Adware. MiAddle

[bruce lee]

re,

 

apres quelques recherches j'ai trouvé ceci qui peut peut etre t'aider http://translate.google.com/translate?hl=f...ficial%26sa%3DG

essaye le pour voir et dis moi si il te detecte quelque chose et si il le supprime.

 

 

@+ et t'inquiete pas on l'avoir cette bestiole

[lolo.liver]

Re,

J’ai passé le scan, il n’a rien à signaler.

Par contre, j’ai ouvert RegSeeker, puis rechercher, j’ai inscrit à tout hasard « MidAddle » et surprise il a trouvé une clé, j'ai vu qu'il y avait "BootExecute" = "autocheck autochk * SsiEfr.e SsiEfr.e" mais je n'ai malheureusement noté la clé

 

J'ai fermé la base de registe

 

J’ai ensuite fermé RegSeeker pour refaire la même opération, mais là il ne trouve plus « MidAddle »

 

Je m’aperçois que « Silents Runners » dans l’analyse faite trouve :

 

HKLM\System\CurrentControlSet\Control\Session Manager\

INFECTION WARNING! "BootExecute" = "autocheck autochk * SsiEfr.e SsiEfr.e" [file not found], [MS], [file not found], [file not found], [file not found]

 

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\

INFECTION WARNING! WRNotifier\DLLName = "WRLogonNTF.dll" [file not found]

 

HKLM\Software\Classes\PROTOCOLS\Filter\

INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"

 

Est la même chose qui a été trouvée par RegSeeker (1fois) et SilentsRunner?

 

Je ne sais pas

 

Je pense que la bestiole est là, reste à savoir si l’on peut la sortir de son trou si du moins c'est elle.

 

A +

[Mark]

Coucou Bruce et salut lolo ;

 

Je viens de faire quelques recherches :

 

HKLM\System\CurrentControlSet\Control\Session Manager\

INFECTION WARNING! "BootExecute" = "autocheck autochk * SsiEfr.e SsiEfr.e" [file not found], [MS], [file not found], [file not found], [file not found]

 

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\

INFECTION WARNING! WRNotifier\DLLName = "WRLogonNTF.dll" [file not found]

...sont toutes deux liées à Spy Sweeper.

 

HKLM\Software\Classes\PROTOCOLS\Filter\

INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"

...est liée à Microsoft Office.

 

Juste pour bien suivre l'évolution lolo : pourrais-tu poster un tout nouveau rapport Hijackthis! s.t.p. ? Merci..

[lolo.liver]

Bonjour à toutes et à tous, bonjour Bruce, bonjour Qc001

 

Voici le rapport demandé :

Logfile of HijackThis v1.99.1

Scan saved at 08:24:39, on 12/05/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\System32\brsvc01a.exe

C:\WINDOWS\System32\brss01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\netdde.exe

C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\system32\HPConfig.exe

C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE

C:\WINDOWS\system32\carpserv.exe

C:\WINDOWS\system32\atiptaxx.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE

C:\Program Files\Mozilla Firefox\firefox.exe

J:\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = Supprimer cette entrée

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll

O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - (no file)

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe

O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O16 - DPF: Interface Chat Wanadoo - http://chat8.x-echo.com/version3/Applet/wchatsign.cab

O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - http://www.symantec.com/techsupp/asa/LSSupCtl.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/SymAData.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0D05223B-71B8-460B-9887-CE756CB1CE97}: NameServer = 213.36.80.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{15A711B3-78D1-4D9F-9FB4-97876470938C}: NameServer = 213.36.80.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{0D05223B-71B8-460B-9887-CE756CB1CE97}: NameServer = 213.36.80.1

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe

O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

 

A+

[lolo.liver]

Re,

 

J'ai refait une recherche de "MidAddle" avec RegSeeker, étant donné qu'il l'avait trouvé une fois et dans ces cas là pourquoi pas 2 ?

Surprise, il l'a retrouvé la bestiole mais là j'ai noté l'adresse :

 

 

HKLM\SYSTEM\ControlSet003\Enum\HID\Vid_0474&Pid_0800\6&ea5ae4&0&0000

 

J'ai laissé le logiciel RegSeeker ouvert, faut-il supprimer cet élément ?

 

A+

[lolo.liver]

Bonjour à toutes et à tous, bonjour bruce , bonjour Qc001,

 

Tout d'abord merci pour vos efforts pour l'aide apportée, même si cela n'est pas résolu

Je m'aperçois que la situation n'est pas facile pour arriver à supprimer Midaddle mais ce n'est pas grave, après avoir cherché sur de nombreux sites sur le net, passé de nombreux anti-adware(sans résultat), certains ou certaines arrivent à éradiquer MidAddle mais on se demande comment(sauf s'ils ferment les yeux), rien n'est ficelé , pas de solution miracle à moins de formater son disque, est-ce que cela sera vraiment suffisant ?

La seule chose trouvée pour que cette bestiole reste à la niche, c'est de passer un coup de scan EWIDO dans la base de registre (45secondes) et d'être je le suppose tranquille jusqu'au redemarrage de windows.

De toutes façons sans passer EWIDO, MidAddle n'existerais pas pour moi.

 

Si une personne à mieux ou à déjà été confrontée à cet Adware, je suis preneur.

A+

[bruce lee]

bonjour,

 

sur ton "cas" il y a des reflexions et des idées qui sont proposés, merci de patienter

 

 

P.S: je vais alerter Qc001 pour qu'il vienne au nouvelle tu auras je pense une reponse demain soir au plus tard.

[lolo.liver]

Re,

merci, j'ai pris note

A+

[bruce lee]

re,

 

au cas ou tu serais pressé, Qc001 m'a dit qu'il passerai se soir donc pas d'inquietude et surtout ne formate pas ton disque dur pour le moment.

 

 

@+

[Mark]

Bonsoir Bruce, lolo ;

 

Je fouille de mon côté, et je trouve ça un peu frustrant !! Cette bestiole n'est pas très répandue (relativement..).

 

lolo : je vais te faire essayer une version gratos de PestPatrol qui, selon un site consulté, pourrait nous aider.. Cette version d'essai spéciale se trouve sur le site Allemand de Computer Associates, mais le tool s'installera en version Franco . Cette version est 100% fonctionnelle, avec MAJs auto et bouclier. Voici le lien (téléchargement direct) :

 

http://www.ca.com/de/dsin/PESTPATROL_V5.EXE

 

Installe-le, puis fais un scan avec. Sur ma bécane, il ne trouve rien alors je ne peux pas te dire comment le rapport va se présenter à toi. Par contre, si des éléments infectieux sont trouvés, laisse l'outil les mettre en quarantaine, puis tente de copier/coller le rapport ici, dans ta prochaine réponse. Si tu ne peux copier/coller le rapport, pourrais-tu en prendre une capture d'écran ?

 

Bon succès, et à bientôt