www.virustotal.com/ pour écarter tout faux-positif.

Euh le truc c'est que Kaspersky ne veut pas me laisser le télécharger donc impossible de l'envoyer sur virustotal ou de pouvoir vérifier ce que tu demande Reng. Quand aux autres fichiers qui été déjà installé il les a directement supprimés.

Et non j'ai pas contacté Grismar. Je viens de découvrir ça y a 2 heures, mais si tu le connais demande lui des explications.

[reng]

la sum md5 du setup.exe est la meme que celle qu'il indique sur sa page donc à priori le setup n'est pas corrompu sauf si le hacker a aussi modifié la md5 affichée sur le site

quand à l'analyse en rehost de virustotal voila ce que ça donne

:http://www.virustotal.com/fr/analisi...2f6-1279898294


y'a donc que Kaspersky qui detecte qquechose.

[Ariandor]

Tu penses donc à un faux positif ?

En tout cas si c'est un faux positif bonjour la galère pour moi je peux même plus re-télécharger et encore moins le réinstaller

[cluedo]

GDATA Antivirus 2010 ne détecte rien sur le setup.exe chez moi

[Whinette]

Tu dois pouvoir créer une exception dans ton AV.

[Ariandor]

Bon je vais changer le titre du topic vaudrait mieux eviter la panique.

Merci pour toutes ces réponses rapides. Je connaissais pas virus total.

[BOGHOSS]

Avec Virus Total, vous aurez la totalité des virus !

[Æshrååf]

J'ai modifié le titre du message completement
je me sert du grismar depuis tres longtemps et je n'ai jamais eu de probleme

[sirgoon]

au pire les dernières versions d'evemon propose la même fonction (a savoir replacer une fenêtre sur un écran x ou y)