Antivir et Heuristic/Exploit.HTML

[cristobal61]

Manifestement, mon post initial est passé à la trappe au cours des problèmes techniques ayant affecté le forum ces 2 derniers jours... je le renouvelle donc.

 

Depuis la mise à jour quotidienne de mon antivirus (Antivir, maj du 13/06 vers le fichier 6.35.00.24 pour être précis), je reçois très fréquemment des avertissements m'indiquant qu'un élément contenant du code suspect a été détecté, et me demandant notamment quelle conduite tenir vis-à-vis de celui-ci (suppression, mise en quarantaine, ignorer, etc... pour l'instant je mets en quarantaine, je commence donc à avoir une belle collection).

 

Le malware supputé est "HEURISTIC/Exploit.HTML".

 

La détection de ce malware intervient en général au moment de l'ouverture d'une page internet par internet explorer (et notamment ma page d'accueil http://fr.sports.yahoo.com/). Le fichier abritant le malware est le plus souvent fadwithlandingspot[1].js (le problème s'est également produit avec d'autres fichiers de type ".htm").

Ce fichier fadwithlandingspot[1].js, comme les autres fichiers .htm ayant soulevé le problème, sont contenus dans le répertoire Local Settings\Temporary Internet Files\Content.IE5\xxxxxxxx (xxxxxxx étant variable selon les alertes).

 

La suppression des fichiers temporaires par l'outil Nettoyage de disque de windows comme par CCleaner n'a pas permis d'éradiquer le résultat (je constate au passage que ces opérations ne suppriment pas le contenu intégral du dossier content.IE5... je ne me suis pas risqué à effectuer cette opération manuellement).

 

La base de virus d'Antivir n'a aucune information à fournir au sujet de ce malware, et une recherche dans Google n'a pas été plus concluante.

 

Une nouvelle mise à jour de l'antivirus a eu lieu hier 14/06 (virus definition file 6.35.00.32) : le malware est toujours détecté, toujours dans le fichier fadwithlandingspot[1].js... il est désigné à présent par "HEUR.Exploit.HTML".

 

Quelqu'un peut-il me renseigner sur cet objet ? et éventuellement sur une conduite à tenir pour m'en débarasser ?

Merci par avance à qui pourra m'éclairer.

[tornado]

Bonjour cristobal61 et bienvenue sur le forum sécurité de zébulon,

 

 

 

On va sûrement devoir supprimer les fichiers infectieux à la main (en mode sans échec, ça ne devrait pas poser problème). CCleaner utilisé en mode normal est impuissant, comme tu l'as toi même remarqué.

 

Concernant le malware détecté pas Antivir, il existe une multitude de variantes différentes, c'est assez "flou" pour déterminer l'infection précisément.

 

 

En attendant, et étant donné que ton système est visiblement infecté, il te faut appliquer la procédure de pré-nettoyage => http://forum.zebulon.fr/index.php?showtopic=83986

 

Le rapport Hijackthis qui en ressort pourra sûrement nous aider

 

 

 

A+

Modifié le 15 juin 2006 par tornado

[cristobal61]

Depuis le temps que j'envisageais de soumettre mon pc à cette procédure, en voici l'occasion. Je pense effectivement que l'opération ne sera pas superflue, y a un peu de ménage à faire...

 

Une question cependant, antivir étant déjà mon antivirus résident et habituel, est-il pertinent d'utiliser ce même antivirus dans le cadre de ce pré-nettoyage ?

 

Je précise, ayant omis de le signaler dans mon post initial, que j'ai scanné mon système avec Antivir suite à la survenue de ces alertes (mais pas en mode sans échec cependant), sans que rien de notable n'ait été détecté concernant les raisons qui m'amènent ici...

 

D'autre part, ad-aware et spybot, que j'utilise à l'occasion, sont-ils susceptibles de résoudre ce probème ? j'avoue que je me suis un peu précipité vers vos bons soins, sans penser à utiliser ces deux utilitaires au préalable.

 

De toutes façons, ne l'ayant jamais pratiqué, un nettoyage complet ne sera pas superflu.

 

Merci pour la rapidité de ta 1ère réponse.

 

A+

Modifié le 15 juin 2006 par cristobal61

[tornado]

Re,

 

 

Une question cependant, antivir étant déjà mon antivirus résident et habituel, est-il pertinent d'utiliser ce même antivirus dans le cadre de ce pré-nettoyage ?

 

Je ne pense pas qu'utitiser Antivir sera inutile, car en mode sans échec, il pourra sûrement supprimer des "bestioles" qu'il ne parvenait pas à éradiquer en mode normal (c'est dû au fait que Windows démarre le minimum de processus en mode sans échec ; or un grand nombre de malware correspond souvent à un processus démarré en mode normal, ce qui empêche leur suppression)

 

D'autre part, ad-aware et spybot, que j'utilise à l'occasion, sont-ils susceptibles de résoudre ce probème ? j'avoue que je me suis un peu précipité vers vos bons soins, sans penser à utiliser ces deux utilitaires au préalable.

 

Pas tout le temps, mais ils parviennent souvent à compléter le boulot de l'antivirus.

On va attendre le rapport Hijackthis pour voir à quelle(s) infection(s) précise on a affaire (certaines nécessitent des outils spéciaux, et Spybot ou Adaware ne peuvent rien y faire)

 

 

 

 

A+

Modifié le 15 juin 2006 par tornado

[cristobal61]

Voilà, j'ai appliqué la procédure.

 

Résultats du scan Antivir : rien n'a été détecté, pas de pb de ce côté là a priori...

 

 

 

AntiVir PersonalEdition Classic

Report file date: jeudi 15 juin 2006 16:28

 

Scanning for 408372 virus strains and unwanted programs.

 

Licensed to: AntiVir PersonalEdition Classic

Serial number: 0000149996-WURGE-0001

Platform: Windows XP

Windows version: (Service Pack 2) [5.1.2600]

Username: Christophe

Computer name: CHRISTOPHE-V

 

Version informations:

AVSCAN.EXE : 7.0.0.42 557096 27/01/2006 18:33:26

AVSCAN.DLL : 7.0.0.42 53288 27/01/2006 18:33:26

LUKE.DLL : 7.0.0.42 118824 27/01/2006 18:33:26

LUKERES.DLL : 7.0.0.42 25640 27/01/2006 18:33:26

ANTIVIR0.VDF : 6.35.0.1 7371264 27/01/2006 18:33:26

ANTIVIR1.VDF : 6.35.0.5 2048 27/01/2006 18:33:26

ANTIVIR2.VDF : 6.35.0.7 113664 27/01/2006 18:33:26

ANTIVIR3.VDF : 6.35.0.32 64000 27/01/2006 18:33:26

AVEWIN32.DLL : 7.1.0.13 1536512 27/01/2006 18:33:26

AVPREF.DLL : 7.0.0.1 49192 27/01/2006 18:33:26

AVREP.DLL : 6.35.0.2 659496 27/01/2006 18:33:26

AVRPBASE.DLL : 7.0.0.0 2162728 06/05/2006 08:24:02

AVPACK32.DLL : 7.1.0.1 335912 27/01/2006 18:33:26

AVREG.DLL : 6.31.0.90 27688 27/01/2006 18:33:26

NETNT.DLL : 6.32.0.0 6696 27/01/2006 18:33:26

NETNW.DLL : 6.32.0.0 9768 27/01/2006 18:33:26

RCIMAGE.DLL : 7.0.0.71 1642536 27/01/2006 18:33:28

RCTEXT.DLL : 7.0.0.75 77864 27/01/2006 18:33:28

 

Configuration settings for the scan:

Jobname: '%s'.................: Local Drives

Configuration file............: C:\Program Files\AntiVir PersonalEdition Classic\alldrives.avp

Boot sectors..................: C,A,D

Scan memory...................: 1

Process scan..................: 1

Scan all files................: 1

Scan archives.................: 1

Recursion depth...............: 20

Smart extensions..............: 1

Skipped archive types.........: 1000,1001,1002,1003,1004,

Macro heuristic...............: 1

File heuristic................: 3

Primary action................: 8

Secondary action..............: 0

 

Start of the scan: jeudi 15 juin 2006 16:28

 

 

The scan over running processes will be started

14 Processes was scanned

 

Start scanning boot sectors:

 

Boot sector 'C:\'

[NOTE] No virus was found!

Boot sector 'A:\'

[NOTE] In the drive 'A:\' no data medium is inserted!

 

Starting to scan the registry.

The registry was scanned ( 31 files ).

 

 

Starting the file scan:

 

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\Documents and Settings\Christophe\NTUSER.DAT

[WARNING] The file could not be opened!

C:\Documents and Settings\Christophe\ntuser.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\Christophe\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\Christophe\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\NetworkService\NTUSER.DAT

[WARNING] The file could not be opened!

C:\Documents and Settings\NetworkService\ntuser.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\default

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\default.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SAM

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SAM.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SECURITY

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SECURITY.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\software

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\software.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\system

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\system.LOG

[WARNING] The file could not be opened!

The path A:\ could not be found!

Le périphérique n'est pas prêt.

 

The path D:\ could not be found!

Le périphérique n'est pas prêt.

 

 

 

End of the scan: jeudi 15 juin 2006 18:04

Used time: 1:36:02 min

 

The scan has been done completely.

 

6257 Scanning directories

473836 Files were scanned

0 viruses and/or unwanted programs was found

0 files were deleted

0 files were repaired

0 files were moved to quarantine

0 files were renamed

8829 Archives were scanned

19 Warnings

0 Notes

 

 

Résultats du scan HijackThis :

 

Logfile of HijackThis v1.99.1

Scan saved at 18:25:12, on 15/06/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\carpserv.exe

C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Messenger\MsgPlus.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Spamihilator\spamihilator.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Rainlendar\Rainlendar.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

C:\WINDOWS\system32\HPConfig.exe

C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\UAService7.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Program Files\Canon\CAL\CALMAIN.exe

C:\Program Files\HijackThis\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.sdtmmqwenk.com/FvJJc1b97GVT5rox...e6/MhaLXNLz.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.sports.yahoo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://desktop.presario.net/scripts/redire...1c02&lc=040c&ac

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.presario.net/scripts/redirec...=search&ap=b204

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://desktop.presario.net/scripts/redire...1c02&lc=040c&ac

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\PROGRA~1\FRESHD~1\FRESHD~1\fdcatch.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d

O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe

O4 - HKLM\..\Run: [Display Settings] C:\Program Files\HPQ\Notebook Utilities\hptasks.exe /s

O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /O6 "USB001" /M "Stylus C44"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger\MsgPlus.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [rg] C:\Program Files\Roland Garros 2006\rg2006.exe

O4 - HKCU\..\Run: [spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger\MsgPlus.exe" /WinStart

O4 - Startup: Rainlendar.lnk = C:\Program Files\Rainlendar\Rainlendar.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZS

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html

O9 - Extra button: Sites Perso - {06FE5D05-8F11-11d2-804F-00105A133818} - http://compaqnet.ifrance.com/heberg/accueil (file missing)

O9 - Extra 'Tools' menuitem: Compaq France - {06FE5D05-8F11-11d2-804F-00105A133818} - http://compaqnet.ifrance.com/heberg/accueil (file missing)

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab

O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab

O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab

O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab

O16 - DPF: {09CC593B-E8A9-4491-927D-A3E33534DDD4} (InstallerObj Class) - http://www.1-click.com/common/files/installer2.cab

O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab

O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ClientIn...2/OCI/setup.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1106691458360

O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (telechargement-photoweb) - http://www4.photoweb.fr/telechargement/Photoweb_uploader.cab

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/hardwaredetection.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {CB50428B-657F-47DF-9B32-671F82AA73F7} (Photodex Presenter AX control) - http://www.photodex.com/pxplay.cab

O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.bellapix.com/XUpload.ocx

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe

O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe

O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

 

Merci d'avance de te pencher sur ces énigmatiques données, et de m'indiquer comment nettoyer tout ça...

A+

[tornado]

Re,

 

 

 

Ton rapport montre des signes d'infection, mais rien d'alarmant.

 

J'aimerais savoir une chose... est-ce toi qui a installé ce programme ? :

 

O4 - HKLM\..\Run: [rg] C:\Program Files\Roland Garros 2006\rg2006.exe

 

 

Si non, fais analyser ce fichier C:\Program Files\Roland Garros 2006\rg2006.exe...

 

à partir de ces 2 sites:

 

=> http://virusscan.jotti.org/ (clique sur Parcourir , sélectionne rg2006.exe, clique sur Ouvrir, puis sur Submit )

=> http://www.virustotal.com/en/indexf.html (clique sur Parcourir , sélectionne rg2006.exe, clique sur Ouvrir, puis sur Send )

 

 

A+

[cristobal61]

Effectivement, il s'agit bien d'une installation volontaire (programme installé dans le cadre d'un abonnement au vidéocast pendant le tournoi de RG). Je compte d'ailleurs le désinstaller incessement sous peu.

Pourquoi cette question, tu as des doutes à son sujet ?

 

J'ai tout de même pris la peine de vérifier le fichier rg2006.exe, virusscan.jotti.org n'a rien trouvé à lui reprocher (le second lien que tu indiques est inopérant, mais c'est apparemment le site qui est indisponible).

 

Concernant les infections que tu as identifiées, quelles sont-elles et que dois-je faire pour m'en débarasser ?

 

Merci de ton aide. A+

[tornado]

Re,

 

 

J'avais quelques doutes sur le fichier car une recherche à son sujet ne donnait rien...

 

Mais comme tu le connaîs et que tu as bien vérifié si il n'était pas infectiuex, je prépare une procédure de désinfection (même si il n'y a pas grand chose à fixer dans Hijackthis); réponse dans 10-15 min ~

 

 

A+

[tornado]

Re,

 

 

La procédure se divisera en plusieurs étapes, à suivre une à une. Elle te paraitra longue, mais elle est assez rapide à appliquer (à part le scan d'ewido peut-être). Je te recommande de l'imprimer ou de la copier dans un fichier texte.

Tu peux également enregistrer la page web complète, sur laquelle se trouve la procédure, en le faisant à partir de ton navigateur :

 

 

- "Fichier" --> "enregistrer sous" depuis la page où se trouve la procédure

- Dans types, choisis "Page web complète"

- Crée un nouveau dossier au préalable dans C:\ par exemple (appelle-le "Procédure" par exemple)

- Ouvre-le et choisis "Enregistrer sous"

 

Pour lire la procédure en mode sans échec, tu n'auras qu'à double cliquer le fichier .php (avec l'icone de ton navigateur) situé dans le dossier créé. De cette manière, tu conserveras toutes les mises en formes et les couleurs de la procédure, et cela permettra de t'y retrouver

 

 

 

 

Télécharge et installe les logiciels suivants au préalable

 

- Ewido anti-malware --> http://www.ewido.net/en/download/

 

- A l'installation, décoche les "deux cases" dans la fenêtre "additional options" (protection en temps réel)

- Fais la mise à jour

 

- ATF-cleaner --> http://www.atribune.org/public-beta/ATF-Cleaner.exe

- Easycleaner --> http://telechargement.zebulon.fr/147-easycleaner.html

- Jv16 Powertools --> http://telechargement.zebulon.fr/201-jv16-powertools.html

- Tu peux sauvegarder la page web du tuto (comme indiqué précédemment), même si je donne quand même des explications au cours de la procédure --> http://www.zebulon.fr/articles/base-de-registre-3.php (comme indiqué précédemment)

 

--------------------------------------------------------------------------------------------------------------------------

 

 

1/ Redémarre en mode sans échec (au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].)

 

 

2/ Désinstalle les logiciels suivants via le panneau "ajouter/supprimer des programmes" :

 

- Mywebsearch => si tu trouves

 

 

3/ Lance hijackthis, " do a system scan only " , puis coche les lignes suivantes :

 

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.sdtmmqwenk.com/FvJJc1b97GVT5rox...e6/MhaLXNLz.asp

 

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZS

 

O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab

O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab

O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab

O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab

O16 - DPF: {09CC593B-E8A9-4491-927D-A3E33534DDD4} (InstallerObj Class) - http://www.1-click.com/common/files/installer2.cab

O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab

O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ClientIn...2/OCI/setup.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1106691458360

O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (telechargement-photoweb) - http://www4.photoweb.fr/telechargement/Photoweb_uploader.cab

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/hardwaredetection.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab

O16 - DPF: {CB50428B-657F-47DF-9B32-671F82AA73F7} (Photodex Presenter AX control) - http://www.photodex.com/pxplay.cab

O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.bellapix.com/XUpload.ocx

 

 

- Fais "fix checked"

 

 

4/ Vérifie d'avoir accès à tous les fichiers/dossiers de la manière suivante :

 

- Va dans le poste de travail

- Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer à tous les dossiers".

 

Et clique sur Ok

 

Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

 

5/ Recherche et supprime le dossier en gras via l'explorateur Windows (si il existe encore)

 

- C:\Program Files\Mywebsearch

 

 

 

- Vide la corbeille

 

 

6/ Nettoie ton système avec Easycleaner, ATF-cleaner et Jv16 powertools

 

 

Easycleaner

 

-Lance Easycleaner "inutiles" et "registre" Ne touche en aucun cas à la fonctions doublons

-Supprime tout ce que te propose Easycleaner

-Vide la corbeille

 

 

ATF-cleaner

 

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

• Clique Firefox au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Si tu utilises le navigateur Opera :

• Clique Opera au haut et choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

Clique Exit, du menu prinicipal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus

 

Jv16 powertools

 

- Mettre le logiciel en français Preferences > Language > Français > OK.

 

- Ensuite, Outils registre > menu Outils > nettoyeur de registre.

 

- Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".

 

- Cliquer sur "Continuer" puis sur "Démarrer".

 

- Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout"

puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées.

 

(si il ya quelque chose qui t'échappe, sers toi du tuto de la page web )

 

 

7/ Fais un scan avec Ewido:

 

- Lance un "scan complet"

- Dès la première alerte, signalant un objet infecté, coche la case " Effectuer cette action avec toutes les infections"

- A la fin du scan, sauve le rapport

- Vide la quarantaine

 

 

8/ Répète l'étape 6/ , mais sers toi uniquement de Jv16 cette fois

 

 

9/ Redémarre en mode normal, poste le rapport d'ewido ainsi qu'un nouveau rapport hijackthis

 

 

 

 

Du boulot en perspective...bonne chance . Si il y a quelque chose que tu ne saisis pas, demande-le moi avant d'appliquer cette procédure.

 

A+

Modifié le 16 juin 2006 par tornado

[cristobal61]

Merci beaucoup, non seulement pour cette procédure, mais aussi et surtout pour avoir autant détaillé la marche à suivre ...

Je m'y attelle dès que possible, si tout se passe sans accroc (et si c'est pas trop long...), ça va être un régal.

Je reviens pour te soumettre les résultats.

 

A+

 

PS Question accessoire : Après avoir sauvé la page web, je n'ai pas de fichier .php dans le répertoire "procedure" que j'ai créé pour l'occasion, mais un fichier .htm. Ca marchera quand même ? ceci dit, je ne suis pas encore passé en mode sans échec, mais je ne pense pas que ça y changera quelque chose... De toute façon, je m'en sortirai avec un fichier txt, y aura pas la couleur et la présentation, mais l'essentiel y sera...

Modifié le 16 juin 2006 par cristobal61