Malekal's forum

[100bugs]

Je me suis fait piéger sur un FAUX site officiel de Mozilla http://www.Mozilla.fr/ en téléchargeant le fichier du navigateur Firefox.
Le fichier (que j'ai installé) est plus gros que normal et il semble avoir installé un virus qui empêche le lecteur adobe flash sur les pages web de fonctionner correctement.

---- comportement ----
Après l'installation, la première vidéo FLASH écoutée était correcte et j'ai accidentellement fermé la page web.
J'ai rechargé la même page pour réécouter la même vidéo et la il n'y avait plus que de la pub et les boutons de contrôle étaient remplacés par du texte disant "Démarre dans xx sec". C'est ainsi depuis...

A noter que je n'utilise jamais ces lecteurs flash à cause de ma connection 56k trop lente alors il est peut-être possible que le virus était présent avant l'installation et attendait d'être activé par une première lecture flash. Est-ce possible?
----------------------

Un scan Hyjackthis fait 2 jours avant cette installation a permis de constater l'apparition d'une nouvelle ligne:

C:\Windows\SysWOW64\conime.exe

# Google est partagé sur la nécessité/nocivité de conime.exe (tout dépend où il est situé).
# Chez http://www.hijackthis.de/fr, on signale un problème parceque conime.exe << DOIT >> être dans SYSTEM32.
# Moi je ne sais par car sur vista x64, il arrive très souvent que des fichiers exe vont dans SysWOW64 au lieu de SYSTEM32 et l'analyseur en ligne n'a peut-être pas pris cela en compte.

En regardant dans l'ordi, j'ai constaté des choses qui sont inhabituelles pour moi mais qui sont peut-être normales pour Firefox.
Je ne connais pas Firefox alors je ne sais pas. C'est pourquoi j'aimerais que ceux qui ont Firefox comparent leur installation avec la mienne et me disent ce qu'il en est.

Si il y a des choses anormales, j'ai l'intention de désinstaller pour réinstaller Firefox avec le fichier d'origine mais avant de procéder je voudrais m'assurer qu'il n'y a pas de piège qui sera déclenché par la désinstallation.

Pour la désinfection, il n'y a pas d'urgence mais on pourra la faire tout de suite si une personne connaissante se présente.

Merci pour votre aide


Voici ce que mon fichier "louche" a installé:
----------------------------------------------------------
1- En faisant: Démarrer/Programmes/Mozilla Firefox, je vois 2 raccourcis pour démarrer 2 programmes:

Mozilla Firefox ..........................Cible: "C:/Program Files (x86)/Mozilla Firefox/firefox.exe"
Mozilla Firefox (Mode sans échec).....Cible: "C:/Program Files (x86)/Mozilla Firefox/firefox.exe" -safe-mode

Ca ne me semble pas dangereux sauf que c'est la première fois que je vois un raccourci démarrant en mode "sans échec".

2- Dans le panneau de désinstallation des programmes, il y a 2 occurences de Mozilla avec 2 icones différents:

Mozilla Firefox (3.0.4)................24.9 Mo (icone firefox)
Mozilla Firefox 3.0.4 Bonus Pack....76.0 Ko (icone différent) <=== SUSPECT

Je suis allé voir ce que le "bonus pack" contient...

3- Dans C:/Program Files (x86)/, il y a 2 dossiers Mozilla:

[Mozilla Firefox]
[Mozilla Firefox Bonus]

Voici le contenu du dossier [Mozilla Firefox Bonus] présenté sous forme d'arborescence:

[Mozilla Firefox Bonus]
....uninstall.exe ........55 Ko
....[Search Engine]
........opera6.ini......... 1 Ko
........prefs.js............ 1 Ko
........search.ini ......... 8 Ko
........xeoocom.xml ..... 3 Ko

On voit clairement que ce "Bonus pack" n'offre AUCUNE fonction que l'utilisateur peut utiliser à l'aide de raccourcis comme c'est le cas pour tout programme.

IL PEUT UNIQUEMENT ÊTRE DÉSINSTALLÉ... et çà m'apparaît louche!

Par contre les contenus de opera6.ini et search.ini m'apparaissent trop essentiels pour faire partie d'un "bonus pack".
Quant à "xeoocom", c'est la page par défaut (moteur de recherche) qui est venue avec l'application donc ca semble vouloir légitimiser le nom du fichier xeoocom.xml sauf que je doute que son nom change si je décide de changer de page par défaut.

opera6.ini contient:
------------------------------
[User Prefs]
Home URL=http://www.xeoo.com
------------------------------

search.ini contient:
------------------------------
Opera Preferences version 2.0
; Do not edit this file while Opera is running
; This file is stored in UTF-8 encoding

[Version]
File Version=10

[Search Engine 1]
Name= xeoo
URL=http://www.xeoo.com/?p=se&k=%s
Query=
Key=k
Is post=0
Has endseparator=0
Encoding=utf-8
Search Type=0
Verbtext=0
Position=-1

[Search Engine 2]
Name=
URL=http://www.google.com/search?q=%s&sourceid=opera&num=%i&ie=utf-8&oe=utf-8
Query=
Key=g
Is post=0
Has endseparator=0
Encoding=utf-8
Search Type=0
Verbtext=0
Position=-1
Nameid=17171

[Search Engine 3]
Name=
URL=http://yahoo.opera.com/search/?q=%s&fr=opera2
Query=
Key=y
Is post=0
Has endseparator=0
Encoding=utf-8
Search Type=0
Verbtext=0
Position=-1
Nameid=-1752296930

[Search Engine 4]
Name=
URL=http://www.answers.com/%s?nafid=3
Query=
Key=a
Is post=0
Has endseparator=0
Encoding=utf-8
Search Type=10
Verbtext=0
Nameid=69676
Position=-1

[Search Engine 5]
Name=
URL=http://www.amazon.com/exec/obidos/external-search?tag=opera-20&index=blended&keyword=%s
Query=
Key=z
Is post=0
Has endseparator=-1
Encoding=utf-8
Search Type=0
Verbtext=0
Nameid=69678
Position=-1

### Il y en a 36 comme çà!

Voici mon Hyjackthis
-------------------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:57:13, on 30/11/08
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe
C:\hp\support\hpsysdrv.exe
C:\Program Files (x86)\HP\HP Software Update\hpwuSchd2.exe
c:\Program Files (x86)\Common Files\Symantec Shared\ccSvcHst.exe
C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSTE08.exe
C:\hp\kbd\kbd.exe
C:\Windows\SysWOW64\conime.exe
C:\Program Files (x86)\Internet Explorer\IEUser.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Windows\SysWow64\Macromed\Flash\FlashUtil10a.exe
C:\Users\andré\Desktop\PROTECTION\HijackThis 2.0.2\TrendSecure (manufacturier)\EXTRAIT - HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE= ... on&pf=cndt
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE= ... on&pf=cndt
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE= ... on&pf=cndt
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: ::1 localhost
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files (x86)\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Program Files (x86)\Common Files\ReGet Shared\Catcher.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - c:\Program Files (x86)\Common Files\Symantec Shared\coShared\Browser\2.5\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~2\COMMON~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files (x86)\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files (x86)\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - c:\Program Files (x86)\Common Files\Symantec Shared\coShared\Browser\2.5\CoIEPlg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files (x86)\google\googletoolbar1.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\hp\support\hpsysdrv.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KbdStub.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files (x86)\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [ccApp] "c:\Program Files (x86)\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [CorelCorelDRAW10 Reminder] "C:\PROGRA~2\Corel\GRAPHI~2\Register\NAVBRO~1.EXE" /r /i "C:\PROGRA~2\Corel\GRAPHI~2\Register\NavLoad.ini"
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files (x86)\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Power2GoExpress] NA
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files (x86)\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Tous Télécharger par ReGet Pro - C:\Program Files (x86)\Common Files\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Télécharger avec ReGet &Pro - C:\Program Files (x86)\Common Files\ReGet Shared\CC_Link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~2\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~2\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra button: ReGet - {38AAF320-C5B4-11D1-B75E-111111111111} - C:\PROGRA~2\ReGet\ReGet.exe (HKCU)
O9 - Extra 'Tools' menuitem: &Re&Get - {38AAF320-C5B4-11D1-B75E-111111111111} - C:\PROGRA~2\ReGet\ReGet.exe (HKCU)
O13 - Gopher Prefix:
O16 - DPF: {459E93B6-150E-45D5-8D4B-45C66FC035FE} (get_atlcom Class) - http://apps.corel.com/nos_dl_manager_de ... Plugin.ocx
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7D7CBF8F-CF6E-48E1-B48F-FF29E5FFCA78}: NameServer = 206.222.68.10 206.222.68.130
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files (x86)\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Planificateur LiveUpdate automatique (Automatic LiveUpdate Scheduler) - Symantec Corporation - c:\Program Files (x86)\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Program Files (x86)\Common Files\InterVideo\DeviceService\DevSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files (x86)\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files (x86)\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - c:\Program Files (x86)\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - c:\Program Files (x86)\Common Files\Symantec Shared\VAScanner\comHost.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FLEXnet Licensing Service 64 - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files (x86)\HP Games\My HP Game Console\GameConsoleService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files (x86)\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: HP Chasis Button Service (HPBtnSrv) - Unknown owner - c:\hp\HPEZBTN\HPBtnSrv.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files (X86)\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - c:\Program Files (x86)\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - c:\Program Files (x86)\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Program Files (x86)\Common Files\Protexis\License Service\PsiService_2.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~2\COMMON~1\SYMANT~1\CCPD-LC\symlcsvc.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
O23 - Service: XAudioService - Unknown owner - C:\Windows\system32\DRIVERS\xaudio64.exe (file missing)

--
End of file - 11954 bytes

[Malekal_morte]

Salut,

Je n'ai pas regardé le contenu du fichier.
Je doute qu'il soit malicieux.

Par contre pour mozilla.fr

Code: Tout sélectionner

domain:      mozilla.fr
identified:  N
ref-id:      [INFORMATION NOT AVAILABLE]
holder:      Kelyo
address:     19, rue de l'Industrie
address:     38420 Domène
country:     FR
phone:       +33 6 75 03 42 38
e-mail:      contact@kelyo.com
admin-c:     EG357-FRNIC
tech-c:      RI14-FRNIC
zone-c:      NFC1-FRNIC
nsl-id:      NSL3088-FRNIC
liste-r:     N
mnt-by:      FR-NIC-MNT
mnt-lower:   FR-NIC-MNT
registrar:   INTERNET SARL
anniversary: 11/04
created:     05/05/2004
last-update: 11/04/2005
status:      ACTIVE
source:      FRNIC

ns-list:     NSL3088-FRNIC
nserver:     dns1.affiliate-program.org
nserver:     dns2.affiliate-program.org
dom-nb:      2296
source:      FRNIC

registrar:   INTERNET SARL
type:        Isp Option 1
liste-r:     O
registered:  07/05/2004
source:      FRNIC

role:        role internet
address:     Internet sarl
address:     4, rue Galvani
address:     75017 Paris
country:     FR
phone:       +33 4 76 89 54 12
fax-no:      +33 4 76 89 54 81
e-mail:      internet@extension.fr
admin-c:     EG183-FRNIC
tech-c:      EG183-FRNIC
nic-hdl:     RI14-FRNIC
mnt-by:      FRED
changed:     11/12/2004 internet@extension.fr
source:      FRNIC

person:      Eric Guiffault
address:     Kelyo
address:     19, rue de l'Industrie
address:     38420 Domène
country:     FR
phone:       +33 6 75 03 42 38
e-mail:      contact@kelyo.com
liste-r:     N
nic-hdl:     EG357-FRNIC
mnt-by:      FRED
changed:     02/08/2004 nic@nic.fr
source:      FRNIC

Ce Eric Guiffault aime bien squatter des domaines apparemment...
debian.fr : http://france.debian.net/lists-archives ... 00013.html
joystick.fr : http://www.geekzone.fr/ipb/index.php?showtopic=19902
autre : http://www.webmaster-hub.com/lofiversio ... 26971.html
et ;
http://whois.domaintools.com/lyad.com

Name Server: DNS1.AFFILIATE-PROGRAM.ORG (has 1,329 domains)

J'aime bien sur Lyad.com il se nomme plus Eric mais Jerome ...

[100bugs]

Merci Malekal,

Si tu penses que le fichier n'est pas malicieux alors c'est déjà une bonne nouvelle mais je me demande quand-même comment mon installation se compare aux autres... Je pense surtout à ce bonus pack.

Si c'est pas conventionnel et qu'il n'y a pas de risque à tout désinstaller alors je vais le faire et installer la vraie bête.

Que penses tu de mon problème avec flash et la pub qu'il affiche à la place de la vidéo demandée?
C'est sans doute un virus pas trop vicieux (et qui peut attendre) mais j'y connais rien en ce domaine...

C'est sur ce lien que j'ai découvert la chose mais c'est aussi le même problème ailleurs.
http://www.tqs.ca/videos/gauthier/2008/ ... -25151.php

Un scan online karspersky n'a rien révélé dans les fichiers installés.
Idem pour antivir gratuit (sans détection rootkit sur vista x64) autant en mode normal que sans échec mais dans ces 2 cas il y a plusieurs modules qu'il n'a pas scannés. Je ne sais pas si c'est révélateur...

Merci pour ton aide


Voici le log du scan en mode normal:
Remarques que les 4 détections concernent des fichiers déposés sur mon bureau.
Dans le cas de Corel, j'ai installé cette application et je crois qu'il s'agit de faux positifs.
Pour l'autre fichier, je ne l'ai pas installé et je le conserve pour des tests.
------------------------------------------------------
Avira AntiVir Personal
Report file date: 30 novembre 2008 16:17

Scanning for 1060765 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows Vista x64 Edition
Windows version: (Service Pack 1) [6.0.6001]
Boot mode: Normally booted
Username: SYSTEM
Computer name: PC-DE-ANDRÉ

Version information:
BUILD.DAT : 8.2.0.337 16934 Bytes 2008-11-18 13:05:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 2008-11-18 14:21:26
AVSCAN.DLL : 8.1.4.0 40705 Bytes 2008-05-26 13:56:40
LUKE.DLL : 8.1.4.5 164097 Bytes 2008-06-12 18:44:19
LUKERES.DLL : 8.1.4.0 12033 Bytes 2008-05-26 13:58:52
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 2008-10-27 17:30:36
ANTIVIR1.VDF : 7.1.0.56 411136 Bytes 2008-11-09 22:57:13
ANTIVIR2.VDF : 7.1.0.160 571392 Bytes 2008-11-30 21:07:29
ANTIVIR3.VDF : 7.1.0.161 2048 Bytes 2008-11-30 21:07:31
Engineversion : 8.2.0.36
AEVDF.DLL : 8.1.0.6 102772 Bytes 2008-10-14 16:05:56
AESCRIPT.DLL : 8.1.1.15 332156 Bytes 2008-11-11 20:00:07
AESCN.DLL : 8.1.1.5 123251 Bytes 2008-11-07 21:06:41
AERDL.DLL : 8.1.1.3 438645 Bytes 2008-11-04 19:58:38
AEPACK.DLL : 8.1.3.4 393591 Bytes 2008-11-11 15:41:39
AEOFFICE.DLL : 8.1.0.30 196986 Bytes 2008-11-07 21:06:41
AEHEUR.DLL : 8.1.0.71 1487222 Bytes 2008-11-07 21:06:41
AEHELP.DLL : 8.1.2.0 119159 Bytes 2008-11-29 06:47:49
AEGEN.DLL : 8.1.1.6 323955 Bytes 2008-11-29 06:47:37
AEEMU.DLL : 8.1.0.9 393588 Bytes 2008-10-14 16:05:56
AECORE.DLL : 8.1.5.2 172405 Bytes 2008-11-29 06:47:05
AEBB.DLL : 8.1.0.3 53618 Bytes 2008-10-14 16:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 2008-07-09 14:40:05
AVPREF.DLL : 8.0.2.0 38657 Bytes 2008-05-16 15:28:01
AVREP.DLL : 8.0.0.2 98344 Bytes 2008-07-31 18:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 2008-05-09 17:26:40
AVARKT.DLL : 1.0.0.23 307457 Bytes 2008-02-12 14:29:23
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 2008-06-12 18:27:49
SQLITE3.DLL : 3.3.17.1 339968 Bytes 2008-01-22 23:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 2008-06-12 18:49:40
NETNT.DLL : 8.0.0.1 7937 Bytes 2008-01-25 18:05:10
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 2008-06-12 19:48:07
RCTEXT.DLL : 8.0.52.0 86273 Bytes 2008-06-27 19:34:37

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files (x86)\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:, D:,
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: 30 novembre 2008 16:17

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'SearchFilterHost.exe' - '0' Module(s) have been scanned
Scan process 'SearchProtocolHost.exe' - '0' Module(s) have been scanned
Scan process 'ieuser.exe' - '1' Module(s) have been scanned
Scan process 'kbd.exe' - '1' Module(s) have been scanned
Scan process 'conime.exe' - '1' Module(s) have been scanned
Scan process 'hpqste08.exe' - '1' Module(s) have been scanned
Scan process 'unsecapp.exe' - '0' Module(s) have been scanned
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'CCSVCHST.EXE' - '1' Module(s) have been scanned
Scan process 'ehmsas.exe' - '0' Module(s) have been scanned
Scan process 'hpwuSchd2.exe' - '1' Module(s) have been scanned
Scan process 'hpsysdrv.exe' - '1' Module(s) have been scanned
Scan process 'hpqtra08.exe' - '1' Module(s) have been scanned
Scan process 'ehtray.exe' - '0' Module(s) have been scanned
Scan process 'sidebar.exe' - '0' Module(s) have been scanned
Scan process 'IAAnotif.exe' - '1' Module(s) have been scanned
Scan process 'rundll32.exe' - '0' Module(s) have been scanned
Scan process 'RAVCpl64.exe' - '0' Module(s) have been scanned
Scan process 'MSASCui.exe' - '0' Module(s) have been scanned
Scan process 'explorer.exe' - '0' Module(s) have been scanned
Scan process 'dwm.exe' - '0' Module(s) have been scanned
Scan process 'taskeng.exe' - '0' Module(s) have been scanned
Scan process 'rundll32.exe' - '0' Module(s) have been scanned
Scan process 'winlogon.exe' - '0' Module(s) have been scanned
Scan process 'csrss.exe' - '0' Module(s) have been scanned
Scan process 'symlcsvc.exe' - '1' Module(s) have been scanned
Scan process 'HPHC_Service.exe' - '0' Module(s) have been scanned
Scan process 'AluSchedulerSvc.exe' - '1' Module(s) have been scanned
Scan process 'ehrecvr.exe' - '0' Module(s) have been scanned
Scan process 'WmiPrvSE.exe' - '0' Module(s) have been scanned
Scan process 'ehsched.exe' - '0' Module(s) have been scanned
Scan process 'WUDFHost.exe' - '0' Module(s) have been scanned
Scan process 'XAudio64.exe' - '0' Module(s) have been scanned
Scan process 'SearchIndexer.exe' - '0' Module(s) have been scanned
Scan process 'svchost.exe' - '0' Module(s) have been scanned
Scan process 'svchost.exe' - '0' Module(s) have been scanned
Scan process 'sqlwriter.exe' - '0' Module(s) have been scanned
Scan process 'PsiService_2.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '0' Module(s) have been scanned
Scan process 'svchost.exe' - '0' Module(s) have been scanned
Scan process 'svchost.exe' - '0' Module(s) have been scanned
Scan process 'sqlservr.exe' - '1' Module(s) have been scanned
Scan process 'mdm.exe' - '1' Module(s) have been scanned
Scan process 'LSSrvc.exe' - '1' Module(s) have been scanned
Scan process 'IAANTmon.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'HPBtnSrv.exe' - '1' Module(s) have been scanned
Scan process 'DevSvc.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '0' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'CCSVCHST.EXE' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '0' Module(s) have been scanned
Scan process 'taskeng.exe' - '0' Module(s) have been scanned
Scan process 'svchost.exe' - '0' Module(s) have been scanned
Scan process 'svchost.exe' - '0' Module(s) have been scanned
Scan process 'SLsvc.exe' - '0' Module(s) have been scanned
Scan process 'audiodg.exe' - '0' Module(s) have been scanned
Scan process 'svchost.exe' - '0' Module(s) have been scanned
Scan process 'svchost.exe' - '0' Module(s) have been scanned
Scan process 'svchost.exe' - '0' Module(s) have been scanned
Scan process 'svchost.exe' - '0' Module(s) have been scanned
Scan process 'svchost.exe' - '0' Module(s) have been scanned
Scan process 'nvvsvc.exe' - '0' Module(s) have been scanned
Scan process 'svchost.exe' - '0' Module(s) have been scanned
Scan process 'lsm.exe' - '0' Module(s) have been scanned
Scan process 'lsass.exe' - '0' Module(s) have been scanned
Scan process 'services.exe' - '0' Module(s) have been scanned
Scan process 'wininit.exe' - '0' Module(s) have been scanned
Scan process 'csrss.exe' - '0' Module(s) have been scanned
Scan process 'smss.exe' - '0' Module(s) have been scanned
26 processes with 26 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!
Master boot sector HD1
[INFO] No virus was found!
[WARNING] System error [21]: Le périphérique n'est pas prêt.
[INFO] Please restart the search with Administrator rights
Master boot sector HD2
[INFO] No virus was found!
[WARNING] System error [21]: Le périphérique n'est pas prêt.
[INFO] Please restart the search with Administrator rights
Master boot sector HD3
[INFO] No virus was found!
[WARNING] System error [21]: Le périphérique n'est pas prêt.
[INFO] Please restart the search with Administrator rights
Master boot sector HD4
[INFO] No virus was found!
[WARNING] System error [21]: Le périphérique n'est pas prêt.
[INFO] Please restart the search with Administrator rights

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!
Boot sector 'D:\'
[INFO] No virus was found!

Starting to scan the registry.
The registry was scanned ( '38' files ).


Starting the file scan:

Begin scan in 'C:\' <HP>
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Program Files (x86)\Common Files\Symantec Shared\CCPD-LC\symlcrst.dll
[WARNING] The file could not be opened!
C:\Users\andré\Desktop\old PC\BUREAU\New Download\# Download terminé\Dart CD Recorder Plus 3.28 #corrompu#\°Prog Compressé\dartcd~1.001
[0] Archive type: RAR
--> AMSTREAM.EXE
[1] Archive type: RSRC
--> Object
[2] Archive type: CAB (Microsoft)
--> AMovie.exe
[WARNING] No further files can be extracted from this archive. The archive will be closed
C:\Users\andré\Desktop\old PC\BUREAU\New Download\Macromédia dreamweaver 3\Dr3disk1.EXE
[0] Archive type: OVL
--> Object
[1] Archive type: CAB SFX (self extracting)
--> \Disk1\data1.cab
[WARNING] No further files can be extracted from this archive. The archive will be closed
C:\Users\andré\Desktop\old PC\BUREAU\New Download\Macromédia dreamweaver 3\dream.zip
[0] Archive type: ZIP
--> Dr3disk1.EXE
[1] Archive type: OVL
--> Object
[2] Archive type: CAB SFX (self extracting)
--> \Disk1\data1.cab
[WARNING] No further files can be extracted from this archive. The archive will be closed
C:\Users\andré\Desktop\Prog Installés\_CorelDraw X4 + Keygen [blaze69]\CorelDraw X4 Keygen.rar
[0] Archive type: RAR
--> CorelDraw X4 Keygen.exe
[DETECTION] Is the TR/Keygen.FG Trojan
[WARNING] The file was ignored!
C:\Users\andré\Desktop\Prog Installés\_CorelDraw X4 + Keygen [blaze69]\EXTRAIT - CorelDraw X4 Keygen\CorelDraw X4 Keygen.exe
[DETECTION] Is the TR/Keygen.FG Trojan
[WARNING] The file was ignored!
C:\Users\andré\Desktop\Torrent DL\_Terminé\_NE PAS utiliser\WinRAR 3.80.1 with FULL CRACK! --Working 100%- Pollic\setup.exe
[0] Archive type: NSIS
--> [TempDir]/is166454.exe
[DETECTION] Is the TR/Vundo.Gen Trojan
--> [TempDir]/setup.exe
[DETECTION] Contains recognition pattern of the DR/Delphi.Gen dropper
[WARNING] The file was ignored!
Begin scan in 'D:\' <FACTORY_IMAGE>


End of the scan: 30 novembre 2008 17:25
Used time: 1:07:44 Hour(s)

The scan has been done completely.

36475 Scanning directories
1144046 Files were scanned
4 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
2 Files cannot be scanned
1144040 Files not concerned
7503 Archives were scanned
12 Warnings
0 Notes

[100bugs]

Bon, il y a du nouveau...

Je suis retourné sur cette même url pour réessayer et ca a donné ceci:
1- Au 1er essai, c'était OK.
J'ai alors fait une copie du code HTML de la page.

2- A la fin de la vidéo, j'ai fait F5 pour recharger la page et la j'ai vu de la pub à la place de la vidéo ainsi que sur la page web. J'ai aussi fait une copie du code HTML de cette page.

En comparant les 2 codes, j'ai vu que le code java du lecteur flash était différent et qu'il incluait de la pub.
J'ai donc laissé la vidéo se charger entièrement pour voir (dans mon cas c'est long à cause de ma connexion 56k).

La pub a joué un certain temps puis le bonne vidéo a débutée.

CONCLUSION
Aucun problème de mon côté...
C'est seulement ce réseau de télé qui nous pollue avec sa pub...
Quelle salopperie!

Pour le fichier Firefox, je vais me fier à ton intuition concernant sa propreté.
Je ne suis pas très connaissant mais d'après ce que je vois dans 2 des fichiers du bonus, j'ai l'impression que le bonus n'est rien de plus qu'un moteur de recherche présenté à la page par défaut du navigateur.

Si c'est bien le cas alors ce squatteur n'est pas brillant...
Se donner autant de mal pour offrir un produit sain et quasi identique à celui offert gratuitement par le manufacturier!

Honnêtement... J'ai de la difficulté à gober celà...
Il y a certainement un truc la dessous...

En tous cas, je te remercie et je ne peux que lever mon chapeau devant ton travail qui demande une vocation bien ancrée ainsi qu'une patience qui accepte d'être testée probablement plus souvent qu'à son tour...


Je continue donc à m'instruire en lisant tes nombreux articles.
Il y a aussi du bon matériel chez zebulon.

[Malekal_morte]

Ce qu'il faut voir aussi, c'est ça :

[Search Engine 1]
Name= xeoo
URL=http://www.xeoo.com/?p=se&k=%s
Query=
Key=k
Is post=0
Has endseparator=0
Encoding=utf-8
Search Type=0
Verbtext=0
Position=-1

Domain Name: XEOO.COM
Registrar: DOTREGISTRAR, LLC.
Whois Server: whois.dotregistrar.com
Referral URL: http://www.dotregistrar.com
Name Server: DNS1.AFFILIATE-PROGRAM.ORG
Name Server: DNS2.AFFILIATE-PROGRAM.ORG
Status: clientDeleteProhibited
Status: clientTransferProhibited
Status: clientUpdateProhibited
Updated Date: 09-apr-2008
Creation Date: 26-aug-2003
Expiration Date: 26-aug-2009

Registrant:
guiffault guiffault
BP 2
BP 2
uriage, france 38410
france

Registrar: DOTREGISTRAR
Domain Name: XEOO.COM
Created on: 26-AUG-03
Expires on: 26-AUG-09
Last Updated on: 08-APR-08

Administrative, Technical Contact:
, guiffault negociations@hotmail.com
BP 2
BP 2
uriage, france 38410
france
0476895412


Domain servers in listed order:
DNS1.AFFILIATE-PROGRAM.ORG
DNS2.AFFILIATE-PROGRAM.ORG

Il semble que par défaut, tu as le moteur de recherche de la même personne.
Super comme bonus.
D'autre part aucune info visible sur ce site quant à la confidentialité des données : enregistrement des recherche, possible qu'il l'envoit à des sociétés de marketting etc.
Aucune info...


Je n'ai tjrs pas installé le zinzin, car j'ai un prb avec ma VM et les autres sont occupées.

[100bugs]

OK alors j'attend que tu installes le zinzin et que tu m'en donnes des nouvelles... mais y'a pas le feu!

Pour ce moteur de recherche qui semble en regrouper 36, je ne suis pas acheteur. Jusqu'à présent, google a toujours satisfait mes besoins et en cas de panne, j'en ai plusieurs autres dans mon sac.

Concernant mon appréciation de Firefox (sans tenir compte de son aspect sécurité), il y a du pour et du contre:

1- Malheureusement, quand mon fournisseur internet me débranche, Firefox est incapable de se rebrancher et me laisse croire que la page est lente à charger. C'est chiant!

2- Par contre, j'ai voulu télécharger un certain fichier de zebulon avec IE7. Ça échouait tout le temps et un pop up s'ouvrait pour que j'entre des données pour me loguer sur un FTP mais cela aussi échouait. J'ai réessayé avec Firefox et il m'a tout de suite dit que le fichier n'était pas présent puis il m'a loggé lui même sur le FTP pour télécharger une version plus ancienne. Du gâteau!

J'aime aussi la façon qu'il gère les favoris...

[Malekal_morte]

Déjà t'as des restes de Norton.

Vas dans ajout/suppression de programmes du panneau de configuration.
Dans la liste, cherche tout ce qui peut porter le mot suivant et lance la désinstallation :
CC_ccProxyMSI
CC_ccStart
ccCommon
LiveReg (Symantec Corporation)
LiveUpdate (Symantec Corporation)
Tout ce qui porte le mot Symantec
Tout ce qui porte le mot Norton

[100bugs]

Pour norton, c'est normal car je ne l'ai pas encore viré. J'attend de lui trouver un remplaçant avant de lui botter le derrière.

Il s'agit de norton internet security 2008 venu avec mon nouvel ordi (impossible de le remettre si je l'enlève) et 60 jours de MAJ gratis (expiré depuis 1 mois +). J'ai désactivé son antivirus et installé antivir gratis. Donc, j'utilise encore son coupe feu pour le moment...

J'ai pas encore lu ton article à ce sujet mais pour l'instant j'ai kerio dans la tête ou peut-être G DATA 2009 (payant) pour l'ensemble antivirus et coupe feu. Ses 2 moteurs et sa détection "fingerprint" sont attrayants et semblent efficaces. J'ai lu que G DATA était gourmand mais j'ai un processeur quad et 6 Go de ram alors... I don't care!

L'inconnu pour G DATA est la rapidité d'inclusion des définitions des nouveaux virus dans les MAJ...
Cette info VITALE n'est jamais fournie par les manufacturiers... Grrr!
Ton avis STP?

[100bugs]

Salut Malekal

Je fais remonter ce sujet car il y a du nouveau concernant le fichier d'installation (setup.exe) de ce firefox bonifié téléchargé du faux site officiel: http://www.mozilla.fr/

Depuis quelques jours, antivir a commencé à réagir sur ce fichier (que je gardais sur le bureau) et dit qu'il contient le trojan TR/Drop.Bckdr.9.
À ton avis, c'est une vraie bestiole ou c'est un faux positif?
Si c'est une vraie bestiole, elle est dangereuse ou pas?

Je te rappelle que j'ai installé ce fichier trafiqué...

Je l'ai bien sûr désinstallé pour ensuite installer le vrai fichier mais si il contenait une bestiole alors je suis infecté et cela pourrait être l'explication aux problèmes mystérieux que j'ai avec mon PC.

Merci

[Malekal_morte]

Ca n'installe pas de backdoor.

[100bugs]

Dois-je conclure que c'est un faux positif?

[Malekal_morte]

Ca dépend....
C'est une version modifée de Firefox qui utilise un nom de domaine pour faire la promotion de leurs moteurs de recherches qui au final peux enregistrer certaines informations de rechercehs etc..
Encore une fois, c'est une attitude border line alors si un AV veux rajouter une détection dessus, c'est pas forcément un faux positif, tout dépend la politique de l'antivirus.

[100bugs]

C'est une version modifée de Firefox qui utilise un nom de domaine pour faire la promotion de leurs moteurs de recherches qui au final peux enregistrer certaines informations de rechercehs etc..

Donc, l'outil utilisé par ces gens pour "POSSIBLEMENT" enregistrer certaines informations de recherches serait signalé par antivir comme étant un backdoor bien qu'en réalité ce n'en est pas un mais plutôt autre chose?
Excuses-moi mais j'ai de la difficulté à comprendre...

Je comprend la politique de certaines compagnies de signaler des logiciels indésirables (ex: des keygenes) mais dans ce cas il est mentionné dans la description qu'il ne s'agit pas d'un virus mais d'un outil (not a virus, tool, etc). Cette politique est discuttable mais au moins elle est honnête envers l'utilisateur!

Dans le cas présent, on parle de backdoor sans plus de précisions (c'est pas de la petite bière) alors qu'en réalité il n'y en a pas (tu as testé). En plus, le lien "virus info" affiche qu'il n'y a aucune info sur cette description.

Cette info n'est pas fiable et je n'aime pas!
Si il s'agit d'un chat inoffensif alors je ne veux pas qu'on me le décrive comme étant un tigre féroce...
Antivir vient de tomber dans mon estime!

[Curson]

Bonsoir,

Antivir ne détecte plus le setup comme infectieux.

Code: Tout sélectionner

AntiVir    7.9.0.54    2009.01.11    -

Cordialement.

[Malekal_morte]

Je parlais l'enregistrement d'informations sur le moteur de recherches mis par défaut.