malware suite à la MAJ d'openoffice

[lsdefiste]

Bonjour,

 

j'ai téléchargé la nouvelle version d'oopen ofice hier.

version 3.1.1

 

ce matin, au démarrage de mon PC, Avira a trouvé le malware suivant:

TR/ATRAPS.Gen [trojan]

C:\windows\system32\oobe\info\resoiurces\startoffice.exe

 

j'ai fait "delete" comme action.

 

ci joint mon HJT:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 08:35:01, on 04/10/2009

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18226)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Sony\VAIO Update 4\VAIOUpdt.exe

C:\Program Files\Apoint\Apoint.exe

C:\Program Files\Spyware Terminator\SpywareTerminatorShield.Exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Windows\ehome\ehtray.exe

C:\Program Files\Sony\VAIO Power Management\SPMgr.exe

C:\Program Files\Apoint\ApMsgFwd.exe

C:\Program Files\Apoint\Apntex.exe

C:\Program Files\Internet\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-vaio.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaul...earch.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://recherche.neuf.fr/ie/default.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\MULTIM~1\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\PROGRA~1\GOOGLE~1\BAE.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe

O4 - HKLM\..\Run: [spywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-21-3072499180-1052367440-3771761021-1000\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe (User 'Legéanaute')

O4 - HKUS\S-1-5-18\..\RunOnce: [FlashPlayerUpdate] C:\Windows\system32\Macromed\Flash\FlashUtil9f.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [FlashPlayerUpdate] C:\Windows\system32\Macromed\Flash\FlashUtil9f.exe (User 'Default user')

O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200

O8 - Extra context menu item: Append to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O8 - Extra context menu item: Envoyer l'&image au périphérique Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O13 - Gopher Prefix:

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL

O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel® Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Desktop Manager 5.7.801.7324 (GoogleDesktopManager-010708-104812) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe

O23 - Service: LVSrvLauncher - Unknown owner - C:\Program Files\Common Files\LogiShrd\SrvLnch\SrvLnch.exe (file missing)

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe

O23 - Service: NSUService - Sony Corporation - C:\Program Files\Sony\Network Utility\NSUService.exe

O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe

O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel® Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe

O23 - Service: RtkHDMIService - Realtek Semiconductor - C:\Windows\RtkAudioService.exe

O23 - Service: VAIO Media plus Content Importer (SOHCImp) - Sony Corporation - C:\Program Files\Sony\VAIO Media plus\SOHCImp.exe

O23 - Service: VAIO Media plus Digital Media Server (SOHDms) - Sony Corporation - C:\Program Files\Sony\VAIO Media plus\SOHDms.exe

O23 - Service: VAIO Media plus Device Searcher (SOHDs) - Sony Corporation - C:\Program Files\Sony\VAIO Media plus\SOHDs.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

O23 - Service: CamMonitor (uCamMonitor) - ArcSoft, Inc. - C:\Program Files\ArcSoft\Magic-i Visual Effects\uCamMonitor.exe

O23 - Service: VAIO Entertainment TV Device Arbitration Service - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCs\VzHardwareResourceManager\VzHardwareResourceManager.exe

O23 - Service: VAIO Event Service - Sony Corporation - C:\Program Files\Sony\VAIO Event Service\VESMgr.exe

O23 - Service: VAIO Power Management - Sony Corporation - C:\Program Files\Sony\VAIO Power Management\SPMService.exe

O23 - Service: VAIO Content Metadata Intelligent Analyzing Manager (VcmIAlzMgr) - Sony Corporation - C:\Program Files\Sony\VCM Intelligent Analyzing Manager\VcmIAlzMgr.exe

O23 - Service: VAIO Content Metadata XML Interface (VcmXmlIfHelper) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VcmXml\VcmXmlIfHelper.exe

O23 - Service: VAIO Entertainment UPnP Client Adapter (Vcsw) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe

O23 - Service: VAIO Entertainment Database Service (VzCdbSvc) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe

O23 - Service: VAIO Entertainment File Import Service (VzFw) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe

O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

 

--

End of file - 9580 bytes

 

 

Merci pour votre aide et conseils.

je serai absent pour la journée, alors si vous répondez rapidement, je ne pourrai pas en faire autant

 

Marc

[Thanos]

salut

 

Ton rapport ne montre rien de mauvais: pour ce qui est de ce fichier détecté comme malware par Antivir il est possible que ce n'en soit pas un en fait. On appelle ca un faux-positif, c'est à dire une mauvaise détection (ca arrive à tous les antivirus je te rassure).

 

On va faire une analyse du fichier en ligne pour s'assurer qu'il s'agit (ou non) d'un fichier infecté >>

 

Rend toi à cette adresse => http://www.virustotal.com/

 

Tu as une case nommée "Parcourir": tu cliques dessus et une fenêtre s'ouvre=> copie/colle ceci dans le champs à droite de "Nom du Fichier" en bas de page >> C:\windows\system32\oobe\info\resoiurces\startoffice.exe

 

Clique maintenant sur "ouvrir" en bas de la fenêtre puis sur "Envoyer le fichier". Le scan de ce fichier va débuter. Tu n'as plus qu'à sélectionner puis copier /coller l'analyse dans ton prochain message.

Note: les fichiers uploadés sont mis en attente, car le virusscan est sollicité! patiente (un message t'indique le temps que ca prendra pour faire analyser)

 

Note: il arrive parfois que le fichier ait déjà été analysé. Si c'est le cas, clique sur le bouton Reanalyse file now

 

Poste le rapport stp.

[lsdefiste]

Bonjour Thanos,

 

merci pour ta réponse.

 

comme je le disais dans mon message de ce matin, je devais être absent pour la journée.

Mais il y a eu un petit changement et je ne devrai rentrer que demain, voir mardi.

 

Je ferai donc les tests à ce moment, désolé.

 

Toutefois, comme j'ai fais "delete" comme action, je ne sais pas si je trouverai le fichier.

 

A bientôt

 

Marc

[Thanos]

Si tu as supprimé le fichier, laisse tomber le scan avec VT. Le problème a été reporté sur le forum Avira ici entre autres (in english!) >> http://forum.avira.com/wbb/index.php?page=...;threadID=99189

L'analyse par le Virusscan montre 3 détections "positives" (ce qui n'est pas probant)

Le bon chemin vers le fichier semble être celui ci >> C:\windows\system32\oobe\info\ressources (il y avait une faute dans le chemin que tu as donné )

Ce fichier semble être présent nativement sur des portables de marque Sony VAIO (qui est bien la marque du tiens).

En attente du résultat de l'analyse par le labo d'Antivir, à priori il s'agit d'un faux-positif ...

Modifié le 4 octobre 2009 par Thanos

[lsdefiste]

il y avait une faute dans le chemin que tu as donné

 

oui effectivement, un embrouillage de doigts

[Thanos]

salut

 

Bon, il s'agit bien d'un Faux-Positif et Antivir ne cible plus le fichier à présent

Par contre, il faut éviter de supprimer directement les fichiers détectés par tout programme de sécurité (antivirus/antispyware etc). Il faut sélectionner Quarantaine car ca évite que le fichier ne soit détruit. Lorsqu'on met un fichier en quarantaine, il est possible de le récupérer en cas d'erreur: dans ton cas c'est trop tard

L'application risque de ne plus fonctionner du coup et une réinstallation est peut être nécéssaire.

 

Bon surf @ toi

[lsdefiste]

Salut,

 

merci pour ton aide.

je sais qu'il ne faut pas supprimer un fichier, mais, j'ai fauté.

 

A+

 

Marc

[Sacles]

Bonjour,

 

Par contre, il faut éviter de supprimer directement les fichiers détectés par tout programme de sécurité (antivirus/antispyware etc). Il faut sélectionner Quarantaine car ca évite que le fichier ne soit détruit. Lorsqu'on met un fichier en quarantaine, il est possible de le récupérer en cas d'erreur: dans ton cas c'est trop tard

Je dirais même plus. Si on met un fichier vital en quarantaine, on risque même de ne plus savoir redémarrer son système si on ne prend pas la peine de se renseigner avec d'éteindre son PC ou de le relancer.

 

Ce n'est pas de la fiction, c'est déjà arrivé plusieurs fois. Exemple: http://forum.telecharger.01net.com/microhe...messages-1.html

 

C'est pour cela que je suis toujours disons...dubitatif quand je vois le conseil "Fais un scan avec MachinChose et met en quarantaine tout ce qu'il détectera".

 

Salut.

[Thanos]

salut Sacles

 

Oui tu n'a pas tord! Dans l'idéal on doit faire un premier scan sans rien faire supprimer. A la lecture du rapport on peux ensuite déterminer ou non si la mise en quarantaine/suppression est recommendée ou pas.

On a trop souvent tendance à faire confiance aux programmes de sécurité

[Sacles]

Bonjour,

 

Oui tu n'a pas tord! Dans l'idéal on doit faire un premier scan sans rien faire supprimer. A la lecture du rapport on peux ensuite déterminer ou non si la mise en quarantaine/suppression est recommendée ou pas.

On a trop souvent tendance à faire confiance aux programmes de sécurité

C'est exactement cela. Quand un utilisateur voit qu'un de ses outils signale quelque chose, c'est souvent un peu la panique, il croit que son ordinateur va exploser (je caricature) dans la minute suivante (alors que le bidule était déjà là depuis quelque temps sans doute).

 

A mon avis, le bon réflexe quand un outil de détection découvre quelque chose, c'est de se renseigner rapidement sur la nature et la dangerosité de la détection.

 

Je crois aussi qu'il faudrait conseiller d'exclure les points de restauration des scans. Ce sont des nids à faux-positifs (ces fichiers sont cryptés). Si la machine n'a jamais été infectée, je ne vois pas pourquoi les points de restauration le seraient. Si une infection se présente, il sera toujours temps de faire le bilan de ces points de restauration en fin de désinfection.

 

Salut.

Modifié le 8 octobre 2009 par Sacles