Ma webcam vient de sortir "du jour au lendemain"

J'ai une Microsoft LifeCam HD assise sur mon moniteur. Aujourd'hui, sa lumière s'est allumée de manière totalement furtive - je naviguais simplement sur le Web (en Chrome) quand c'est arrivé. Après environ 5 minutes, la webcam s'est éteinte.

Naturellement, j'ai immédiatement suspecté mon ex-femme (en cas de doute, je la soupçonne toujours), mais elle n'est pas assez férue en informatique.

J'ai parcouru la liste des processus et je n'ai rien vu de suspect. Je gère quelques projets open source et des applications gratuites (par exemple, greenshot, powermenu, supertray), mais je les ai depuis des années. Autoruns ne signale rien de suspect au démarrage et Windows Defender non plus.

Quoi qu'il en soit, que pourrait-il être? Que devrais-je regarder ensuite?

Process Explorer de Microsoft serait ma prochaine hypothèse: http://technet.microsoft.com/en-us/sysinternals/bb896653 . Une fois que vous l'avez chargé, cliquez sur Affichage -> Vue du volet inférieur -> Poignées. Désormais, lorsque vous cliquez sur chacun des processus dans le volet supérieur, vous obtenez un rapport sur tous les fichiers et clés de registre ouverts. Les clés sont le bit important.

Il peut contenir de nombreuses informations sur les processus en cours d'exécution, et bien que je ne sache pas vraiment s'il indiquera le processus avec la webcam ouverte, vous pourrez peut-être obtenir des indices. Je viens de l'essayer pour OneNote lors de l'enregistrement d'une vidéo et pour ma Lifecam VX7000, cette clé était ouverte lors de l'enregistrement d'une vidéo, qui est presque certainement la webcam (surtout qu'elle a disparu une fois que j'ai arrêté d'enregistrer):

HKLM\SYSTEM\ControlSet001\Control\DeviceClasses\{65E8773D-8F56-11D0-A3B9-00A0C9223196}\##?#USB#VID_045E&PID_0723&MI_00#8&27B22E96&0&0000#{65e8773d-8f56-11d0-a3b9-00a0c9223196}\#GLOBAL\Device Parameters

Je ne sais pas à quoi ressemblera votre appareil, mais gardez un œil sur les processus qui ont des clés HKLM \ SYSTEM \ ControlSet001 \ Control \ DeviceClasses \ ouverts et recherchez des mots clés tels que "USB # VID". Appuyez sur Ctrl + F et recherchez la chaîne "USB # VID" devrait trouver les processus avec cette clé ouverte.

Si vous voulez savoir exactement comment votre périphérique USB est appelé sous Windows, ouvrez le Gestionnaire de périphériques, recherchez votre webcam à l'intérieur, double-cliquez dessus, puis cliquez sur l'onglet Détails. Dans la liste déroulante de cette page, accédez à ID de matériel, ou consultez d'autres détails de cette liste déroulante et voyez si vous pouvez le faire correspondre à un processus de Process Explorer.

edit: oublié de mentionner, cette procédure ne fonctionne que lorsque le processus utilise encore la webcam (c.-à-d. que le voyant est toujours allumé)

Pourrait être flash ou un autre plugin de navigateur.

Les appareils photo (et autres appareils d'enregistrement) que vous possédez ne doivent JAMAIS s'allumer sans votre consentement. Si vous n'êtes pas au courant d'une application que vous avez configurée pour le faire automatiquement de temps en temps, il est temps de commencer à déterminer si SpyWare est sur votre ordinateur et peut l'activer.

Voici deux excellents outils gratuits auxquels je fais confiance (il n’y en a pas beaucoup en ce qui concerne les logiciels de sécurité en particulier) et que je peux utiliser pour supprimer SpyWare et qui devraient vous être utiles:

  MalwareBytes
  http://www.malwarebytes.org/

  SpyBot - Search & Destroy
  http://security.kolla.de/

Si je rencontrais ce problème, la recherche de SpyWare serait une très grande priorité.

Pour ajouter à la réponse de @Andrew Cooper:

Il y a environ un an, la communauté de la sécurité a été très émue par un chercheur qui utilisait ce que l'on appelle maintenant le détournement de clics pour amener Adobe Flash à penser à tort que l'utilisateur avait accepté d'autoriser l'accès par webcam.

Cette vulnérabilité spécifique a été corrigée, mais il pourrait toujours y en avoir plus. À l'heure actuelle, le seul moyen d'empêcher le détournement de clic consiste à utiliser Firefox avec NoScript . Chrome / IE8 offre également une prévention rudimentaire du détournement de clics , mais uniquement pour les sites qui le prennent en charge (ce qui ne permet pas d'éviter le détournement de clics en Flash).

Vous ne verrez peut-être pas quelque chose de bizarre dans la liste des processus, car le "malware" s’est peut-être injecté dans une autre application. Très probablement un processus qui est commun sur tous les systèmes Windows (explorer.exe, par exemple).

Débranchez Internet, voyez s'il s'éteint. Chaque fois que cela se produit, commencez à chercher le processus en utilisant votre webcam, comme suggéré par un autre poster, avec Process Explorer.

Une fois que vous avez déterminé quel processus, vous devez regarder quelles connexions ce processus a et vers quels ports. Ceci est également visible dans l'explorateur de processus.

Notez les adresses IP, publiez la liste sur un forum (vous ne pouvez pas en trouver un spécifique pour le moment) qui traite de ce genre de choses si vous ne pouvez pas le déterminer vous-même.

Enregistrez les informations ci-dessus.

Essuyez votre système et installez-le à partir de sources fiables.

Si le service WIA (Windows Image Acquisition) essaie de s'exécuter dans votre journal et qu'il est désactivé, il enregistre une erreur (généralement, il démarre automatiquement avec Windows).

J'ai eu ceci, et aucune caméra attachée, aucun scanner ou appareil photo numérique attaché, et peut-être que cela pourrait être quelque chose invoqué par Flash.

Couvrez votre appareil photo. Cliquez avec le bouton droit sur une fenêtre du lecteur YouTube. Cliquez sur Paramètres . Voir le globe oculaire dans une image de télévision? Cliquez dessus et refusez l'accès à votre caméra.