scan en ligne+ 4 infections + HijackThis

vincmoh · le 31 mai 2009

Bjr;

J'ai scanné en ligne mon PC avec Activscan2 du site Zebulon dont ci-dessous le rapport d'examen:

;*******************************************************************************

*********************************************************************************

*******************

ANALYSIS: 2009-05-30 18:43:09

PROTECTIONS: 1

MALWARE: 2

SUSPECTS: 0

;*******************************************************************************

*********************************************************************************

*******************

PROTECTIONS

Description Version Active Updated

;===============================================================================

=================================================================================

===================

avast! antivirus 4.8.1335 [VPS 090529-0] 4.8.1335 Yes Yes

;===============================================================================

=================================================================================

===================

MALWARE

Id Description Type Active Severity Disinfectable Disinfected Location

;===============================================================================

=================================================================================

===================

00065337 adware/favadd Adware No 0 Yes No HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{10954C80-4F0F-11d3-B17C-00C0DFE39736}

02990320 Application/BoontyGames HackTools No 0 Yes No C:\System Volume Information\_restore{6DE1D617-6B85-4364-B228-4B886A394EBB}\RP48\A0003847.EXE

02990320 Application/BoontyGames HackTools Yes 0 Yes No C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

;===============================================================================

=================================================================================

===================

SUSPECTS

Sent Location P

;===============================================================================

=================================================================================

===================

;===============================================================================

=================================================================================

===================

VULNERABILITIES

Id Severity Description

J'ai procédé à une pré-désinfection selon le protocole proposé.

AntiVir a dépisté 3 infections correspondant aux 2 derniers virus trouvés ci-dessus (qui seraient des programmes dits PUP...) et un 3eme du meme type non trouvé par le scan en ligne. :

-(02990320 Application/BoontyGames HackTools C:\System Volume Information\_restore{6DE1D617-6B85-4364-B228-4B886A394EBB}\RP48\A0003847.EXE

-02990320 Application/BoontyGames C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

J'ai mis en quarantaine puis éliminés ces 3 virus.

Mais le 1er virus (00065337 adware/favadd HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{10954C80-4F0F-11d3-B17C-00C0DFE39736} (qui serait un spyware) n'a pas été détecté donc serait toujours en place selon le rapport du scan en ligne.

Ci-joint le rapport Hijackthis fait à l'issue:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 01:10:21, on 31/05/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Google\Update\GoogleUpdate.exe

C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\WINDOWS\ATKKBService.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Intel\Wireless\Bin\OProtSvc.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\SearchIndexer.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Yahoo!\Search Protection\SearchProtection.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe

C:\WINDOWS\ATK0100\HControl.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\ASUS\NB Probe\NBProbe.exe

C:\Program Files\ASUS\ASUS Live Update\ALU.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Documents and Settings\eric\Mes documents\Appli Utilitaires\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\OpenOffice.org 3\program\soffice.exe

C:\WINDOWS\ATK0100\ATKOSD.exe

C:\Program Files\OpenOffice.org 3\program\soffice.bin

C:\Documents and Settings\eric\Bureau\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com/?fr=fp-yie8

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/?fr=fp-yie8

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://recherche.neuf.fr/ie/default.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer fourni par Yahoo!

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - (no file)

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\DOCUME~1\eric\MESDOC~1\APPLIU~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\YTSingleInstance.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [YSearchProtection] "C:\Program Files\Yahoo!\Search Protection\SearchProtection.exe"

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NB Probe] C:\Program Files\ASUS\NB Probe\NBProbe.exe

O4 - HKLM\..\Run: [iSUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [ASUS Live Update] C:\Program Files\ASUS\ASUS Live Update\ALU.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Documents and Settings\eric\Mes documents\Appli Utilitaires\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Connexion SFR 9props.exe] "C:\Program Files\Neuf\Kit\9props.exe" /trayicon

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - S-1-5-18 Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe (User 'SYSTEM')

O4 - .DEFAULT Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe (User 'Default user')

O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\DOCUME~1\eric\MESDOC~1\APPLIU~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\DOCUME~1\eric\MESDOC~1\APPLIU~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com

O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1200044867937

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://ma-config.com/activex/hardwaredetection_3_0_3_1.cab

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} -

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe (file missing)

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: Service Google Update (gupdate1c9c03e17d62dac) (gupdate1c9c03e17d62dac) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: OwnershipProtocol - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\OProtSvc.exe

O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe

--

End of file - 11310 bytes

Que dois-je faire? Comment me débarrasser du dernier virus trouvé en ligne mais non retouvé par AntiVir? Est-il "dangereux"?

Merci de vos avis(et bon WE de Pentecote à tous!).

WawaSeb · le 31 mai 2009

Bonjour vincmoh,

*** Je te souhaite la bienvenue sur le forum sécurité de Zebulon ! ***

1) Une petite note concernant ton antivirus, si Avast! était reconnu performant il y a quelques années, il est actuellement décrié par plusieurs experts ; il en va de même pour Spybot, que je te conseille de désinstaller avant de commencer le nettoyage :

Je t'encourage donc à lire ces deux topics et à prendre la décision qui te convient le mieux :

Parmi les traces trouvées par tes différents scans, rien n'est très agressif !

Boonty a changé récemment sa politique et s'est assaini. Même si je déteste personnellement, on ne peut vraiment plus parler d'infection...

Quant à la clef CLSID qui t'inquiète, selon les cas, elle peut être :

Une partie de trojan
Un "lancement rapide" ACER
Un "adware" ajouté par des sites de cracks !

(source http://www.systemlookup.com/)

==> Il s'agit ici du trojan Favadd !

==> Ce trojan est très vieux et son niveau de dangerosité hyper faible !

------------> ATTENTION, les cracks ne sont rentables que parce qu'ils infectent ta machine !!! Je te renvoie à ce très bon article de tesgaz : A lire !

Yahoo! Toolbar

--> As-tu volontairement installé cette barre d'outils ?

--> Souvent ces "toolbars" s'installent par d'autres logiciels via une case pré-cochée...

Plus d'infos dans cet excellent article de malekal_morte !

*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-

2) Désactive le Teatimer de Spybot (si tu ne l'as pas désinstallé, évidemment)

Ouvre Spybot
Rends-toi dans le menu Mode
Coche la case Mode Avancé
Clique sur Outils (tout en bas)
Dans Résident, tu décoches la case Resident Teatimer
-----> L'icône doit être absente de la barre des tâches...

Tutoriel animé : http://pagesperso-orange.fr/rginformatique...mo%20spybot.htm (merci Balltrap34 !)

3) Sauvegarde ton registre avec ERUNT

Télécharge et installe donc le programme
Clique sur Erunt.exe pour enregistrer le registre dans le dossier de ton choix

Note : Pour restaurer le registre en cas de nécessité, rends-toi dans ce dossier et clique sur ERDNT.exe

Lance le bloc-note (Démarrer > Tous les programmes > Accessoires), copie-colles-y tout le texte en citation ci-dessous en incluant bien REGEDIT4, mais sans laisser de ligne vierge avant REGEDIT4

* Sauve-le sur ton bureau

* Enregistre-le sous : Fix.reg

* Dans type de fichier, tu dois avoir "tous les fichiers"

* Clique sur Enregistrer

----> L'icône de ce fichier doit ressembler à ça :

REGEDIT4

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{10954C80-4F0F-11d3-B17C-00C0DFE39736}]

Double-clique ensuite sur Fix.reg pour l'exécuter et accepte les modifications du registre !

L'étape suivante est totalement facultative et considérée comme de l'optimisation :

4) Désactive les services inutiles de Apple et de Boonty :

Clique sur "démarrer" -> "Exécuter" -> tape sans les guillemets "services.msc" (+OK), clique sur l'onglet "étendu" (en bas à gauche), puis avec le bouton droit sur "Boonty Games" (propriétés, général, type de démarrage : DESACTIVE)

Répète la procédure avec le "Service Bonjour"

5) Télécharge Malwarebytes' Anti-Malware (MBAM)

Double clique sur le fichier téléchargé pour lancer le processus d'installation.
Installe le programme avec les options par défaut et assure-toi que les deux cases sont bien cochées comme indiqué sur le dessin : si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
Sélectionne "Exécuter un examen complet"
Sélectionne tous tes disques et clique sur Lancer l'examen.
L'analyse démarre, le scan est relativement long, c'est normal.
A la fin de l'analyse, un message s'affiche :
L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

==> Ce dernier scan va me permettre de vérifier que tout est en ordre, je recommande d'utiliser cet outil après ceux qui sont dédiés à une infection en particulier... sauf cas exceptionnel !

A toi aussi, un excellent we spécial !

vincmoh · le 1 juin 2009

Hello,

J'ai appliqué tes prescriptions

-exit Avast remplacé par Antivir version free 8. (A noter que le passage à la version en essai 9 entraine un bug sur le clic droit de la souris...).

-désintallation du service bonjour et de BoontyGames.

J'ai laissé SpyBot (en désactivant le TeaTimer)....SpyBot est-il vraiment si inutile et si peu efficace que celà?

Ci-joint le rapport de Malwarebytes:

Malwarebytes' Anti-Malware 1.37

Version de la base de données: 2203

Windows 5.1.2600 Service Pack 3

01/06/2009 01:50:23

mbam-log-2009-06-01 (01-50-22).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|)

Eléments examinés: 324003

Temps écoulé: 52 minute(s), 51 second(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

Malwarebytes' Anti-Malware 1.37

Version de la base de données: 2204

Windows 5.1.2600 Service Pack 3

01/06/2009 02:42:32

mbam-log-2009-06-01 (02-42-32).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|)

Eléments examinés: 324312

Temps écoulé: 47 minute(s), 37 second(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

Par ailleurs, j'ai commencé la chasse à la Toolbar inutile...Ci-joint un rapport d'analyse par le programme ToolBar SD:

-----------\\ ToolBar S&D 1.2.8 XP/Vista

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3

X86-based PC ( Uniprocessor Free : Intel® Pentium® M processor 1.73GHz )

BIOS : Default System BIOS

USER : eric ( Administrator )

BOOT : Normal boot

Antivirus : AntiVir Desktop 9.0.1.26 (Activated)

C:\ (Local Disk) - FAT32 - Total:43 Go (Free:9 Go)

D:\ (Local Disk) - NTFS - Total:29 Go (Free:13 Go)

E:\ (CD or DVD)

F:\ (USB)

G:\ (USB)

"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )

Option : [1] ( 01/06/2009| 0:15 )

-----------\\ Recherche de Fichiers / Dossiers ...

C:\WINDOWS\iun6002.exe

-----------\\ Extensions

(eric) - {b9db16a4-6edc-47ec-a1f4-b86292ed211d} => dwhelper

(eric) - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} => mybabylon_english

(eric) - {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} => adblockplus

(eric) - {0538E3E3-7E9B-4d49-8831-A227C80A7AD3} => forecastfox

(eric) - {34ea1c70-42cc-42c5-aa29-ec58b95a343e} => mybabylon

(eric) - {635abd67-4fe9-1b23-4f01-e679fa7484c1} => ytoolbar

-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Start Page"="http://fr.yahoo.com/?fr=fp-yie8"'>http://fr.yahoo.com/?fr=fp-yie8"

"Local Page"="C:\\WINDOWS\\system32\\blank.htm"

"Search Page"="http://home.microsoft.com/access/allinone.asp"

"Default_Page_URL"="http://fr.yahoo.com/?fr=fp-yie8"

"Search Bar"="http://g.msn.fr/0SEFRFR/SAOS02"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

"Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157"'>http://go.microsoft.com/fwlink/?LinkId=69157"

"Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"'>http://go.microsoft.com/fwlink/?LinkId=54896"

"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"

"Local Page"="C:\\WINDOWS\\system32\\blank.htm"

"Start Page"="http://go.microsoft.com/fwlink/?LinkId=69157"

--------------------\\ Recherche d'autres infections

Aucune autre infection trouvée !

1 - "C:\ToolBar SD\TB_1.txt" - 01/06/2009| 0:16 - Option : [1]

-----------\\ Fin du rapport a 0:16:15,59

Cependant, je ne sais que faire pour désinstaller les éléments non voulus.

Merci de ton avis.

WawaSeb · le 1 juin 2009

Bonjour vincmoh,

*** Tu as fait du bon travail et je t'en félicite ! ***

(A noter que le passage à la version en essai 9 entraine un bug sur le clic droit de la souris...).

--> C'est exact, des cas ont été remontés chez Avira, cela devrait être rapidement corrigé...

SpyBot est-il vraiment si inutile et si peu efficace que celà?

--> D'une manière générale, les "anti*" le sont tous... Les développeurs de malware les connaissent et usent de stratégies pour passer inaperçus ou rendre la suppression difficile (changement de stub, de packer ou carrément de protector, patch de fichiers légitimes, utilisation de pilotes et de techniques de rootkits, modification des paramètres du PC, ...)

--> Spybot, qui voit sa base de données continuer à être alimentée n'est pas, d'après de nombreux experts, technologiquement apte à contrer ces ruses !

--> Par ailleurs, si l'idée de protéger certaines clefs est bonne à priori, cela peut poser beaucoup de problèmes dans un système.

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

--> Malwarebytes' Anti-Malware, qui utilise une technologie plus puissante et plus actuelle, n'a rien trouvé !

Ton PC est propre, rencontres-tu encore des problèmes ?
Quelles sont les barres d'outils que tu veux encore désinstaller ?
Désires-tu que nous fassions encore un peu d'optimisation sur ta machine ?

Je reviens en fin d'après-midi,

vincmoh · le 1 juin 2009

Bonjour vincmoh,

*** Tu as fait du bon travail et je t'en félicite ! ***

--> C'est exact, des cas ont été remontés chez Avira, cela devrait être rapidement corrigé...

--> D'une manière générale, les "anti*" le sont tous... Les développeurs de malware les connaissent et usent de stratégies pour passer inaperçus ou rendre la suppression difficile (changement de stub, de packer ou carrément de protector, patch de fichiers légitimes, utilisation de pilotes et de techniques de rootkits, modification des paramètres du PC, ...)

--> Spybot, qui voit sa base de données continuer à être alimentée n'est pas, d'après de nombreux experts, technologiquement apte à contrer ces ruses !

--> Par ailleurs, si l'idée de protéger certaines clefs est bonne à priori, cela peut poser beaucoup de problèmes dans un système.

--> Malwarebytes' Anti-Malware, qui utilise une technologie plus puissante et plus actuelle, n'a rien trouvé !

Ton PC est propre, rencontres-tu encore des problèmes ?

Quelles sont les barres d'outils que tu veux encore désinstaller ?

Désires-tu que nous fassions encore un peu d'optimisation sur ta machine ?

Je reviens en fin d'après-midi,

Bjr,

En fait j'ai désinstallé les modules Toolbar inutiles par le biais de Outils/Modules complémentaires/Désinstaller....tout simplement.

MAIS MAIS....

Ayant CA-yahoo anti-spy sur la barre d'outils.....j'ai fait un scan....de 4secondes .....pour trouver . ....ISTbar (pas vraiment sympathique vu ce que j'ai lu sur le site et particulièrement coriace!) et Mirar!!!!! Je les ai supprimés directement avec l'outil Ca-yahoo, puis refait une 2 analyse toute aussi rapide mais négative...Etonnant??? (Est-il bien parti...et pourquoi les scann et autres analyses en mode sans échec n'avaient rien vu?)

Ci-joint un rapport HijackThis fait à l'issue...

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:50:41, on 01/06/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe

C:\Program Files\Google\Update\GoogleUpdate.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\WINDOWS\ATKKBService.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Yahoo!\Search Protection\SearchProtection.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe

C:\WINDOWS\ATK0100\HControl.exe

C:\Program Files\ASUS\NB Probe\NBProbe.exe

C:\Program Files\ASUS\ASUS Live Update\ALU.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\Intel\Wireless\Bin\OProtSvc.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\Program Files\OpenOffice.org 3\program\soffice.exe

C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe

C:\Program Files\OpenOffice.org 3\program\soffice.bin

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\SearchIndexer.exe

C:\WINDOWS\ATK0100\ATKOSD.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

D:\Internet Digital Radio Tuner\IDRT.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\eric\Bureau\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://recherche.neuf.fr/ie/default.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)