Antivir et Heuristic/Exploit.HTML

[cristobal61]

Y a qu'à demander !!

 

 

Plus trace de Fun Web Products pour Spybot, malgré la présence résiduelle de quelques clés dans le registre...

Il y a bien l'apparition d'une rubrique Common Dialogs que je ne me souviens pas avoir vu jusqu'à maintenant, mais ça n'a pas l'air méchant.

 

ça commence à sentir bon tout ça...

 

Bonne nuit !!

[cristobal61]

Salut,

 

J'ai pas vraiment trouvé de réponse claire à ta question, au sujet de tes sous-clés identiques de la clé .DEFAULT

J'ai également essayé de chercher sur le sujet, mais rien trouvé de très clair non plus. Cependant, Spybot ne détecte plus FunWebProducts, je veux croire que l'action éventuelle de cet objet récalcitrant a été définitivement éteinte, c'est le principal (mais je n'en ai aucune certitude). Je n'ai pas retouché aux clés correspondantes qui subsistent donc dans le registre.

 

En revanche, après quelques jours de tranquillité, le fameux HEUR/Exploit.HTML a fait sa réapparition via une alerte Antivir, toujours détecté au sein du fichier fadwithlandingspot[1].js au moment de l'ouverture d'une page internet.

Ceci dit, pour l'instant, la fréquence de détection reste notablement plus faible qu'elle n'était il y a quelques jours, ça n'est pas trop handicapant.

 

Qu'est-ce que celà peut bien signifier ?

L'objet est passé au travers des opérations de nettoyage ? ou s'est-il réintroduit depuis ? ce qui me paraît étonnant, c'est que j'ai régulièrement consulté ce site internet ces derniers jours, après avoir utilisé les différents outils de nettoyage, sans que rien ne soit détecté... comme je comprends la chose, ce serait donc une page spécifique du site, consultée aujourd'hui et non ces derniers jours, qui amènerait le fichier fadwithlandingspot[1].js et son contenu suspect...

 

Merci de me répondre si tu as quelques commentaires à faire, et bonne continuation.

A+

[tornado]

Re,

 

 

 

(pas eu le temps de te répondre ces derniers temps, bac de français )

 

Pour les clés, je vais voir... (pas eu le temps)

 

Sinon, c'est vraiment pas "net" cette détection d'antivir... Es-tu sur que le fichier incriminé n'est plus présent ? (active l'affichage des dossiers cachés au préalable)

 

 

Sûrement un processus caché derrière tout ça ... certes, Blacktlight n'a pas trouvé, mais il n'est pas infaillible...

 

On va voir ce que donne un scan avec Silentrunners :

 

- Télécharge silentrunners --> http://www.silentrunners.org/Silent%20Runners.vbs

- Dans ton navigateur, fais fichier > enregistrer sous. Dans Type, choisis tous les fichiers

- Ensuite lance SilentRunners.vbs

- Clique sur OUI

- Laisse l'outil faire son boulot

- Un message t'annonce le chemin du fichier du scan. Copie son contenu et colle-le dans ton prochain post

 

 

 

 

 

A+

[cristobal61]

Salut,

 

Bac Français, c'est sérieux !! et beaucoup plus important que les petits soucis de mon pc (et ça me rappelle des souvenirs... douloureux... )

Pas de problème quant aux délais de réponse, c'est déjà très appréciable que tu sois aussi disponible et aussi réactif.

 

J'ai fait une recherche par l'explorateur windows sur le fameux fichier "fadwithlandingspot[1].js"...

- rien trouvé quand la recherche est effectuée sur ce nom de fichier entier

- un fichier "fadwithlandingspot" a été trouvé dans Internet Temporary Files, je ne me souviens plus de l'extension, l'icone étant celle d'une page Internet explorer... Je ne sais plus bien ce que j'ai fait à ce moment là (mise en quarantaine, suppression ???), toujours est-il qu'une nouvelle recherche ne renvoie plus aucun résultat... :P

 

Je pense que c'est un fichier constitutif d'une page internet, fichier qui s'introduit dans le répertoire Internet Temporary Files à chaque fois que je demande le chargement de la page en question... je vois la chose comme ça...

 

En attendant, j'ai lancé Silent Runners.

- Dans ton navigateur, fais fichier > enregistrer sous. Dans Type, choisis tous les fichiers

ça j'ai pas eu à le faire, après le téléchargement, j'ai juste eu à lancer le fichier .vbs... normal ?

 

Voilà... si ça t'inspire quelque chose...

 

 

 

 

Rapport SilentRunners

 

 

"Silent Runners.vbs", revision 46, http://www.silentrunners.org/

Operating System: Windows XP SP2

Output limited to non-default values, except where indicated by "{++}"

 

 

Startup items buried in registry:

---------------------------------

 

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"Spamihilator" = ""C:\Program Files\Spamihilator\spamihilator.exe"" ["Michel Krämer"]

"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

"MessengerPlus3" = ""C:\Program Files\Messenger\MsgPlus.exe" /WinStart" ["Patchou"]

"NBJ" = "*b" (unwritable string) [file not found]

"msnmsgr" = ""C:\Program Files\MSN Messenger\msnmsgr.exe" /background" [MS]

 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"AtiPTA" = "atiptaxx.exe" ["ATI Technologies, Inc."]

"CARPService" = "carpserv.exe" ["Conexant Systems, Inc."]

"PreloadApp" = "c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d" [null data]

"srmclean" = "C:\Cpqs\Scom\srmclean.exe" [null data]

"Display Settings" = "C:\Program Files\HPQ\Notebook Utilities\hptasks.exe /s" ["Hewlett-Packard"]

"QT4HPOT" = "C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE" ["Dritek System Inc."]

"SynTPLpr" = "C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."]

"SynTPEnh" = "C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]

"EPSON Stylus C44 Series" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /O6 "USB001" /M "Stylus C44"" ["SEIKO EPSON CORPORATION"]

"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]

"LVCOMSX" = "C:\WINDOWS\system32\LVCOMSX.EXE" ["Logitech Inc."]

"avgnt" = ""C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]

"QuickTime Task" = ""C:\Program Files\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]

"SunJavaUpdateSched" = "C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]

"Zone Labs Client" = "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" ["Zone Labs, LLC"]

"MessengerPlus3" = ""C:\Program Files\Messenger\MsgPlus.exe"" ["Patchou"]

"TkBellExe" = ""C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)

-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"

\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]

{206E52E0-D52E-11D4-AD54-0000E86C26F6}\(Default) = (no title provided)

-> {HKLM...CLSID} = (no title provided)

\InProcServer32\(Default) = "C:\PROGRA~1\FRESHD~1\FRESHD~1\fdcatch.dll" ["FreshDevices Corp."]

{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)

-> {HKLM...CLSID} = (no title provided)

\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)

-> {HKLM...CLSID} = "SSVHelper Class"

\InProcServer32\(Default) = "C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]

{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)

-> {HKLM...CLSID} = "Google Toolbar Helper"

\InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."]

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"

-> {HKLM...CLSID} = "Extension Affichage Panorama du Panneau de configuration"

\InProcServer32\(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"

-> {HKLM...CLSID} = "HyperTerminal Icon Ext"

\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]

"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"

-> {HKLM...CLSID} = "Portable Media Devices"

\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]

"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"

-> {HKLM...CLSID} = "Portable Media Devices Menu"

\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]

"{5E44E225-A408-11CF-B581-008029601108}" = "Adaptec DirectCD Shell Extension"

-> {HKLM...CLSID} = "Adaptec DirectCD Shell Extension"

\InProcServer32\(Default) = "C:\PROGRA~1\Gravure\EASYCD~1\DirectCD\Shellex.dll" ["Roxio"]

"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"

-> {HKLM...CLSID} = "RealOne Player Context Menu Class"

\InProcServer32\(Default) = "C:\Program Files\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]

"{2F860D81-AF3C-11D4-BDB3-00E0987D8540}" = "UltimateZip Shell Extension"

-> {HKLM...CLSID} = "UltimateZip Shell Extension 1"

\InProcServer32\(Default) = "C:\PROGRA~1\ULTIMA~1.7\uzshlex.dll" [null data]

"{2F860D82-AF3C-11D4-BDB3-00E0987D8540}" = "UltimateZip Drag Drop Handler"

-> {HKLM...CLSID} = "UltimateZip Drag Drop Handler"

\InProcServer32\(Default) = "C:\PROGRA~1\ULTIMA~1.7\uzshldr.dll" [null data]

"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"

-> {HKLM...CLSID} = "Microsoft Office Outlook"

\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]

"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"

-> {HKLM...CLSID} = "Outlook File Icon Extension"

\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]

"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"

-> {HKLM...CLSID} = (no title provided)

\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\OFFICE11\msohev.dll" [MS]

"{400CFEE2-39D0-46DC-96DF-E0BB5A4324B3}" = "My Logitech Pictures"

-> {HKLM...CLSID} = "My Logitech Pictures"

\InProcServer32\(Default) = "C:\Program Files\Logitech\Video\Namespc2.dll" ["Logitech Inc."]

"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"

-> {HKLM...CLSID} = "Shell Search Band"

\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]

"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"

-> {HKLM...CLSID} = "Shell Extension for Malware scanning"

\InProcServer32\(Default) = "C:\Program Files\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\

INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"

-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"

\InProcServer32\(Default) = "C:\Program Files\ewido anti-malware\shellhook.dll" ["TODO: <Firmenname>"]

 

HKLM\Software\Classes\PROTOCOLS\Filter\

INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"

-> {HKLM...CLSID} = (no title provided)

\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

 

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\

{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"

-> {HKLM...CLSID} = "PDF Shell Extension"

\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

 

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\

Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"

-> {HKLM...CLSID} = "Shell Extension for Malware scanning"

\InProcServer32\(Default) = "C:\Program Files\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]

UltimateZip\(Default) = "{2F860D81-AF3C-11D4-BDB3-00E0987D8540}"

-> {HKLM...CLSID} = "UltimateZip Shell Extension 1"

\InProcServer32\(Default) = "C:\PROGRA~1\ULTIMA~1.7\uzshlex.dll" [null data]

 

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\

Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"

-> {HKLM...CLSID} = "Shell Extension for Malware scanning"

\InProcServer32\(Default) = "C:\Program Files\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]

UltimateZip\(Default) = "{2F860D81-AF3C-11D4-BDB3-00E0987D8540}"

-> {HKLM...CLSID} = "UltimateZip Shell Extension 1"

\InProcServer32\(Default) = "C:\PROGRA~1\ULTIMA~1.7\uzshlex.dll" [null data]

 

 

Active Desktop and Wallpaper:

-----------------------------

 

Active Desktop is disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

 

HKCU\Control Panel\Desktop\

"Wallpaper" = "C:\WINDOWS\compaq.bmp"

 

 

Enabled Screen Saver:

---------------------

 

HKCU\Control Panel\Desktop\

"SCRNSAVE.EXE" = "C:\WINDOWS\System32\ssmyst.scr" [MS]

 

 

Startup items in "Christophe" & "All Users" startup folders:

------------------------------------------------------------

 

C:\Documents and Settings\Christophe\Menu Démarrer\Programmes\Démarrage

"Rainlendar" -> shortcut to: "C:\Program Files\Rainlendar\Rainlendar.exe" ["Rainy"]

 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage

"Adobe Gamma Loader.exe" -> shortcut to: "C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]

"Lancement rapide d'Adobe Reader" -> shortcut to: "C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]

 

 

Winsock2 Service Provider DLLs:

-------------------------------

 

Namespace Service Providers

 

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

 

Transport Service Providers

 

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 23

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

 

 

Toolbars, Explorer Bars, Extensions:

------------------------------------

 

Toolbars

 

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\

"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"

-> {HKLM...CLSID} = "&Google"

\InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."]

 

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\

"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"

-> {HKLM...CLSID} = "&Google"

\InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."]

 

HKLM\Software\Microsoft\Internet Explorer\Toolbar\

"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)

-> {HKLM...CLSID} = "&Google"

\InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."]

 

Explorer Bars

 

HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\

{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = (no title provided)

-> {HKLM...CLSID} = "&Rechercher"

\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]

 

Extensions (Tools menu items, main toolbar menu buttons)

 

HKLM\Software\Microsoft\Internet Explorer\Extensions\

{06FE5D05-8F11-11D2-804F-00105A133818}\

"ButtonText" = "Sites Perso"

"MenuText" = "Compaq France"

"Exec" = "http://compaqnet.ifrance.com/heberg/accueil" [file not found]

 

{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\

"MenuText" = "Console Java (Sun)"

"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"

-> {HKCU...CLSID} = "Java Plug-in"

\InProcServer32\(Default) = "C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]

-> {HKLM...CLSID} = "Java Plug-in 1.5.0_06"

\InProcServer32\(Default) = "C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]

 

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\

"ButtonText" = "Recherche"

 

 

Miscellaneous IE Hijack Points

------------------------------

 

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

 

Added lines (compared with English-language version):

[strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"

 

Missing lines (compared with English-language version):

[strings]: 1 line

 

 

Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------

 

AntiVir PersonalEdition Classic Service, AntiVirService, "C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe" ["AVIRA GmbH"]

AntiVir Scheduler, AntiVirScheduler, "C:\Program Files\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]

Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]

C-DillaCdaC11BA, C-DillaCdaC11BA, "C:\WINDOWS\system32\drivers\CDAC11BA.EXE" ["Macrovision"]

Canon Camera Access Library 8, CCALib8, "C:\Program Files\Canon\CAL\CALMAIN.exe" ["Canon Inc."]

EPSON Printer Status Agent2, EPSONStatusAgent2, "C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe" ["SEIKO EPSON CORPORATION"]

ewido security suite control, ewido security suite control, "C:\Program Files\ewido anti-malware\ewidoctrl.exe" ["ewido networks"]

HP Configuration Interface Service, HPConfig, "C:\WINDOWS\system32\HPConfig.exe" ["Hewlett-Packard"]

HPWirelessMgr, HPWirelessMgr, "C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe" ["Hewlett-Packard Co."]

SecuROM User Access Service (V7), UserAccess7, "C:\WINDOWS\system32\UAService7.exe" ["Sony DADC Austria AG."]

TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"]

Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]

 

 

Print Monitors:

---------------

 

HKLM\System\CurrentControlSet\Control\Print\Monitors\

EPSON V5 2KMonitor\Driver = "EBPMON2.DLL" ["SEIKO EPSON CORPORATION"]

Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]

PDF-XChange\Driver = "C:\WINDOWS\system32\pxc25pm.dll" ["Tracker Software"]

 

 

----------

+ This report excludes default entries except where indicated.

+ To see *everywhere* the script checks and *everything* it finds,

launch it from a command prompt or a shortcut with the -all parameter.

+ To search all directories of local fixed drives for DESKTOP.INI

DLL launch points and all Registry CLSIDs for dormant Explorer Bars,

use the -supp parameter or answer "No" at the first message box.

---------- (total run time: 23 seconds, including 5 seconds for message boxes)

[tornado]

Re,

 

 

J'ai fait une recherche par l'explorateur windows sur le fameux fichier "fadwithlandingspot[1].js"...

- rien trouvé quand la recherche est effectuée sur ce nom de fichier entier

- un fichier "fadwithlandingspot" a été trouvé dans Internet Temporary Files, je ne me souviens plus de l'extension, l'icone étant celle d'une page Internet explorer... Je ne sais plus bien ce que j'ai fait à ce moment là (mise en quarantaine, suppression ???), toujours est-il qu'une nouvelle recherche ne renvoie plus aucun résultat... icon_rolleyes.gif mhh.gif

 

Je pense que c'est un fichier constitutif d'une page internet, fichier qui s'introduit dans le répertoire Internet Temporary Files à chaque fois que je demande le chargement de la page en question... je vois la chose comme ça...

 

 

Quelle est cette page ?

 

Il arrive que des malwares parviennent à introduire ton système, à partir d'un script qui s'autoexécute depuis une page internet (exploit). Et c'est pour ça que je te demande l'adresse de la page...

 

 

Concernant le rapport silentrunners, rien à signaler...

 

 

 

A+

[cristobal61]

Salut,

 

RAS depuis 3-4 jours maintenant, je ne m'en plains pas

 

J'attendais d'avoir une nouvelle alerte pour te donner l'adresse exacte de la page internet en question, mais pour l'instant Antivir se tient tranquille...

Ceci peut-être dû tout simplement à une mise à jour de l'antivirus lui-même, une correction aurait été apportée au fichier de définition de virus... non ??

 

Dans la très grande majorité des cas, l'alerte incriminait le fichier fadwithlandingspot[1].js, et intervenait à l'ouverture d'une page du site yahoo sport (parfois la page d'accueil, le reste du temps un lien à partir de celle-ci).

 

Une recherche menée à l'instant par l'explorateur windows a trouvé pour seul résultat le fichier fadwithlandingspot.js (le nom diffère par le "[1]" juste avant l'extension) dans le Temporary Internet Files, l'icone correspondante est bien celle d'une page internet explorer.

 

En remontant au répertoire contenant ce fichier (accessible via clic droit sur le nom du fichier trouvé), j'arrive très normalement au dossier Temporary Internet Files, lequel contient entre beaucoup d'autres un fichier fadwithlandingspot.js (l'icône correspondante correspondant à Dreamweaver), de type JScript Script File, et correspondant à l'adresse internet suivante :

"http://eur.a1.yimg.com/java.europe.yahoo.com/eu/any/js/fadwithlandingspot.js"

 

Donc voilà quelques nouveaux éléments sur notre affaire... mais pour l'instant (je touche du bois ), l'affaire en question est en sommeil, ça me va très bien comme ça !!

 

Si ça t'inspire quelques commentaires, je suis preneur...

Bonne continuation, à+.

[tornado]

Re,

 

Merci pour les détails

 

Je ne sais quoi penser de la réaction d'Antivir à ce fichier Javascript...

 

En effet, c'est le seul antivirus qui reconnait ce fadwithlandingspot.js comme infectieux :

 

 

Complete scanning result of "fadwithlandingspot.js", received in VirusTotal at 06.26.2006, 19:53:26 (CET).

 

Antivirus Version Update Result

AntiVir 6.35.0.16 06.26.2006 HEUR/Exploit.HTML

Authentium 4.93.8 06.23.2006 no virus found

Avast 4.7.844.0 06.26.2006 no virus found

AVG 386 06.26.2006 no virus found

BitDefender 7.2 06.26.2006 no virus found

CAT-QuickHeal 8.00 06.26.2006 no virus found

ClamAV devel-20060426 06.26.2006 no virus found

DrWeb 4.33 06.26.2006 no virus found

eTrust-InoculateIT 23.72.49 06.25.2006 no virus found

eTrust-Vet 12.6.2275 06.26.2006 no virus found

Ewido 3.5 06.26.2006 no virus found

Fortinet 2.77.0.0 06.26.2006 no virus found

F-Prot 3.16f 06.23.2006 no virus found

Ikarus 0.2.65.0 06.26.2006 no virus found

Kaspersky 4.0.2.24 06.26.2006 no virus found

McAfee 4793 06.26.2006 no virus found

Microsoft 1.1481 06.25.2006 no virus found

NOD32v2 1.1625 06.26.2006 no virus found

Norman 5.90.21 06.26.2006 no virus found

Panda 9.0.0.4 06.26.2006 no virus found

Sophos 4.07.0 06.26.2006 no virus found

Symantec 8.0 06.26.2006 no virus found

TheHacker 5.9.8.165 06.26.2006 no virus found

UNA 1.83 06.26.2006 no virus found

VBA32 3.11.0 06.26.2006 no virus found

VirusBuster 4.3.7:9 06.25.2006 no virus found

 

 

 

Peut-être un faux positif... ce qui est sûr, c'est que je trouve aucune correspondance par Google.

 

Je pense qu'il faudrait mailer Antivir, ou poster sur leur forum... soit patient

 

 

A+

Modifié le 26 juin 2006 par tornado