Rapport Ad-Aware 2008 Pro

[El Diablo]

Bonsoir,

 

J'utilise habituellement ad-aware 2008 pro principalement pour la protection en tps réel et malwarebytes anti malwares pour les analyses mais par curiosité je me suis rendu compte qu'ad-aware, suite à une analyse, m'a trouvé ceci que je ne peux évidement pas supprimer ou mettre en quarantaine!

- Malware: cool web search

- Misc: redirected hostfile entry

Es-ce grave docteur Zébulon??? Si oui, quel est la procédure?

 

D'avance merci.

[Gof]

Bonsoir El Diablo

 

Peux tu générer et poster un rapport ad-aware 2008 pro que l'on voit cela précisément ? As-tu un fichier hosts personnalisé que tu entretiens (si tu ne sais pas de quoi il s'agit, c'est non) ? Qu'indique MBAM ?

 

Télécharge HijackThisV2 sur ton bureau.

• Double-clique sur HJTInstall.exe et suis les instructions d'installation.
  
• Tu trouveras un tutoriel pour l'installation et la génération d'un rapport ici
  
• Lance le, valide le message d'avertissement, puis clique sur Do a system scan and save a logfile.
  
• A la fin de l'analyse, le bloc-notes va s'ouvrir. Copie-colle tout son contenu ici à la suite.
  
• Poste le rapport généré sur le forum.
  

[El Diablo]

- Je suis entrain de refaire une analyse ad-aware 2008 et vais te transmettre précisément son rapport.

- Pour ce qui est de MBAM rien à signaler.

- J'ai un fichier Host mais ne sais pas si il est à jour

- Voici le log:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:58:34, on 28/09/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\Launch Manager\LManager.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

C:\Program Files\ESET\ESET Smart Security\egui.exe

C:\Program Files\TomTom HOME 2\HOMERunner.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe

C:\Program Files\3M\PSNotes\psn.exe

C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

C:\Program Files\ESET\ESET Smart Security\ekrn.exe

C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe

C:\WINDOWS\system32\IoctlSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\msiexec.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Brice\Bureau\Ad-Aware 2008 Pro v7.1.0.10\Ad-Aware 2008 Pro v7.1.0.10.exe

C:\WINDOWS\system32\MSIEXEC.exe

C:\WINDOWS\system32\MsiExec.exe

C:\WINDOWS\system32\MsiExec.exe

C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\system32\MsiExec.exe

C:\Program Files\Lavasoft\Ad-Aware\lsupdatemanager.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://portail.free.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll

O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Program Files\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\Launch Manager\LManager.exe

O4 - HKLM\..\Run: [synTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe

O4 - HKLM\..\Run: [amd_dc_opt] C:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe

O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\Ad-Watch.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: Post-it® Software Notes.lnk = C:\Program Files\3M\PSNotes\psn.exe

O8 - Extra context menu item: &Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: &Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\Office12\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1216473617828

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1216473588968

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe

O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe

O23 - Service: Spouleur d'impression (Spooler) - Unknown owner - C:\WINDOWS\system32\spoolsv.exe (file missing)

 

--

End of file - 8757 bytes

[El Diablo]

Et voici le log d'ad-aware:

 

Ad-Aware Build

Log File Created on: 2008-09-28 22:24:57

 

This scan was aborted by the user, all infections might not have been logged.

 

Using Definitions File: C:\Documents and Settings\All Users\Application Data\Lavasoft\Ad-Aware\core.aawdef

Computer name: BRICE2

Name of user performing scan: SYSTEM

 

System information

===========================

Number of processors: 2

Processor type: AMD Turion 64 X2 Mobile Technology TL-58

Memory Available: 67%

Total Physical Memory: 2145423360 Bytes

Available Physical Memory: 1427107840 Bytes

Total Page File Size: 3557130240 Bytes

Available On Page File: 2789244928 Bytes

Total Virtual Memory: 2147352576 Bytes

Available Virtual Memory: 1747918848 Bytes

OS: Microsoft Windows XP Service Pack 3 (Build 2600)

 

Ad-Aware Settings

===========================

Skipping files larger than 1048576 kB

Ignoring infections with lower TAI than: 3

 

 

Extended Ad-Aware Settings

===========================

Unloading known modules during scan

Ignoring spanned files when scanning cab archives

Reanalyzing results after scanning before displaying results

Trying to unload modules prior to removal

Unloading Explorer if necessary during removal

Let Windows remove files currently in use at next reboot

Removing quarantined objects after restore

Suppressing warnings if objects cannot be removed

Deactivating Ad-Watch during scans

Writeprotecting system files after repairs

Include info about ignored objects in log file

Including basic settings in log file

Including advanced settings in log file

Including user and computer name in log file

Create and save WebUpdate log file

 

Databaseinfo

===========================

Version number: 125

Build Number: 0

Build Date and Time: 2008/09/25 15:30:10

 

Scan Statistics

===========================

Method: Full

Scan tracking cookies.............................: On

Scan ADS filestreams..............................: On

 

Item Scanned: 227960

Infections Detected: 4

Infections Ignored: 0

 

Scan detailed statistics

===========================

Type Critical Total

Process Scan....: 0 0

Registry Scan...: 0 0

Registry PE Scan: 0 0

Hosts File Scan.: 4 4

File Scan.......: 0 0

Folder Scan.....: 0 0

LSP Scan........: 0 0

ADS Scan........: 0 0

Cookie Scan.....: 0 0

File Hash Scan..: 0 0

 

Infections Found

===========================

Family Id: 265 Name: CoolWebSearch Category: Malware TAI:10

Item Id: 500000001 Value: IP Address: 127.0.0.1 Host Name: LENDER-SEARCH.COM

Item Id: 500000002 Value: IP Address: 127.0.0.1 Host Name: HOT-SEARCHES.COM

Family Id: 563 Name: Redirected hostfile entry Category: Misc TAI:4

Item Id: 500000134 Value: IP Address: 127.0.0.1 Host Name: CLKOPTIMIZER.COM

Item Id: 500000137 Value: IP Address: 127.0.0.1 Host Name: SMARTESTSEARCH.COM

[Gof]

Re

 

Ton log HijackThis ne révèle rien, tu me dis que MBAM ne signare rien non plus. Et Ad-Aware coince sur quatre entrées du fichier hosts qui me semblent tout à fait légitimes. Cela ressemble à un faux positif.

 

As-tu effectué une mise à jour du fichier hosts, ou de Ad-Aware récemment ? La détection est présente depuis combien de temps ?

[El Diablo]

Oui ad-aware est mis à jour régulièrement et il n'y a que lui qui le detecte mais je constate que j'ai la meme chose sur mon pc fixe et vu que je ne fais jamais d'analyse avec celui-ci... Je voulais connaitre la raison, tu as peut etre vu juste pour ce qui est du faux positif mais comme MBAM n'a rien detecté alors je ne m'inquiete pas.

 

Pour ce qui est du fichier host je ne sais pas comment le mettre à jour si tu peux m'expliquer la démarche?

Modifié le 29 septembre 2008 par El Diablo

[El Diablo]

Pour info je viens de mettre à jour MBAM et lancé une analyse... il m'a trouvé 4 infections dont une portant sur le fameux fichier Host! Il faut absolument que tu me donnes cette démarche de mise à jour

[Gof]

Bonjour El Diablo

 

il m'a trouvé 4 infections dont une portant sur le fameux fichier Host!

Il faudrait que tu me communiques ce rapport que l'on regarde cela ensemble. Ou il s'agit d'un faux-positif, et cela me permettra de faire une remontée aux auteurs de MBAM, ou cela n'est pas le cas, et nous aviserons.

 

Le fichier Hosts

 

Les liens ci-dessous expliquent comment fonctionne le fichier hosts, à quoi il sert, comment le configurer, l'entretenir, etc. Grossièrement, il permet d'empêcher la navigateur d'accéder à des sites déterminés. Cela est pratique en cas de sites connus piégés ou autre, définis suivant la convenance de l'utilisateur. Dans ton cas, tu possèdes déja une liste Hosts, il ne s'agit donc pas d'installer un nouveau fichier, mais de le fusionner ou non avec des bases existantes. Divers outils existent pour cela, dont TweakHosts de sebdraluorg, mentionné dans l'article de Pierre Pinard (cf ci-dessous).

 

Inversement, il est tout aussi simple de cette même façon d'empêcher le navigateur d'accéder à un site légitime. C'est ce que pensent détecter MBAM et AVG. Mais deux outils qui "bip" en même temps, c'est rare pour un faux positif. C'est pourquoi j'attends ton rapport.

 

Comprendre

• Je t'invite à lire cet article de Tesgaz sur Speedweb et cette conversation sur Zebulon au sujet du fichier hosts afin de comprendre son fonctionnement.
  

 

Installer

• Ensuite, je te suggère de lorgner du côté des listes hosts (que tu pourras combiner, comme indiqué dans le lien) de Pierre Pinard sur Assiste :
  

Téléchargement d'une liste Hosts.

• Je préfère t'indiquer ce lien, car il permet de faire son choix dans plusieurs listes, et de les combiner entre elles suivant ce que l'on désire. De plus, il me semble plus adapté au web français (pour peu que tu consultes essentiellement des sites français).
  

• Tu peux sinon, à défaut, installer le MVPS-hosts à partir de cette page, ou directement télécharger un setup d'installation qui l'automatisera tout seul.
  

• A noter que Tesgaz offre également une liste hosts, mais je la trouve trop restrictive, c'est une question de choix
  

 

Nota sur le "Client DNS"

• Peu importe la ou les listes choisies (puisque tu peux les combiner, et supprimer les doublons grâce à l'outil indiqué dans la page de Pierre Pinard), il te faudra faire attention au service "Client DNS", comme expliqué ici par Tesgaz.
  
• Un petit batch peut te permettre de désactiver facilement ce service : DnsDisabled.bat.
  

[El Diablo]

Bonsoir Gof ,

 

Merci de tous ces liens et explications je vais pouvoir m'y pencher sérieusement... Voici le log de MBAM suite à la detection des 4 infections:

 

Malwarebytes' Anti-Malware 1.28

Version de la base de données: 1222

Windows 5.1.2600 Service Pack 3

 

29/09/2008 21:39:58

mbam-log-2008-09-29 (21-39-58).txt

 

Type de recherche: Examen complet (C:\|D:\|E:\|)

Eléments examinés: 81953

Temps écoulé: 22 minute(s), 0 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 3

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

C:\WINDOWS\system32\system32 (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\system32\drivers (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\system32\drivers\etc (Trojan.Agent) -> Quarantined and deleted successfully.

 

Fichier(s) infecté(s):

C:\WINDOWS\system32\system32\drivers\etc\hosts_Win_Original (Trojan.Agent) -> Quarantined and deleted successfully.

 

[Gof]

Bonjour El Diablo

 

Eh bien, nous n'étions pas en présence d'un faux positif visiblement. Observe la redondance des noms de répertoire : WINDOWS\system32\system32\

 

Le deuxième n'a rien à faire là, il n'existe pas normalement. MBAM l'a traité visiblement. Qu'en est-il des détections Ad-aware depuis le passage MBAM ? Tu n'as ou n'avais aucun souci sur le PC précédemment ? MBAM ne nous révèle plus rien, et il est en général efficace pour révéler les entrées infectieuses. Néanmoins, on va fouiller un peu.

 

Télécharge DiagHelp.zip de Malekal_morte sur ton bureau.

• Décompresse le, sur ton bureau par exemple.
  
• Un nouveau dossier chercher va être créé DiagHelp.
  
• Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître)
  
• Une fenêtre va s'ouvrir, choisis l'option 1
  
• L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur les touches quand on te le demande
  
• Une fenêtre internet va s'ouvrir, suis les consignes. Que cela fonctionne ou non, ferme la fenêtre, un rapport va s'ouvrir
  
• Copie/colle le contenu du bloc-note qui s'ouvre et joins le à ta prochaine réponse.
  

(il et possible que l'antivirus s'affole lors de l'analyse avec diaghelp, c'est un faux positif, il faut ignorer les alertes. )

 

A bientôt.