[résolu] Demande d'analyse et de petites explications

[tornado]

Tu veux un kawa Tornado ? icon_lol.gif

 

 

 

Et si t'essayais le scan en ligne de Kaspersky ? --> http://www.zebulon.fr/outils/antivirus/ant...us-en-ligne.php

 

 

Il fonctionne uniquement avec IE. Poste le rapport du scan.

 

Fais également un nouveau scan Hijackhtis et colle le rapport dans ton prochain post.

 

 

A+

Modifié le 19 février 2006 par tornado

[Gof]

Me revoilà trempant mes cigarettes dans le café

 

J'ai donc fait un test Kaspersky sur le "poste de travail" : "pas de logiciel malveillant...(...) le rapport est vide"

Un test Kaspersky sur les "zones critiques" : rapport vide, idem.

Refait un Ad-aware (dans le doute, en désactivant la restauration et en permettant l'accès à tous les fichiers) : rien.

Refait un test Panda :

Incident Statut Analyse

Adware:adware/exact.searchbar No Désinfecté Registre Windows

Par contre, je n'avais pas fait attention la première fois, mais en cliquant sur le rapport en ligne de Panda, il donne quelques vagues informations :

Common name: SearchBar

Technical name: Adware/Exact.SearchBar

Threat level: Low

Alias: eXactSearchbar

Type: Spyware

Subtype: Adware

 

Effects:

It collects information on Internet usage and the applications installed in the computer and uses it to display pop-up advertisements.

Affected platforms: Windows XP/2000/NT/ME/98/95

First detected on: Aug. 12, 2004

Detection updated on: Sept. 30, 2005

In circulation? No

Proactive protection: Yes, using TruPrevent Technologies

 

Brief Description

ExactSearchis an adware.

Adware is a license form for using programs, which offers the application at the only cost of viewing a series of advertisements. However, these programs sometimes collect data on Internet usage habits, pages viewed, inventory of the applications installed in the computer, etc.

Then, this information can be sent to Internet advertising companies.

 

Effects

ExactSearch carries out the following actions:

It collects user details, such as Internet usage, pages viewed, phone connection details, inventory of the applications installed in the computer, etc.

It uses this information to display pop-up advertisements.

 

Means of transmission

ExactSearch does not use any specific means to spread. It can reach computers through any of the means normally used by viruses: CD-ROMs, e-mail messages with infected attachments, Internet downloads, FTP, etc.

 

Further Details

Is my computer infected by SearchBar?

Bear in mind that ExactSearch is not really a virus but an adware. Firstly, make sure that your Panda solution detects this type of threat by checking our comparative table on Panda Products.

In order to make absolutely sure that ExactSearch has not affected your computer, carry out a full scan of your computer using a Panda Product detecting adware, after checking that it is updated. For detailed information on how to update your solution, check the User Guide corresponding to it.

 

How to remove SearchBar?

 

Keep in mind that ExactSearch is not really a virus but an adware. So make sure that your Panda solution detects and removes this type of threat. For more detailed information, check the comparative table on Panda Products.

If your Panda product detects ExactSearch during the scan, it will automatically offer you the option of deleting it. Do this by following the program's instructions.

In case that you do not have a product of such characteristics at your disposal, we strongly recommend you to consider the benefits of purchasing a solution detecting all types of malware.

 

Additional notes:

After deleting this malware by following the specified steps, if your computer runs Windows Millenium, click here to find out how to eliminate it from the _Restore folder.

After deleting this malware by following the specified steps, if your computer runs Windows XP, click here to find out how to eliminate it from the _Restore folder.

 

How can I protect my computer from SearchBar?

In order to keep your computer protected, bear the following tips in mind:

Install a good antimalware solution in your computer detecting not only viruses, but other threats such as adware. Click here to buy the Panda Product that best suits your needs.

Keep your antimalware solution updated. If automatic updates are available, configure your antimalware solution to use them.

Keep your permanent antimalware protection enabled at all times.

For more detailed information about how to protect your computer against viruses and other threats, click here.

 

IMPORTANT: Remember that you should only follow these steps after disinfecting the computer. These steps alone will not deactivate malware.

 

Sometimes, in computers with Windows XP, even after viruses and other threats have been eliminated the antivirus may detect it again and again in the _restore folder without being able to eliminate it.

Although malware is detected in this folder after disinfecting the computer, it does not mean that the computer is still infected. This situation, created by a particular characteristic of Windows XP, is not dangerous at all, although it may worry some users who are not familiar with the use of the _restore folder.

Windows XP offers the possibility of restoring the system automatically, recovering eliminated files or the system settings accidentally modified.

For that reason, Windows XP keeps all the eliminated or modified elements inside its hidden directory, called _restore, which is protected so that its contents can’t be manipulated by anybody or anything.

This feature, although sometimes advantageous, may cause the following conflict: when the antivirus performs a scan, it will detect the infected and the erased files which Windows XP stores in the _restore folder.

That is why when a new scan is performed, the antivirus will detect again the infected file in the _restore folder but it won’t be able to eliminate it because the file is protected by the operating system and is out of its reach.

 

How to eliminate viruses and other threats completely from the restore folder

Log on as the Administrator or with the details of the user that has administrator rights.

Click with the right button of the mouse on My Computer.

Select Properties.

Click System Restore.

Check the Turn off System Restore or Turn off System Restore on all drives checkbox.

Click Apply and then OK.

 

How to reactivate System Restore option

Click with the right button of the mouse on MY Computer.

Select Properties.

Click System Restore.

Disable the Turn off System Restore or Turn off System Restore on all drives checkbox.

Click Apply and then OK.

After completing these steps, carry out a full scan of your computer using the antivirus program in order to ensure that it correctly disinfected.

 

help no - 20050406 18 EN

Si ça peut donner une piste ?

 

Juste en reprenant les noms qu'on lui donne, j'ai refait une recherche avec Regsearch et JV16 en cherchant avec les noms suivants : searchbar, exactsearchbar, exact.searchbar, exactsearch, exact.search... Sans résultats.

 

EDIT : Merci, et bonne nuit Zebulon

 

REEDIT : scan en mode normal avec ewido : rien.

Modifié le 20 février 2006 par Gof

[ledermann.bertrand]

Salut gof!!

 

j't'ai répondu sur mon insertion rubrique trucs et astuces!

 

Merci et A+

[Gof]

Bonjour bonsoir,

 

Peut-être une piste ?

 

My Web Search... ...??

 

Je vais trouver, vais trouver...

[tornado]

Salut Gof,

 

 

 

Bon coup d'oeil Gof ! Mywebsearch, une barre de recherche qui s'installe sans ton avis dans le navigateur --> spyware

 

C'est bizarre que le rapport hijackthis ne montrait pas sa présence... mais rien de bien méchant.

 

-Désinstalle le programme suivant via "ajouter/supprimer des programmes":

Mywebsearch

 

-Supprime le dossier C:\program files\My web search

 

-Nettoie ton registre avec Easycleaner, Jv16 et Regseeker successivement

 

 

Redémarre puis poste un nouveau rapport hijackthis ...

Modifié le 20 février 2006 par tornado

[Gof]

ENCORE DES BETES ???

 

Eh bien... Moi qui pensais être sain en arrivant avec mon premier post... Bon ok, au travail. J'applique tes recommandations et te rends compte des résultats.

 

EDIT : Problème... Il n'est pas dans le panneau de configuration, et le dossier dans Program files n'est pas là non plus.

Modifié le 20 février 2006 par Gof

[Gof]

Je ne l'ai donc pas trouvé dans le panneau de configuration et dans c:\program files. Par contre, en faisant une recherche dans le registre, voilà ce que j'ai trouvé :

 

Avec Regsearch

[HKEY_USERS\S-1-5-21-187633169-1895062757-1746479413-1007\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\mywebsearch.net]

 

Avec JV16

 

Racine : HKEY_USERS

Clé : S-1-5-21-187633169-1895062757-1746479413-1007\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\mywebsearch.net

Entrée : {CLE}

Valeur : {CLE}

Modifié le : 25.01.2005, 12:50

 

Racine : HKEY_CURRENT_USER

Clé : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\mywebsearch.net

Entrée : {CLE}

Valeur : {CLE}

Modifié le : 25.01.2005, 12:50

 

Avec Regseeker

idem que la première avec JV16. Je n'ai pas réussi à copier coller directement ici.

 

Et le gagnant est... JV16 !

 

EDIT : et le rapport que j'ai oublié. Je n'ai rien supprimé des clés plus haut.

 

Logfile of HijackThis v1.99.1

Scan saved at 20:37:09, on 20/02/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\dllhost.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\LVComsX.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\explorer.exe

C:\Program Files\ObjectDock\ObjectDock.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.zebulon.fr/outils/antivirus/kav...can_unicode.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

Ca n'apparaît nul part. Curieux, non ? De changé, j'ai juste les deux ActiveX en O16 des scans Panda & Kaspersky, rien que du normal. Bizarre bizarre, vous avez dit bizarre ?

 

EDIT: je supprime les clés avec JV16, nettoyage registre puis scan Panda ?

Modifié le 20 février 2006 par Gof

[tornado]

Re gof,

 

 

Apparemment tu peux travailler tout seul

EDIT: je supprime les clés avec JV16, nettoyage registre puis scan Panda ?

 

 

C'est exactement ça. Après avoir supprimé les clés correspondants à Mywebsearch, vérifie bien qu'elles ont été

 

- Dans "exécuter", tape "regedit" (sans les guillemets)

 

- Puis parcours le registre en suivant le chemin des clés incriminées

 

[HKEY_USERS\S-1-5-21-187633169-1895062757-1746479413-1007\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\mywebsearch.net]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\mywebsearch.net

 

- Fais un clic droit sur celle-ci puis "supprimer" (si elles existent encore)

 

 

- Redémarre en mode normal, fais le scan de panda et poste le rapport

 

 

Je doute que le résultat de panda diffère des précédents. Si il avait trouvé des clés en rapport avec Mywebsearch, il l'aurait indiqué. Enfin on va bien voir ...

 

 

 

A+

Modifié le 20 février 2006 par tornado

[Gof]

Une petite question, je viens de supprimer les deux clés mywebsearch avec JV16, et j'ai eu l'idée de faire une recherche websearch, toujours avec JV16. Forcément, il y en a une tripotée, mais certains ont de curieux noms quand même. Je te poste tout ça ?

[tornado]

Salut, je viens d'éditer mon message, car j'avais pas fait attention que la clé trouvée par regsearch était identique à celle trouvée par Jv16.

 

 

Une petite question, je viens de supprimer les deux clés mywebsearch avec JV16, et j'ai eu l'idée de faire une recherche websearch, toujours avec JV16. Forcément, il y en a une tripotée, mais certains ont de curieux noms quand même. Je te poste tout ça ?

 

Qu'entend tu par "curieux noms" ? . C'est qu'il ya des milliers de clés de registre, on va pas s'en sortir.

 

 

Montre quand même, on sait jamais ...

Modifié le 20 février 2006 par tornado