[Résolu] Tracking - InPlayInfo.so (Flash Player)

[leminou]

Bonjour à tous,

 

Spyware Terminator v 2.3.0.507 me signale depuis quelques temps le danger faible possible suivant... "Tracking Flash Shared Objects (tracking mode)"

C:\Documents and Settings\dD\Application Data\Macromedia\Flash Player\#SharedObjects\APTU33ZY\inplay.tubemogul.com\InPlayInfo.sol

qui donne ceci avec un éditeur hexa (mode texte)...

.¿...TTCSO.......

InPlayInfo......crumbID...8EoRJAOAIplYwxkPNdqS...expmap...0.Br¾Ý;£À... .

J'ai scanné le répertoire avec MalwareBite et Antivir qui n'ont rien trouvé ?

 

A tout hasard le log HijackThis...

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 10:35:30, on 28/09/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\APP\Sécurité\Online Armor\OAcat.exe

C:\APP\Sécurité\Online Armor\oasrv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\APP\Sécurité\Avira\AntiVir Desktop\sched.exe

C:\APP\Sécurité\Avira\AntiVir Desktop\avguard.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\PSIService.exe

C:\Program Files\Fichiers communs\Protexis\License Service\PsiService_2.exe

C:\Program Files\Spyware Terminator\sp_rsser.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\UPHClean\uphclean.exe

C:\APP\Utilitaires\UpsPilot\monitor.exe

C:\APP\Utilitaires\UpsPilot\jre\bin\javaw.exe

C:\APP\Sécurité\Avira\AntiVir Desktop\avmailc.exe

C:\APP\Sécurité\Avira\AntiVir Desktop\AVWEBGRD.EXE

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\APP\Utilitaires\UpsPilot\wpRMI.exe

C:\APP\Utilitaires\UpsPilot\jre\bin\javaw.exe

C:\APP\Sécurité\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe

C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe

C:\APP\Sécurité\Online Armor\oaui.exe

C:\APP\Bureautique\OmniPagePro9\opware32.exe

C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe

C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe

C:\WINDOWS\system32\ntvdm.exe

C:\APP\Sécurité\Online Armor\OAhlp.exe

C:\PROGRA~1\SPYWAR~1\SpywareTerminator.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\WINDOWS\RTHDCPL.EXE

C:\APP\Internet\Free Download Manager\fdm.exe

C:\WINDOWS\System32\svchost.exe

C:\APP\Utilitaires\SuperCopier\SuperCopier.exe

C:\Program Files\Microsoft ActiveSync\wcescomm.exe

C:\PROGRA~1\MICROS~3\rapimgr.exe

C:\APP\Bureautique\FinePixViewer\QuickDCF2.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\APP\Internet\Mozilla Firefox\firefox.exe

C:\APP\Sécurité\HiJackThis2-0-2\Vérif-HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Bing

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN : Hotmail, Messenger, Bing, Actualité et Sport

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN : Hotmail, Messenger, Bing, Actualité et Sport

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://recherche.neuf.fr/ie/default.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide à la navigation SFR - {0F6E720A-1A6B-40E1-A294-1D4D19F156C8} - C:\Program Files\SFR\Kit\SFRNavErrorHelper.dll

O2 - BHO: QFX Software KeyScrambler - {2B9F5787-88A5-4945-90E7-C4B18563BC5E} - C:\APP\Sécurité\KeyScrambler\KeyScramblerIE.dll

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\APP\Internet\Free Download Manager\iefdm2.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [avgnt] "C:\APP\Sécurité\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe

O4 - HKLM\..\Run: [spywareTerminator] "C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe"

O4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [@OnlineArmor GUI] "C:\APP\Sécurité\Online Armor\oaui.exe"

O4 - HKLM\..\Run: [OmniPage] C:\APP\Bureautique\OmniPagePro9\opware32.exe

O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"

O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKCU\..\Run: [Free Download Manager] "C:\APP\Internet\Free Download Manager\fdm.exe" -autorun

O4 - HKCU\..\Run: [superCopier.exe] C:\APP\Utilitaires\SuperCopier\SuperCopier.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"

O4 - Global Startup: ExifLauncher2.lnk = C:\APP\Bureautique\FinePixViewer\QuickDCF2.exe

O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\APP\Internet\Free Download Manager\dllink.htm

O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\APP\Internet\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\APP\Internet\Free Download Manager\dlfvideo.htm

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: (no name) - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\APP\Sécurité\KeyScrambler\KeyScramblerIE.dll

O9 - Extra 'Tools' menuitem: &KeyScrambler Options - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\APP\Sécurité\KeyScrambler\KeyScramblerIE.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {xxxxxxxx} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {xxxxxxxx} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O17 - HKLM\System\CCS\Services\Tcpip\..\{59B3490E-15ED-4AA2-82E9-35AD7F23C371}: NameServer = 192.168.1.1

O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\APP\Sécurité\Avira\AntiVir Desktop\avmailc.exe

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\APP\Sécurité\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\APP\Sécurité\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\APP\Sécurité\Avira\AntiVir Desktop\AVWEBGRD.EXE

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe

O23 - Service: Online Armor Helper Service (OAcat) - Unknown owner - C:\APP\Sécurité\Online Armor\OAcat.exe

O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe

O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - C:\Program Files\Fichiers communs\Protexis\License Service\PsiService_2.exe

O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Rohos Disk service (Rohos Disk) - Tesline-Service SRL - C:\Program Files\Rohos\agent.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

O23 - Service: Online Armor (SvcOnlineArmor) - Unknown owner - C:\APP\Sécurité\Online Armor\oasrv.exe

O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Winpowermanager - Macrovision - C:\APP\Utilitaires\UpsPilot\manager.exe

O23 - Service: Winpowermonitor - Macrovision - C:\APP\Utilitaires\UpsPilot\monitor.exe

O23 - Service: WinpowerRMI - Macrovision - C:\APP\Utilitaires\UpsPilot\wpRMI.exe

O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe

 

--

End of file - 9734 bytes

 

Si quelqu'un a une idée, merci de me dire si c'est un faux-positif ou si il faut virer d'urgence... @ +

Modifié le 29 septembre 2010 par leminou

[Thanos]

salut

 

On ne peux pas dire comme ca. Pour confirmer qu'il s'agit ou non d'un faux-positif, soumet le fichier à l'analyse d'un scanner en ligne =>

 

Rend toi à cette adresse => VirusTotal - Free Online Virus, Malware and URL Scanner

 

Tu as une case nommée "Parcourir": tu cliques dessus et une fenêtre s'ouvre=> copie/colle ceci dans le champs à droite de "Nom du Fichier" en bas de page >> C:\Documents and Settings\dD\Application Data\Macromedia\Flash Player\#SharedObjects\APTU33ZY\inplay.tubemogul.com\InPlayInfo.sol

 

Clique maintenant sur "ouvrir" en bas de la fenêtre puis sur "Envoyer le fichier". Le scan de ce fichier va débuter. Tu n'as plus qu'à sélectionner puis copier /coller l'analyse dans ton prochain message.

Note: les fichiers uploadés sont mis en attente, car le virusscan est sollicité! patiente (un message t'indique le temps que ca prendra pour faire analyser)

 

Note: il arrive parfois que le fichier ait déjà été analysé. Si c'est le cas, clique sur le bouton Reanalyse file now

 

Par ailleurs, le rapport hijackthis posté ne montre rien de mauvais

[leminou]

Bonjour Thanos,

 

Merci de ton aide, apparemment rien n'a été trouvé par les AV...

 

0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.

File name:

InPlayInfo.sol

Submission date:

2010-09-29 07:25:02 (UTC)

Current status:

finished

Result:

0 /43 (0.0%)

 

VT Community

 

not reviewed

Safety score: -

Compact

Print results

Antivirus Version Last Update Result

AhnLab-V3 2010.09.29.01 2010.09.29 -

AntiVir 7.10.12.61 2010.09.28 -

Antiy-AVL 2.0.3.7 2010.09.29 -

Authentium 5.2.0.5 2010.09.29 -

Avast 4.8.1351.0 2010.09.28 -

Avast5 5.0.594.0 2010.09.28 -

AVG 9.0.0.851 2010.09.28 -

BitDefender 7.2 2010.09.29 -

CAT-QuickHeal 11.00 2010.09.29 -

ClamAV 0.96.2.0-git 2010.09.29 -

Comodo 6233 2010.09.29 -

DrWeb 5.0.2.03300 2010.09.28 -

Emsisoft 5.0.0.50 2010.09.29 -

eSafe 7.0.17.0 2010.09.28 -

eTrust-Vet 36.1.7881 2010.09.28 -

F-Prot 4.6.2.117 2010.09.28 -

F-Secure 9.0.15370.0 2010.09.29 -

Fortinet 4.1.143.0 2010.09.29 -

GData 21 2010.09.29 -

Ikarus T3.1.1.90.0 2010.09.29 -

Jiangmin 13.0.900 2010.09.29 -

K7AntiVirus 9.63.2628 2010.09.28 -

Kaspersky 7.0.0.125 2010.09.29 -

McAfee 5.400.0.1158 2010.09.29 -

McAfee-GW-Edition 2010.1C 2010.09.29 -

Microsoft 1.6201 2010.09.29 -

NOD32 5487 2010.09.28 -

Norman 6.06.06 2010.09.28 -

nProtect 2010-09-29.01 2010.09.29 -

Panda 10.0.2.7 2010.09.28 -

PCTools 7.0.3.5 2010.09.28 -

Prevx 3.0 2010.09.29 -

Rising 22.67.01.01 2010.09.29 -

Sophos 4.58.0 2010.09.29 -

Sunbelt 6943 2010.09.29 -

SUPERAntiSpyware 4.40.0.1006 2010.09.29 -

Symantec 20101.2.0.161 2010.09.29 -

TheHacker 6.7.0.1.039 2010.09.29 -

TrendMicro 9.120.0.1004 2010.09.29 -

TrendMicro-HouseCall 9.120.0.1004 2010.09.29 -

VBA32 3.12.14.1 2010.09.27 -

ViRobot 2010.8.31.4017 2010.09.29 -

VirusBuster 12.66.4.0 2010.09.28 -

Additional information

Show all

MD5 : c19d1bc4cbb7495c524ceaa9f6e2f184

SHA1 : ea121ebe2f6da191f74e748e0e292b8509fbb8c7

SHA256: 29060aaae1de60c618c0eee4ee4f7eb2cc6127ebafb56d09463beaf3b1c0488c

ssdeep: 3:AlI1vq1JEc4KlllaH38qxDdgi2/8XLnMey6:AIsDEc4K/lE75Si2/zm

File size : 90 bytes

First seen: 2010-09-29 07:25:02

Last seen : 2010-09-29 07:25:02

Magic: data

TrID:

Flash Shared Object file (66.6%)

Adobe PhotoShop Brush (33.3%)

sigcheck:

publisher....: n/a

copyright....: n/a

product......: n/a

description..: n/a

original name: n/a

internal name: n/a

file version.: n/a

comments.....: n/a

signers......: -

signing date.: -

verified.....: Unsigned

PEiD: -

 

VT Community

 

0

 

This file has never been reviewed by any VT Community member. Be the first one to comment on it!

 

Je vais renommer ce fichier pour voir si il y a une réaction, si il ne se passe rien, je supprimerai le fichier.

 

Je passe en résolu

Modifié le 29 septembre 2010 par leminou

[Thanos]

salut

 

Ok ca semble confirmer le faux-positif

Je vais renommer ce fichier pour voir si il y a une réaction, si il ne se passe rien, je supprimerai le fichier.

bonne idée

 

bon surf @toi!