Pour en finir avec le trojan Pakes , Solution pour "éduquer" KAV. Options

[AlphaCo]

Bonjour à tous.

C'est mon premier post ici car je suis un grand garçon et j'arrive assez bien à me débrouiller tout seul donc je n'ai pas eu jusqu'à présent à me servir du forum pour utiliser cet excellent soft qu'est Ripp-it (au fait, si vous n'avez eu qu'un seul allopass le mois dernier c'est le mien (IMG:http://forum.ripp-it.com/style_emoticons/default/cling.gif) ).

Ceci dit, j'ai enfin l'occasion de vous aider un peu pour expliquer aux newbies comment se débarrasser de la FAUSSE ALERTE (j'insiste !) de Kaspersky concernant un eventuel trojan Win32.Pakes dans Ripp-it.

Je ne peux pas expliquer à KAV comment faire la différence entre les gentils et les méchants, et je ne suis pas certain qu'une mise à jour résolve le problème rapidement. Par contre on peut lui apprendre à foutre la paix à Ripp-it. Accrochez-vous voici la procédure :

A. Réinstallation de RIAM :

1. Désactivez temporairement KAV (clic droit sur l'icone de KAV dans la barre des tâches et clic sur "Désactiver la protection en temps réel").
2. Téléchargez à nouveau la version complète de RIAM v3 (puisque vous êtes inscrits sur ce forum vous devriez la trouver facilement...)
3. Procédez à l'installation de RIAM. Normalement les anciens fichiers doivent être écrasés.
4. Testez à tout hasard le fonctionnement de RIAM en le lancant. En principe tout doit être OK. Fermez RIAM.

B. "Education" de KAV :

1. Double-cliquez sur l'icone de KAV (toujours désactivé) dans la barre des tâches.
2. Allez dans l'onglet "Paramètres" et cliquez sur "Protection en temps réel".
3. Tout en bas de la fenêtre, cliquez sur "Configuration de la zone protégée".
4. Cochez la case "Activez la liste des objets exclus", puis sur le bouton "Modifier...".
5. Cliquez sur le bouton "Ajouter".
6. Dans la liste qui s'affiche localisez "Ripp-it_AM.exe" (en général on le trouve à "C:\Program Files\Ripp-it_AM\Ripp-it_AM.exe"), cliquez sur "Ripp-it_AM.exe" puis sur le bouton "Sélectionner".
7. Cliquez les boutons "Ok" (il doit y en avoir 3 successifs).
8. Fermez la fenêtre KAV.
9. Réactivez KAV (clic droit sur l'icone de KAV dans la barre des tâches et clic sur "Activer la protection en temps réel").

C. Si vous utilisez l'analyse à la demande ou des analyses périodiques programmées il faut aussi les configurer (sinon vous pouvez ignorer les étapes suivantes) :

1. Double-cliquez sur l'icone de KAV dans la barre des tâches.
2. Allez dans l'onglet "Paramètres" et cliquez sur "Analyse à la demande".
3. Tout en bas de la fenêtre, cliquez sur "Configuration de la zone d'analyse".
4. Cochez la case "Activez la liste des objets exclus", puis sur le bouton "Modifier...".
5. Cliquez sur le bouton "Ajouter".
6. Dans la liste qui s'affiche localisez "Ripp-it_AM.exe" (en général on le trouve à "C:\Program Files\Ripp-it_AM\Ripp-it_AM.exe"), cliquez sur "Ripp-it_AM.exe" puis sur le bouton "Sélectionner".
7. Cliquez les boutons "Ok" (il doit y en avoir 3 successifs).
8. Fermez la fenêtre KAV.

Voilà. J'espère que c'est assez clair. (IMG:http://forum.ripp-it.com/style_emoticons/default/glass.gif)

En fait nous n'avons pas enlevé le trojan de RIAM (vu qu'il n'existe pas), nous avons simplement indiqué à KAV d'ignorer RIAM (sans toutefois le mépriser...).

Et maintenant les développeurs de RIAM peuvent installer tous les trojans qu'ils veulent... (IMG:http://forum.ripp-it.com/style_emoticons/default/an_coucou.gif) ... mais ça risque de faire du barouf sur le forum vu que tous ceux qui n'utilisent pas KAV auront pour l'occasion de véritables alertes... (IMG:http://forum.ripp-it.com/style_emoticons/default/cling.gif) (je plaisante...).

C'était ma petite contribution à l'univers RIAM, en espérant que ce soft continue à se développer et s'améliorer...

PS. : Je viens de voir qu'il y avait un smiley un peu spécial dans la liste du style (IMG:http://forum.ripp-it.com/style_emoticons/default/Corse.gif) J'ai comme l'impression que certains sur le forum ou le projet ne doivent pas habiter loin de chez moi... Il faudra que je repasse de temps en temps (IMG:http://forum.ripp-it.com/style_emoticons/default/cling.gif)

[Suiting]

Merci pour cette information.
Je vais de ce pas l'adopter et on verra.
(IMG:http://forum.ripp-it.com/style_emoticons/default/an_coucou.gif)

[rol]

Merci à toi pour ce tuto, pour le allopass, et euh ton post (IMG:http://forum.ripp-it.com/style_emoticons/default/na.gif)

(IMG:http://forum.ripp-it.com/style_emoticons/default/yahoo.gif)

[patachou]

Bonjour,
Merci pour ton post .J'ai essayé et je n'ai plus le blocage
@+

[Guix]

Merci beaucoup pour tes explications AlphaCo (IMG:http://forum.ripp-it.com/style_emoticons/default/aga.gif)

[Jack...]

(IMG:http://forum.ripp-it.com/style_emoticons/default/Corse.gif) je crois que vous n'habitez pas loin l'un de l'autre... (IMG:http://forum.ripp-it.com/style_emoticons/default/an_ouarf.gif)

[cdoris]

Voilà un post constructif et poli, bravo et merci (IMG:http://forum.ripp-it.com/style_emoticons/default/an_coucou.gif)

[pepsilite]

@Guix, c'est qui ce Jean Tro? Trojan c mieux (IMG:http://forum.ripp-it.com/style_emoticons/default/yahoo1.gif)

[paco67]

Dans les objets exclus ajouter Enhancer.exe qui se trouve dans C:\Program Files\RIAM Video Enhancer lui aussi lorsque l'on active des filtres fait hurler comme un cochon kav. (IMG:http://forum.ripp-it.com/style_emoticons/default/yahoo.gif)

[Anakin]

ok,

salut,

après lecture du post je suis rassuré. Par contre j'aimerai bien savoir comment KAV détecte RIAM en virus. Ils doivent avoir la meme signature numérique. Serai-t il possible de prévenir KAV ou quelque chose dans le genre ?

Car si un autre virus, un vrai infecte un fichier de RIAM il a de forte chance de contaminer le reste vite fait avec la méthode citée.

Merci

[rol]

Je vais leur envoyer un mail, mais je n'y crois pas trop (IMG:http://forum.ripp-it.com/style_emoticons/default/gloups3.gif)

[saturnz]

bon ben merci pour la technique mais jai pas tous ces parametres moi dans mon KAV

bon tant pis je ferais ignorer a chaque fois

++

[Seb.26]

Il faudrait savoir si c'est l'heuristique ou un patern de virus qui declenche le binz ... Je crois pas que KAV l'indique ... dommage ...

En bidouillant un peu les sources ( genre en rajoutant du code inutile ), KAV ne trouverait plus ce qu'il cherche et laisserait ce bon vieux RIAM en paix ... (IMG:http://forum.ripp-it.com/style_emoticons/default/hem.gif)

Car sinon, c'est vrai que c'est un peu la porte ouverte à toutes les fenetres ... (IMG:http://forum.ripp-it.com/style_emoticons/default/euh.gif)
( ça faisait longtemps que je l'avais pas mise celle là ... )

[rol]

(IMG:http://forum.ripp-it.com/style_emoticons/default/an_ouarf.gif)

[Anakin]

je confirme,

il suffit meme uniquement de deplacer les procedures cela devrait suffire et ca evite le code inutile. Cela permetra de changer la signature de RAIM.

Par contre pour le mail à Kaspersky, si tu expliques bien ton cas (en leur disant que ripp-it n'est pas un prog à 2 balles mais un prog téléchargé des centaines de fois par jour) je suis quasiment certain qu'il vont en tenir compte. Peut etre vont-il intégrer une sorte de Patch pour eviter RIAM. Je suis quasiment certain qu'un email bien formulé (en english de préférence) fera bouger les choses.

Perso moi j'ai pas envie d'eviter les scan des fichiers de ripp-it. Car si l'exécutable est contaminé tous les progs utilisé par Ripp-it (executable) genre producer, nero, l'enchancer, virtualdub et d'autres serant contaminés tout de suite (du fait que c'est l'executable de ripp-it qui les lance). Ca ça fait grave lutter. Certes la probabilité de chopper un virus sur l'exe de RIAM est faible (quoi que pas si faible que cela quand on rip 24/24 et qu'on surf et dl bcp) mais c'est un gros risque quand même.

---> POUR LA METODE CITEE PLUS HAUT CELA RESTE UN TROU DANS LA SECURITE DE VOTRE ANTIVIRUS.[/B]

Le mieux c'est de réencoder ripp-it en bougant les procédurest et fonctions de places sachant que cela ne changera rien à l'execution du programme mais sa recompilation (donc nouvelle signature vu que changement de place des proc) a de fortes chances d'annuler l'effet de KAV sur le ficher. Si vraiment en bougeant les procédures de palces cela ne change pas alors c'est foutu à moins de ré-écrir les procédures autrement (c'est que RIAM et JAKES ont à peu près les mêmes procédures.) Faut essayer de placer du code bidon au milieu des procédures mais perso cela a peu de chance de marcher (sont pas trop trop cons des fois les ANTI-V).

----> N'oubliez pas que là on parle de virus mais que le même car de figure et envisageable pour les troyens et vers que KAV aurait pu supprimer.
Si non il y a une soltion on n epeut plus simple pour forcer Kaspersky a intégrer la modif dans ses mises à jour c'est que tout le monde evoi un mail (les utilisateurs de ripp-it) en disant qu'on change d'antivirus à cause de cela. Licence légale ou pas je suis sur que quelques 10ènes d emails suffirait à leur faire changer d'avis.

A bon entendeur salut.

N'oubliez pas, Ripp-it ne contient pas de virus (Je l'ai testé avec Norton, Sophos, et Bit Defender tous les 3mis à jour avant). C'EST JUSTE QUE LE CODE SOUCE DE RIAM EST PROCHE DU CODE SOURCE DE JAKES. (à moins que pepsi y est mis son propre troyen, j'ai mes DBZ qui se taillent .... mdr)

[B]Bon que la Force soit avec vous....

Anakin

[rol]

Que tous les utilisateurs envoient un mail est une bonne idée (IMG:http://forum.ripp-it.com/style_emoticons/default/cling1.gif)

D'autant que le fameux troyen n'est détecté que depuis 2 ou 3 jours alors que cette version de RIAM est là depuis 3 mois (IMG:http://forum.ripp-it.com/style_emoticons/default/gloups.gif)

[Anakin]

re et bonjour aux nouveaux ,


Pour moi c'est le meilleur moyen de faire bouger les choses. Car je suis pas sur mais je suis presque certain qu'eux (KAV) peuvent changer la signature du virus (enfin en prendre une autre).

De plus, je suis sur qu'on est une petite centaine dans ce cas facile mais 100 utilisateurs "potentiels" de leur antivirus en moins ca peut faire changer les choses.

Mais pour être sur qu'il le prennent en compte il faut exposer clairement le choix (merci au Mérovingien) :

Si vous ne changez pas la signature de Jakes alors je me verrai contraint d'utiliser un programme concurrent pour scanner mes virus !

A mon avis cette petite phrase fera plus que mouche chez Kaspersky car là ce n'est plus que les users du moment présent qui se plaignent mais ils peuvent voir une perte de leur marché (avec les futurs users de RIAM).

Je leur envoi un mail de ce pas en espérant que d'autres users de RIAM feraont pareil. Noté que pour être plus efficace ceux qui n'ont pas KAV peuvent envoyer un mail aussi. (De toute façon il n'ont aucune info sur les users de KAV a part ceux qui sont enregistrés avec leur version légale). Pour les autres restez quand même anonymes un minimum.... (IMG:http://forum.ripp-it.com/style_emoticons/default/guix_edoom7.gif)

Que la Force soit avec vous

Anakin

(IMG:http://forum.ripp-it.com/style_emoticons/default/$$$.gif)

Ce message a été modifié par Anakin - 25/01/2005 19:37.

[rol]

A quelle adresse mail l'envoies tu ? Qu'on envoie tous au même endroit (IMG:http://forum.ripp-it.com/style_emoticons/default/yahoo1.gif)

[Anakin]

Pour les english (siège social)

support technique : support@kaspersky.com
support comercial : sales@kaspersky.com

(le support commercial sera peut-etre plus attentif que le support technique car eux ils pensent aux tunes avant tout)

les français :

Support-Users@fr.kaspersky.com

Le mieux c'est de mettre le message en français suivi d'anglais et d'envoyer aux 3 mails en meme temps (CC)


++

[Anakin]

Pour ceux qui n'ont vraiment pas d'inspiration et qui parlent mal anglais (je suis pas une bête non plus) voici le mail que j'ai envoyé aux mails en questions (j'ai mis l'objet en anglais). Ne faites surtout pas un copier-coller du texte (si non on sera pas crédible) mais n'hésitez pas à changer quelques phrases, surtout celles en anglais... (IMG:http://forum.ripp-it.com/style_emoticons/default/yahoo.gif)

Bonjour,

J'ai télécharger Kapsersky version d'evaluation mais j'ai un gros souci avec. En effet il me détecte le programme Ripp-it AM comme trojan Jakes. Ce n'est pas un trojan ! Les autres antivirus ne cause pas de problème. Je suis un grand utilisateur de Ripp-it et je voulais savoir si vous faire quelque chose pour que ce trojan ne soit plus détecté sur ce fichier.

Je vous joint le fichier et vous pouvez télécharger Ripp-it ici : www.ripp-it.com. Vous devez télécharger la mise à jour multipart pour avoir l'executable en question.

Je voulais juste vous signaler qu'étant en période de test sur les différents antivirus existants je me refuse à prendre Kaspersky si celui-ci me détecte le fichier comme trojan.Pouvez-vous changer les signature du trojan.

Merci.

Anakin

---------------------------------------------------------

Hello,

I have downloaded the trial version of Kaspersky but I Have a big problem with it. So, it detects the program Ripp-it AM like a trojan. It's not a trojan ! The others cleaners have no problem with it. I am the big user of Ripp-it and I would know if you can do somthing for its program doesn't recognize like a trojan.

I join you the file and you can download it here : www.ripp-it.com . You must download the upgrade to multipart version for having the exe.

I just signal you I am in a try test period of the differents cleaners and I refuse to use Kasperky if Ripp-it is recgnize like a trojan. Can you change the virus pattern ?

Thanks

Anakin

Ce message a été modifié par Anakin - 25/01/2005 20:14.