Détection virus HEUR/HTML.Malware

[france21013]

Voici un nouveau log Hijack.

 

J'ai toujours le problème de détection du virus sur le site en question, et d'autre part, je trouve mon pc un peu plus lent à afficher les pages web.

 

Merci encore pour votre aide.

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:53:29, on 04/07/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Program Files\Analog Devices\SoundMAX\Smax4.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe

C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe

C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe

c:\APPS\HIDSERVICE\HIDSERVICE.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

C:\Program Files\Wanadoo\EspaceWanadoo.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Wanadoo\ComComp.exe

c:\APPS\Powercinema\Kernel\TV\CLSched.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Program Files\Wanadoo\Watch.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Outlook Express\msimn.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Anne Sophie\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [OM2_Monitor] "C:\Program Files\OLYMPUS\OLYMPUS Master 2\FirstStart.exe" /OM

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [OM2_Monitor] "C:\Program Files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe" -NoStart

O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe

O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe

O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm

O17 - HKLM\System\CCS\Services\Tcpip\..\{0591C481-0FFB-4407-949B-2C76941A1A3F}: NameServer = 81.253.149.1 80.10.246.3

O17 - HKLM\System\CS1\Services\Tcpip\..\{0591C481-0FFB-4407-949B-2C76941A1A3F}: NameServer = 81.253.149.1 80.10.246.3

O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe

O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe

O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

 

--

End of file - 8289 bytes

 

J'ai toujours le problème de détection du virus sur le site en question,

Ça te le fait QUE sur ce site ??

C'est pas le site en question qui a un blème, car rien d spécial dans ton log...

 

· Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.(sur un des 2 liens)

http://pc-system.fr/TC/ToolsCleaner2.exe

 

· Clique sur Recherche et laisse le scan se terminer.

· Clique, sur Suppression pour finaliser.

· Tu peux, si tu le souhaites, te servir des Options facultatives.

· Clique sur Quitter, pour que le rapport puisse se créer.

· Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

 

 

 

 

 

E - Scan online avec BitDefender

Fais ce scan anti-virus en ligne avec Internet Explorer, accepte l'active X; la barre anti-popup du SP2 (en haut) va se mettre à clignoter, clic dessus et choisis "accepter l'active X" pour faire fonctionner le scan anti-virus.

 

http://www.bitdefender.com/scan8/ie.html

Copie/Colle le rapport ► C:\windows\bdoscan8\scanres.txt (html)

http://www.malekal.com/tutorial_BitDefender_AntiSpyware.php

http://kerio.probb.fr/chasser-les-virus-et...ial+bitdefender

http://pageperso.aol.fr/rginformatique/mapage/defender.htm

 

 

 

--++++

[Sacles]

Bonjour,

 

Si c'est leposte.fr, c'est bien le site qui est en cause (en tout cas sa détection par Antivir) et non un problème sur le PC.

 

Salut.

[bamboo]

Bonjour Sacles,

 

en effet il s'agit bien du site lepost.fr ( je ne savais pas si je pouvais le citer ou pas donc je n'avais pas précisé ).

J'avais en effet des doutes vu que ça ne me le faisait que sur ce site.

Par contre cela fait plusieurs semaines que je le consulte, et je n'avais jamais eu ce souci auparavant. Est-ce récent?

 

Je termine les manips conseillées par france21013.

 

Merci à vous 2.

 

Voici le rapport TCleaner :

 

-->- Recherche:

 

C:\HijackThis.exe: trouvé !

C:\HijackThis: trouvé !

C:\Vundofix backups: trouvé !

C:\_OtMoveIt: trouvé !

C:\Documents and Settings\Anne Sophie\Bureau\SdFix.exe: trouvé !

C:\Documents and Settings\Anne Sophie\Bureau\vundoFix.exe: trouvé !

C:\Documents and Settings\Anne Sophie\Bureau\HijackThis.exe: trouvé !

C:\Documents and Settings\Anne Sophie\Bureau\SDFIX: trouvé !

C:\Documents and Settings\Anne Sophie\Bureau\HijackThis: trouvé !

C:\Documents and Settings\Anne Sophie\Bureau\HiJackThis\HijackThis.exe: trouvé !

C:\Documents and Settings\Anne Sophie\Mes documents\HijackThis: trouvé !

C:\Documents and Settings\Anne Sophie\Mes documents\HiJackThis\HijackThis.exe: trouvé !

C:\HiJackThis\HijackThis.exe: trouvé !

 

---------------------------------

-->- Suppression:

 

C:\HijackThis.exe: supprimé !

C:\Documents and Settings\Anne Sophie\Bureau\SdFix.exe: supprimé !

C:\Documents and Settings\Anne Sophie\Bureau\vundoFix.exe: supprimé !

C:\Documents and Settings\Anne Sophie\Bureau\HijackThis.exe: supprimé !

C:\Documents and Settings\Anne Sophie\Bureau\HiJackThis\HijackThis.exe: supprimé !

C:\Documents and Settings\Anne Sophie\Mes documents\HiJackThis\HijackThis.exe: supprimé !

C:\HiJackThis\HijackThis.exe: supprimé !

C:\HijackThis: supprimé !

C:\Vundofix backups: supprimé !

C:\_OtMoveIt: supprimé !

C:\Documents and Settings\Anne Sophie\Bureau\SDFIX: supprimé !

C:\Documents and Settings\Anne Sophie\Bureau\HijackThis: supprimé !

C:\Documents and Settings\Anne Sophie\Mes documents\HijackThis: supprimé !

[bamboo]

Voici le rapport BitDefender :

 

BitDefender Online Scanner

 

 

 

Scan report generated at: Sat, Jul 05, 2008 - 17:16:04

 

 

 

 

 

Scan path: C:\;D:\;

 

 

 

 

 

 

 

Statistics

 

Time

01:02:12

 

Files

223241

 

Folders

5682

 

Boot Sectors

3

 

Archives

8405

 

Packed Files

9211

 

 

 

 

Results

 

Identified Viruses

0

 

Infected Files

0

 

Suspect Files

0

 

Warnings

0

 

Disinfected

0

 

Deleted Files

0

 

 

 

 

Engines Info

 

Virus Definitions

1345248

 

Engine build

AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

 

Scan plugins

16

 

Archive plugins

42

 

Unpack plugins

7

 

E-mail plugins

6

 

System plugins

5

 

 

 

 

Scan Settings

 

First Action

Disinfect

 

Second Action

Delete

 

Heuristics

Yes

 

Enable Warnings

Yes

 

Scanned Extensions

*;

 

Exclude Extensions

 

 

Scan Emails

Yes

 

Scan Archives

Yes

 

Scan Packed

Yes

 

Scan Files

Yes

 

Scan Boot

Yes

 

 

 

 

Scanned File

Status

 

No virus found.

 

 

 

 

Par contre depuis hier Avira affiche une nouvelle détection de Virus : TR/Trash.Gen [trojan].

 

Merci pour votre aide.

[Sacles]

Re,

 

Je ne sais pas pourquoi tu scannes et tu scannes encore et toujours ta machine, c'est le site qui est en cause. Si tu interdis son accès, il n'y a plus de raison d'avoir quoi que ce soit.

 

J'ai essayé (Antivir Premium). J'ai l'alerte mais en mettant le site dans les exceptions du MailGuard, je n'ai plus aucun problème d'accès.

 

Tu peux signaler le problème chez Avira (uniquement si le site est clean, je ne le connais pas).

 

Salut.

[Sacles]

Re,

 

Il s'agit en réalité d'un problème lié à la détection heuristique (souvent responsable de faux-positifs).

 

Si tu mets la détection heuristique du guard sur low, tu devrais avoir accès au site.

 

Cette position est évidemment moins sûre mais génère moins de faux-positifs. A toi de voir.

 

Salut.

Modifié le 5 juillet 2008 par Sacles

[bamboo]

Merci pour ta réponse. Concernant les scans je les fais parce que la personne qui a commencé à m'aider me les a demandés, donc comme je ne suis pas une pro, je suis les conseils qu'on me donne

 

Pour mettre la détection heuristique du guard sur low peux-tu m'expliquer comment procéder stp? Au moins pour essayer.

 

Merci d'avance.

Modifié le 5 juillet 2008 par bamboo

[angelique]

heu!! j'ai pas de detection sur http://www.lepost.fr/ , y'a une page spéciale, un Iframe dans la page source??Antivir couine sur quel sujet??la page de détection stp!!

[france21013]

Bonsoir,

 

tes rapports sont propres.

Pour le paramétrage d'Antivir, je ne le connais pas spécialement.

Je pense que tu devrais suivre les conseils de Sacles (que je remercie au passage)

 

Bonne soirée.

 

Chez moi, cela ne sonne pas non plus.

Je ne suis pas sous Antivir ;

Modifié le 5 juillet 2008 par france21013

[Sacles]

Re,

 

Clique droit sur l'icône d'Antivir dans le systray > Configure Antivir (Expert mode activé)> Clique sur le + de Guard > Clique sur le + de Scan > Heuristique > Low detection level. Si cela ne suffit pas, tu décoches la détection heuristique.

 

Avec les avantages et inconvénients signalés plus haut.

 

Salut.

Modifié le 5 juillet 2008 par Sacles