[résolu] Demande d'analyse et de petites explications

[Gof]

Bonjour Tornado, bonjour à tous,

 

Désolé, hier soir dans un râle me suis endormi une cigarette dans l'oreille et le thermos dans l'oreilller !

 

Donc les 2 clés supprimées avec J16, mode sans échec : une recherche manuelle avec Regedit pour m'en assurer, un nettoyage registre avec easycleaner, JV16, regseeker. Retour en mode normal et scan Panda :

 

 

Incident Statut Analyse

Adware:adware/exact.searchbar No Désinfecté Registre Windows

 

Ca surprend moins, je m'habitue !

 

un rapport Hijack :

 

Logfile of HijackThis v1.99.1

Scan saved at 05:29:29, on 21/02/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\dllhost.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.zebulon.fr/outils/antivirus/kav...can_unicode.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

Et voila le résultat d'une recherche websearch avec Regsearch. (JV16 en avait trouvé plus, mais pour les poster, il faut cliquer copier coller sur chacune des entrées, et c'était trop long pour moi ce matiin, je n'en aurais pas eu le temps. Tandis que Regsearch fait un rapport global avec toutes les entrées trouvées...)

 

REGEDIT4

 

; Registry Search 2.0 by Bobbi Flekman © 2005

; Version: 2.0.0.1

 

; Results at 21/02/2006 00:27:06 for strings:

; 'websearch'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FindExtensions\Static\WebSearch]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FindExtensions\Static\WebSearch\0]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FindExtensions\Static\WebSearch\0\DefaultIcon]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FindExtensions\Static\WebSearch\0\HelpText]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders]

"C:\\Program Files\\Adobe\\Acrobat 7.0\\Reader\\WebSearch\\"=""

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\5B5F4C7292C4A5341B36EF39F19AF2EB]

"68AB67CA7DA76301B7447A0000000000"="C:\\Program Files\\Adobe\\Acrobat 7.0\\Reader\\WebSearch\\"

 

[HKEY_USERS\S-1-5-21-187633169-1895062757-1746479413-1007\Software\Adobe\Acrobat Reader\7.0\AVGeneral\cToolbars\cWebSearchView]

 

[HKEY_USERS\S-1-5-21-187633169-1895062757-1746479413-1007\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\coolwebsearch.]

 

[HKEY_USERS\S-1-5-21-187633169-1895062757-1746479413-1007\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\coolwebsearch.biz]

 

[HKEY_USERS\S-1-5-21-187633169-1895062757-1746479413-1007\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\coolwebsearch.cc]

 

[HKEY_USERS\S-1-5-21-187633169-1895062757-1746479413-1007\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\coolwebsearch.co.uk]

 

[HKEY_USERS\S-1-5-21-187633169-1895062757-1746479413-1007\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\coolwebsearch.com]

 

[HKEY_USERS\S-1-5-21-187633169-1895062757-1746479413-1007\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\coolwebsearch.info]

 

[HKEY_USERS\S-1-5-21-187633169-1895062757-1746479413-1007\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\coolwebsearch.net]

 

[HKEY_USERS\S-1-5-21-187633169-1895062757-1746479413-1007\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\coolwebsearch.org]

 

[HKEY_USERS\S-1-5-21-187633169-1895062757-1746479413-1007\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\coolwebsearch.us]

 

[HKEY_USERS\S-1-5-21-187633169-1895062757-1746479413-1007\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\coolwebsearchx.biz]

 

[HKEY_USERS\S-1-5-21-187633169-1895062757-1746479413-1007\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ewebsearch.net]

 

[HKEY_USERS\S-1-5-21-187633169-1895062757-1746479413-1007\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ezwebsearching.com]

 

[HKEY_USERS\S-1-5-21-187633169-1895062757-1746479413-1007\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\globalwebsearch.com]

 

[HKEY_USERS\S-1-5-21-187633169-1895062757-1746479413-1007\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\hotwebsearch.com]

 

[HKEY_USERS\S-1-5-21-187633169-1895062757-1746479413-1007\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\powerwebsearch.com]

 

[HKEY_USERS\S-1-5-21-187633169-1895062757-1746479413-1007\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\super-websearch.com]

 

[HKEY_USERS\S-1-5-21-187633169-1895062757-1746479413-1007\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\superwebsearch.com]

 

[HKEY_USERS\S-1-5-21-187633169-1895062757-1746479413-1007\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\websearch.com]

 

[HKEY_USERS\S-1-5-21-187633169-1895062757-1746479413-1007\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\websearch4u.com]

 

[HKEY_USERS\S-1-5-21-187633169-1895062757-1746479413-1007\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\websearch4u.net]

 

[HKEY_USERS\S-1-5-21-187633169-1895062757-1746479413-1007\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\websearchdot.com]

 

[HKEY_USERS\S-1-5-21-187633169-1895062757-1746479413-1007\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\websearchnetwork.com]

 

[HKEY_USERS\S-1-5-21-187633169-1895062757-1746479413-1007\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\websearchup.com]

 

[HKEY_USERS\S-1-5-21-187633169-1895062757-1746479413-1007\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\www.coolwebsearch.com]

 

[HKEY_USERS\S-1-5-21-187633169-1895062757-1746479413-1007\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\www.ezwebsearching.com]

 

[HKEY_USERS\S-1-5-21-187633169-1895062757-1746479413-1007\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\www.websearch.com]

 

[HKEY_USERS\S-1-5-21-187633169-1895062757-1746479413-1007\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\www.xwebsearch.biz]

 

[HKEY_USERS\S-1-5-21-187633169-1895062757-1746479413-1007\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\xwebsearch.biz]

 

[HKEY_USERS\S-1-5-21-187633169-1895062757-1746479413-1007\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ywebsearch.info]

 

; End Of The Log...

 

Je me demandais, si en fait l'adresse Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ ne correspondrait pas à un host ou un truc comme ça ou une protection quelqconque (type spywareblaster?). J'ai l'impression qu'il n'y a que des sites référencés où il ne fait pas bon d'aller ? Auquel cas, les deux clés supprimées tout à l'heure avaient une adresse équivalente. Fausse alerte ? Par contre, les 7 premières... A titre info, la barre mywebsearch sous firefox (comme dans l'image dans le post) ne fonctionne pas (même avant la suppression des deux dernières clés). Si je l'acitve, il ne se passe rien sinon une barre blanche toute fine entre ma barre personnelle et mes onglets en haut. J'ai l'impression qu'il n'ya plus que le bouton. Je prendrai le temps de reposter cette recherche websearch avec JV16 en rentrant du taf, car il en a trouvé d'avantage. Si tu crois que c'est utile ?

 

Encore une question... J'ai un dossier WU temp à la racine . Ca te dit quelque chose ? J'y ai fait un tour, il y a des MAJ windows dedans et des .cab . Comme je ne l'avais pas remarqué avant...

 

C'est quand même bizarre ce résultat positif de Panda avec aucune référence en HijackThis, non ? Un adaware c'est ce qu'il y a de plus banal quand même, non ?

 

Bon je prépare la cafetière Tornado. Bonne journée

[tornado]

Salut gof,

 

Désolé, hier soir dans un râle me suis endormi une cigarette dans l'oreille et le thermos dans l'oreilller !

 

Pas bien la clope

 

 

 

Le chemin Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ corrrespond à la liste des sites sur lesquels le navigateur à créé des restrictions, pour éviter que tu les visites.

 

Normalement, quand tu vas dans IE ---> outils --> options internet ---> onglet sécurité ; tu cliques sur "sites sensibles" (panneau d'interdiction) et ensuite sur le bouton "sites...",

tu peux remarquer qu'il y a toute une liste de sites qui correspond à celle des clés.

 

 

Bon sinon pour toutes ces lignes :

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FindExtensions\Static\WebSearch]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FindExtensions\Static\WebSearch\0]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FindExtensions\Static\WebSearch\0\DefaultIcon]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FindExtensions\Static\WebSearch\0\HelpText]

 

 

En faisant une recherche, elles corresppondent aux options de recherche du menu démarrer

 

---> http://www.maboite.qc.ca/astuces-fiches.php

 

 

Donc ne touche pas à toutes ces clés... elles n'ont rien avoir avec un reste d'adware.

 

 

 

Je prendrai le temps de reposter cette recherche websearch avec JV16 en rentrant du taf, car il en a trouvé d'avantage. Si tu crois que c'est utile ?

 

LOL , ca va te mener aux mêmes clés qu'avec Regsearch, et qui sont en plus légitimes...

 

Personellement je pense que la ou les fameuse(s) clé(s) qu'on recherche ne sont pas un risque de sécurité, mais seulement la ou les clé(s) caduque(s) d'un adware.

Et de plus, uniquement Panda fait mention de ces traces dans le registre... Au fait as tu essayé avec un antispyware classique genre ad-aware ou spybot (eux, au moins, indiqueront le chemin de la clé)

 

 

 

Salut Lokokiss

 

Très bonne idée le scan de Trendmicro , en ajoutant le scan d'ad-aware, peut-être qu'ils vont trouver quelque chose...

Modifié le 21 février 2006 par tornado

[lolokiss]

Salut Gof ; je serais tenté de te proposer ça : http://fr.trendmicro-europe.com/consumer/h...call_launch.php

 

Dsl je sais pas les raccourcir mais un jour .....

 

A priori ça marche pas mal et si tu à une drouille qui traîne il va se charger tout seul de te faire le ménage

[Gof]

Salut Tornado, salut Lolokiss, bonjour à tous,

 

petit passage en coup de vent à la pause repas. Oui j'avais essayé SPYBOT et AD-AWARE. Je lance un scan Trend micro house call, je verrai les résultats en rentrant en fin d'après midi et les poste dans la foulée .

 

Par contre, j'ai toujours (comme sur l'image postée plus haut) une barre "mywebsearch" dans mon firefox que je peux activer désactiver et qui ne fonctionne pas, peu importe son statut (actif ou pas). Ce doit être un reste, non ? A tout à l'heure, merci du coup de main !

[lolokiss]

Salut Tornado, salut Lolokiss, bonjour à tous,

 

petit passage en coup de vent à la pause repas. Oui j'avais essayé SPYBOT et AD-AWARE. Je lance un scan Trend micro house call, je verrai les résultats en rentrant en fin d'après midi et les poste dans la foulée .

 

Par contre, j'ai toujours (comme sur l'image postée plus haut) une barre "mywebsearch" dans mon firefox que je peux activer désactiver et qui ne fonctionne pas, peu importe son statut (actif ou pas). Ce doit être un reste, non ? A tout à l'heure, merci du coup de main !

 

 

Dis Gof ; Spybot tu l'a essayé comment ; en mode avancé ?

[Gof]

Bonsoir,

 

Désolé, j'ai trainé. Impossible de réussir à avoir un scan Trend House call correct. J'ai essayé sous IE, en autorisant tous les cookies, les activeX, en mettant la protection au minimum...En java... AVec mozilla. Rien à faire. Il ne scanne pas le disque, et met un résultat en quelques secondes qui annonce que tout est sain.

Si quelqu'un a un autre lien de scan & désinfection adaware ? J'avais désinstallé a2 squared (je crois que c'est ça son nom) car il donnait trop de faux positifs et je ne suis pas assez calé pour différencier les méchants(!). Mais peut-être serait-il efficace là ?

 

Oui Lolokiss, il est en mode avancé. Pourquoi ? Tu pensais à une manipulation particulière ?

[lolokiss]

Bonsoir,

 

Désolé, j'ai trainé. Impossible de réussir à avoir un scan Trend House call correct. J'ai essayé sous IE, en autorisant tous les cookies, les activeX, en mettant la protection au minimum...En java... AVec mozilla. Rien à faire. Il ne scanne pas le disque, et met un résultat en quelques secondes qui annonce que tout est sain.

Si quelqu'un a un autre lien de scan & désinfection adaware ? J'avais désinstallé a2 squared (je crois que c'est ça son nom) car il donnait trop de faux positifs et je ne suis pas assez calé pour différencier les méchants(!). Mais peut-être serait-il efficace là ?

 

Oui Lolokiss, il est en mode avancé. Pourquoi ? Tu pensais à une manipulation particulière ?

 

 

Salut Gof ; primo suis surpri en ce qui concerne trend ici il passe comme une lettre à la poste !! et là je t'avoue que je vois pas ce qui peu coincé quand à Spybot , non je ne pensait à rien de particulier

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

c'est pour faire avancer le Schimiliblick !!

 

Je plaisante ; j'ai coché au niveau de sa config une analyse aussi serrée que possible c'est à dire tout ce qui se rapproche du syst , je ne sais pas si j'ai bien fait mais c'est fait et je passe tout systématiquement à la benne !

Un truc qui me traverse l'esprit as tu essayé de désactiver ta restau systeme ,d'ouvrir tous les fichiers cachés , syst et autres et de faire un passage d'antivirus en mode sans échec suivi aussitôt d'Ad-Aware et Spybot ?

En général ça donne de bon résultats

Modifié le 21 février 2006 par lolokiss

[Gof]

c'est pour faire avancer le Schimiliblick !!

J'étais déjà à me demander ce qui se passait, à supposer que tu avais poste une imageshack et qu'il y avait un truc qui marchait pas...Arghhh...! Parano quand tu nous tiens !

 

J'ai fait une multitude de scans différents avec restauration activée ou désactivée et accès autorisé ou refusé... Je ne sais plus où j'en suis en fait. LOL Bon, on reprend depuis le début, et je m'y reattèle consciencieusement. Mode sans échec, accès à tout, et restauration désactivée. Dans l'ordre ANTIVIR, AD-AWARE & SPYBOT. Je posterai le résultat demain midi je pense. Merci de ton aide Lolokiss.

 

Et c'est reparti pour un tour

[lolokiss]

J'étais déjà à me demander ce qui se passait, à supposer que tu avais poste une imageshack et qu'il y avait un truc qui marchait pas...Arghhh...! Parano quand tu nous tiens !

 

J'ai fait une multitude de scans différents avec restauration activée ou désactivée et accès autorisé ou refusé... Je ne sais plus où j'en suis en fait. LOL Bon, on reprend depuis le début, et je m'y reattèle consciencieusement. Mode sans échec, accès à tout, et restauration désactivée. Dans l'ordre ANTIVIR, AD-AWARE & SPYBOT. Je posterai le résultat demain midi je pense. Merci de ton aide Lolokiss.

 

Et c'est reparti pour un tour

Courage mon vieux

[Gof]

Bonsoir à tous, je suis désolé de ne réapparaitre que maintenant (pb de FAI et déplacement professionnel cumulés, résultat une bonne quinzaine sans possibilité de venir faire un tour sur Zebulon). J'avais donc refait ce qui m'avait été préconisé, mais je n'avais pas eu le temps de poster les résultats.

 

Donc, en mode sans échec, accès à tous les fichiers et restauration désactivée, maj effectuées :

 

Antivir : rien

Ad-Aware : "full" rien, "ads" rien

Spybot : "tout vérifier" rien, "vérifier système" rien

Ewido : "scan complet" rien, "registre" rien, "système" rien

Cwsshredder : rien

Multivirus Cleaner : rien

 

Puis en ligne

Kaspersky : rien

Panda : toujours le même résultat.

 

Comme je ne suis plus vraiment dans le "truc" là après quelques semaines d'absence, un retour à la case Zéro via le prénettoyage et le reposte Hijackthis semble préconisé, non ?