Rapport

[tchensung]

j'ai vu deux ou trois fois une pub pour drive cleaner comme beaucoup de monde , a chaque fois ça me proposait un scan etc , je refusais . J'ai fait un scan avec le logiciel HijackThis et voici le rapport :

 

Logfile of HijackThis v1.99.1

Scan saved at 13:44:39, on 21/11/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\GEARSec.exe

C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Softwin\BitDefender9\bdoesrv.exe

C:\progra~1\softwin\bitdef~1\bdnagent.exe

C:\progra~1\softwin\bitdef~1\bdswitch.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\VIAudioi\SBADeck\ADeck.exe

C:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe

C:\WINDOWS\system32\BacsTray.exe

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\MSMSGS.EXE

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe

C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe

C:\Program Files\Softwin\BitDefender9\vsserv.exe

c:\progra~1\softwin\bitdef~1\bdmcon.exe

C:\Documents and Settings\Propriétaire\Bureau\Scanner.exe.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll

O4 - HKLM\..\Run: [bDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe

O4 - HKLM\..\Run: [bDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe"

O4 - HKLM\..\Run: [bDNewsAgent] "c:\progra~1\softwin\bitdef~1\bdnagent.exe"

O4 - HKLM\..\Run: [bDSwitchAgent] "c:\progra~1\softwin\bitdef~1\bdswitch.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1

O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe

O4 - HKLM\..\Run: [bacstray] BacsTray.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1153938223968

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1153938720921

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/telecharger.php?id=2&version=

O17 - HKLM\System\CCS\Services\Tcpip\..\{38471051-82F6-4194-9D09-1EC842506C0E}: NameServer = 212.27.53.252,212.27.54.252

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O18 - Filter: application/xhtml+xml - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll

O18 - Filter hijack: text/xml - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll

O18 - Filter: text/xml; charset=iso-8859-1 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll

O18 - Filter: text/xml; charset=utf-8 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Program Files\Design Science\MathPlayer\MathMLMimer.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe

O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)

O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing)

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

 

 

pour info , j'ai microsoft antispyware et ad ware comme anti spy + bitdefender .

merci de votre aide

[Thanos]

re

 

Quand tu parles de ces pubs , c'est en consultant certains sites, ou c'est n'importe quand qu'une pop up s'affiche? Paar précaution, vuex tu faire ceci ? =>

 

Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

 

Ton rapport hijackthis est clean .

[tchensung]

re

 

Quand tu parles de ces pubs , c'est en consultant certains sites, ou c'est n'importe quand qu'une pop up s'affiche? Paar précaution, vuex tu faire ceci ? =>

 

Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

 

Ton rapport hijackthis est clean .

 

Ce pop up je l'ai que sur un site mininova.org ... Je te donne le rapport de suite .

 

Edit : Alors il me trouve aucun fichiers cachés lors du scan . Et voici le rapport qu'il me donne sur le bureau :

 

11/21/06 14:34:17 [info]: BlackLight Engine 1.0.47 initialized

11/21/06 14:34:17 [info]: OS: 5.1 build 2600 (Service Pack 2)

11/21/06 14:34:17 [Note]: 7019 4

11/21/06 14:34:17 [Note]: 7005 0

11/21/06 14:34:22 [Note]: 7006 0

11/21/06 14:34:23 [Note]: 7011 3036

11/21/06 14:34:23 [Note]: 7026 0

11/21/06 14:34:23 [Note]: 7026 0

11/21/06 14:34:28 [Note]: FSRAW library version 1.7.1020

11/21/06 14:39:15 [Note]: 2000 1012

Modifié le 21 novembre 2006 par tchensung

[Thanos]

Oui, tu fais bien de me préciser ca ... le genre de site ou tu es sûr d'attraper un malware!! C'est pas de la morale hein tchensung , mais fais gaffe à ces sites de p2p, cracks ,warez etc...

ce sont les principaux vecteurs d'infection! Pour t'en convaincre, lis ces deux topics très clairs:

le premier est de Malekal et concerne les cracks => http://forum.malekal.com/sutra4492.php&amp...ght=cracks#4492

le second de Tesgaz concerne le P2P en général => http://forum.zebulon.fr/index.php?showtopic=85544

Les infections véhiculées pas le p2p sont une menace réelle!! par exemple le vers Worm.Win32_Sumom-A qui est un ver de messagerie instantanée et de réseaux peer-to-peer,se met dans le dossier incoming/Shared afin d'être expédié à toutes les personnes qui partagent tes téléchargements...=> http://www.virustraq.com/info_virus/10134/details/

 

Donc pas d'inquiêtude, c'est tout à fait normal que tu reçoive ce genre de pop up bidon quand tu surfes sur ce genre de site.Evidemment il ne faut jamais télécharger ce drivecleaner ,ni aucun pseudo logiciel de ce genre.

Un vrai logiciel de sécurité n'a pas recours à ce type de pub sauvage....

 

Sur la page que tu donnes, il suffit de cliquer par exemple sur un lien pour pouvoir télécharger un fichier infecté nommé instalcasino.exe : juste pour te montrer, je viens de le télécharger à l'instant!!! et voilà le rappport de l'analyse faite avec VirusTotal (un scan de fichiers en ligne par plusieurs moteurs antivirus) =>

Complete scanning result of "installcasino.exe", received in VirusTotal at 11.21.2006, 14:48:56 (CET).

 

Antivirus Version Update Result

AntiVir 7.2.0.39 11.21.2006 ADSPY/Casino.Q

Authentium 4.93.8 11.20.2006 no virus found

Avast 4.7.892.0 11.20.2006 no virus found

AVG 386 11.20.2006 Adware Generic.KLT

BitDefender 7.2 11.21.2006 no virus found

CAT-QuickHeal 8.00 11.20.2006 no virus found

ClamAV devel-20060426 11.21.2006 Adware.Casino-3

DrWeb 4.33 11.21.2006 no virus found

eSafe 7.0.14.0 11.20.2006 no virus found

eTrust-InoculateIT 23.73.62 11.21.2006 no virus found

eTrust-Vet 30.3.3205 11.21.2006 no virus found

Ewido 4.0 11.21.2006 Adware.Casino

Fortinet 2.82.0.0 11.21.2006 Adware/Casino

F-Prot 3.16f 11.20.2006 no virus found

F-Prot4 4.2.1.29 11.20.2006 no virus found

Ikarus 0.2.65.0 11.21.2006 AdWare.Casino.R

Kaspersky 4.0.2.24 11.21.2006 not-a-virus:AdWare.Win32.Casino.q

McAfee 4900 11.20.2006 potentially unwanted program CasOnline

Microsoft 1.1804 11.21.2006 no virus found

NOD32v2 1875 11.21.2006 no virus found

Norman 5.80.02 11.21.2006 W32/Casino.AB

Panda 9.0.0.4 11.20.2006 no virus found

Prevx1 V2 11.21.2006 no virus found

Sophos 4.11.0 11.16.2006 Casino-On-Net downloader

TheHacker 6.0.3.122 11.21.2006 no virus found

UNA 1.83 11.20.2006 Adware.Casino.1951

VBA32 3.11.1 11.21.2006 AdWare.Win32.Casino.q

VirusBuster 4.3.15:9 11.21.2006 Adware.Casino.N

 

Aditional Information

File size: 157928 bytes

MD5: 67d0a239c336d9e83394fd47ad8729d9

SHA1: b1f1e92f35f4c1f03d2f3a3c3aebad284f0b60ac

On peut y voir aussi une zolie pub pour Messenger Skinner , qui une fois installé te colle une belle infection nommée Edgaccess...

Voilà...ca parle tout seul non? Une fois de plus, méfiance avec ces sites... une gratuité qui se paie cher parfois!!

 

@+

Modifié le 21 novembre 2006 par charles ingals

[tchensung]

Je le sais tres bien , j'y allais juste pour les Prison break ( je sais , ce n'est pas bien quand même ) et non pas pour d'autres trucs ... C'est juste pour suivre l'histoire . Mais j'y retournerai plus. Sinon, concernant mon rapport, y a rien ?

Merci en tout cas .

[Thanos]

Non,rien de mauvais sur ton rapport J'en connais des impatient(es) de Prison Break et autres séries

Ce que je veux te dire c'est que sur ces sites, on est vite fait infecté!! parfois il suffit de cliquer sur un lien...

Donc méfiance , ca évite des heures de désinfection , avec scans interminables et cheveux en moins à la clé

 

salut

Modifié le 21 novembre 2006 par charles ingals

[tchensung]

Non,rien de mauvais sur ton rapport J'en connais des impatient(es) de Prison Break et autres séries

Ce que je veux te dire c'est que sur ces sites, on est vite fait infecté!! parfois il suffit de cliquer sur un lien...

Donc méfiance , ca évite des heures de désinfection , avec scans interminables et cheveux en moins à la clé

 

salut

 

Merci de ton aide , c'etait vraiment simpa .

[Thanos]

De rien si tu as un souci(ce que je ne souhaite pas) , n'hésite pas !

 

Si le sujet t'intéresse =>

 

Pour en savoir plus sur la sécurité pc, consulte les pages suivantes:

Ipl_001 : http://IPL001.free.fr/IT/IT-AM0.html

Malekal_Morte : http://www.malekal.com/

 

@+