Adspy/dopewars made by Antivir 9

[Yarianlam]

suite du petit problème soulevé dans le topic Antivir9, http://forum.malekal.com/viewtopic.php? ... 76#p151976

et comme proposé par Doc PC ci joint le log HiJack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:29:07, on 30/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Electronic Arts\EADM\Core.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ZoneAlarm Spy Blocker BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Program Files\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKCU\..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/202
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDow ... eqlab2.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso ... 6564168281
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/stat ... DP-1.1.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {E1E73B44-2D20-47A9-9CA2-B534CEBBF856} (F-Secure Health Check 1.0) - http://support.f-secure.com/enu/home/on ... /fscax.cab
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6090 bytes

[johnyjohn]

Salut,

Rien à signaler dans ton rapport HijackThis.

Le mieux reste de suivre le conseil de Scales en envoyant le fichier à Avira Virus Lab et en selectionnant Supected False Positive (Not Malware) pour le "File Type". Tu recevras un rapport complet t'indiquant si c'est un faux positif ou un réel malware.
Voilà ce que dit le manuel pour la catégorie ADSPY d'ailleurs :
(Logiciel publicitaire/Logiciel espion (ADSPY) : Logiciel affichant de la publicité ou logiciel envoyant des informations personnelles de l'utilisateur à des tiers, le plus souvent sans son accord ou sans qu'il en ait connaissance et qui est donc éventuellement indésirable.)

[Malekal_morte]

Heu j'ai survolé l'autre topic, il parle de détection à 9 et 17... donc si c'est un faux positif y a quoi de se pendre.

C'est une détection ADSPY/ les spywares n'étant pas détectés sur la version 8 et ajoutés sur la version 9 donc forcément nouvelle détection sur ton système...

Maintenant faudrait copier/coller les détections avec le chemin...
Tu peux faire un scanner ou donner les alertes du guard stp.

[sioban]

Les fichiers semble différents, les hash MD5 étant différents.

De plus la taille du fichier en quarantaine qui ne renvoi pas d'alertes sur virustotal est plus gros.
Plus petit j'aurais compris : charge virale supprimée mais plus gros ?!?

Si tu scan ce fichier avec Avira il renvoi toujours une alerte ?

[Yarianlam]

Les fichiers semble différents, les hash MD5 étant différents.

De plus la taille du fichier en quarantaine qui ne renvoi pas d'alertes sur virustotal est plus gros.
Plus petit j'aurais compris : charge virale supprimée mais plus gros ?!?

Si tu scan ce fichier avec Avira il renvoi toujours une alerte ?

Désolé mais pour mon test sur le cryptage de la quarantaine, j'ai fait le test avec le même fichier, l'exe de 1,47Mo et sa quarantaine qui fait 1,47Mo.

D'autre part, depuis lors outre le fichier executable, tous les jours j'ai un fichier du System Volume Restoration qui fait déclencher le Guard et le scan. Or ces fichiers je ne peux pas les charger dans VT, donc je l'ai placé en quarantaine et scanné, ce doit être le second lien de l'autre topic, et donc effectivement le deuxième fichier est beaucoup plus léger. Mais vu le cryptage, mon test ne veut rien dire sur la nocivité du fichier du System Volume Restoration.

Pour répondre à la deuxième question, dès que le fichier sort de la quarantaine, le Guard s'alarme

[Yarianlam]

Heu j'ai survolé l'autre topic, il parle de détection à 9 et 17... donc si c'est un faux positif y a quoi de se pendre.

C'est une détection ADSPY/ les spywares n'étant pas détectés sur la version 8 et ajoutés sur la version 9 donc forcément nouvelle détection sur ton système...

Maintenant faudrait copier/coller les détections avec le chemin...
Tu peux faire un scanner ou donner les alertes du guard stp.

Désolé pour le retard de mon post mais j'étais en Wacances .. quant à de quoi se pendre, depuis l'install de la version 9 ... c'est à devenir chèvre

Bon depuis mon retour, j'ai un nouveau fichier du System Volume Restoration qui fait tiquer le Guard et le Scan.

Le scan du fichier DopeWars donne ça:
30/04/2009 23:56 [Scanner] Malware found
The file 'C:\Jeux\Dopewars\DopeWars.exe'
contained a virus or unwanted program 'ADSPY/DopeWars' [adware]
Action(s) taken:
The file was moved to '4a6a1ef8.qua'!

Le guard du 1er fichier SVR (depuis en quarantaine)
30/04/2009 21:58 [Scanner] Malware found
The file 'C:\System Volume
Information\_restore{B20420E2-16D7-4382-B9BE-94C6FE9AA52E}\RP234\A0030423.exe'
contained a virus or unwanted program 'ADSPY/DopeWars' [adware]
Action(s) taken:
The file was moved to '4a2a0313.qua'!

Le guard d'aujourd'hui sur un nouveau fichier SVR
08/05/2009 12:25 [Guard] Malware found
Virus or unwanted program 'ADSPY/DopeWars [adware]'
detected in file 'C:\System Volume
Information\_restore{B20420E2-16D7-4382-B9BE-94C6FE9AA52E}\RP235\A0030639.exe.
Action performed: Deny access

Bon je deviens chèvre car le petit fichier en question, je l'ai depuis 2003, il est passé sur plusieurs ordi depuis ... donc par plusieurs anti-virus(AVG 7, Antivir 8 et maintenant 9)/anti-malware (Adware, spybot, Malwarebyte's), je n'ai jamais eu de souci (pop-up, ralentissment, port ouvert ou autre), mais là .... un fichier qui est en place depuis mathusalem fait tilter 17 scans sur 42 de VirusTotal

[sioban]

Pour le fichier qui est dans la restauration, il faut désactiver la restauration, lancer un scan, puis la réactiver.

Tu peux soumettre le fichier à antivir pour voir si c'est un faux positif : http://analysis.avira.com/samples/?lang=fr

La quarantaine est exclue de scan sur tous les antivirus (excepté clamwin...)

Sinon les deux fichiers ayant un hash différent ils sont forcément différent (crypté pourquoi pas mais je ne vois pas l'interet)

[Yarianlam]

si tu fais référence aux deux liens VT que j'ai mis dans le même post du topic Antivir9, c'est normal que les deux sont différents car :

--> le premier est le scan d'un fichier exe de 1,47Mo
-- le deuxième est le scan de la quarantaine d'un fichier du System Volume Restoration qui ne fait pas tilter VT mais qui faisant tilter le Guard Antivir avec la même alerte (ADSPY/Dopewars) que le fichier exe

J'espère que ça résout le pb de hash (très drôle pour un problème de DopeWar)

[Yarianlam]

Le fameux fichier a bien été identifié comme Faux Positif par Avira:

http://analysis.avira.com/samples/detai ... tid=307010

Donc initialement, VirusTotal 9/32 alertes, puis le lendemain rebelotte 17/40 le détectent comme Malware, finalement une analyse fine d'Avira le déclare faux positif et pris en compte.

Malekal_morte a bien raison, il y a de quoi se pendre

Reste à vérifier ces fichiers journaliers du Volume System Restore, mais là je vais y aller à la hache, en suivant le topic de nettoyage.

[sioban]

[Malekal_morte]

The file 'C:\Jeux\Dopewars\DopeWars.exe'
contained a virus or unwanted program 'ADSPY/DopeWars' [adware]

C'est une détection spécial pour DopeWars quand même...

"DopeWars is supported by advertising from the GAIN Network ."
http://vil.nai.com/vil/content/v_131057.htm

J'vois l'genre...

GAIN Network c'est Gator etc... un vieux machin pourri d'il y a longtemps qui doit plus exister, voir :
http://en.wikipedia.org/wiki/Claria_Corporation