Spyware SaveNow

iena_1806_1_1 · Mars 5, 2005, 1:50

Décidemment j’ai pas de chance en ce moment.PAnda en ligne m’a détecté un spyware dans le registre Windows “SaveNow”

J’ai fait une recherche “save.exe” dans le registre,et j’ai trouvé ça de suspect : “SCRNSAVE.EXE” C:\WINDOWS\System32\logon.scr

Est-ce bien le spyware ?

westernunion · Mars 5, 2005, 2:21

Iena - j’ai vu que tu avais réglé ton dilemne avec MediaTicket - une chose est sûre avec Panda tu t’ennuies pas (slogan! détecté… :D)
pour moi c’est OK
SCRNSAVE.EXE" associé à—> C:\WINDOWS\System32\logon.scr
sûrement un faux-positif

Microsoft Logon Screensaver/
logon.scr is a process beloning to the Microsoft Windows Operating System and provides a screensaver during the login phase. This is a non-essential process. Disabling or enabling this is down to user preference
http://www.liutilities.com/products/wintaskspro/processlibrary/logon/

Screen saver executable name
http://www.microsoft.com/resources/documentation/Windows/2000/server/reskit/en-us/Default.asp?url=/resources/documentation/Windows/2000/server/reskit/en-us/regentry/93259.asp

Panda doit tiquer sur ce genre : Mabutu.A
Mabutu.A installe par ailleurs une porte dérobée contrôlée par IRC et se connecte à un canal parmi plusieurs dizaines afin de signaler la prise de contrôle de l’ordinateur infecté. Il tente enfin de se propager via KaZaA en se copiant dans le dossier partagé sous le nom SCRNSAVE.EXE.
http://www.secuser.com/alertes/2004/mabutua.htm
ou
Troj/AdClick
Troj/AdClick-Y ajoute dans la base de registre l’entrée suivante :
HKCU\Control Panel\Desktop\SCRNSAVE.EXE=“C:<Windows>\mile.scr”
http://www.sophos.fr/virusinfo/analyses/trojadclicky.html

autres trojans, etc etc…

iena_1806_1_1 · Mars 5, 2005, 2:58

Oulah,merci de ton aide,mais je comprends quedal …Que dois-je faire ?:honte:

iena_1806_1_1 · Mars 5, 2005, 3:06

Bon là je passe utilitaire de désinfection antiMatubu,je vais voir ce que sa donnera.

Si j’ai bien compris,SCRNSAVE.EXE" associé à—> C:\WINDOWS\System32\logon.scr n’a rien avoir avec ça ?

westernunion · Mars 5, 2005, 3:09

[:merlot] encoree ? va falloir investir dans un logiciel de traduction Iena, y’a pas!!!

Traducteur/online

iena_1806_1_1 · Mars 5, 2005, 3:15

Oui donc,ceci n’a rien à voir avec le Spyware c’est bien ça ?

iena_1806_1_1 · Mars 5, 2005, 3:21

Autre précision : Mabutu.A = Savenow ???

westernunion · Mars 5, 2005, 3:22

à 99.999% je dirais oui

ps : fait une ch’tite pause scan antivirus, tu vas virer neurasthénique

westernunion · Mars 5, 2005, 3:25

à 100% je dirais non! :whistle:

iena_1806_1_1 · Mars 5, 2005, 3:35

Humm …L’utilitaire n’a rien trouvé,pas de Matubu …

Rah comment j’peux virer Savenow alors ?J’ai passé un coup de Spybot d’adware et de microsoft anti-spyware en mode sans échec et ils ont trouvé quedal

iena_1806_1_1 · Mars 5, 2005, 3:50

En aucun cas il ne mange de la ressource …Je me demande encore si c’est un bug ou si je suis véritablement infecté.

Bon,je vais à la Fnac acheter ce fameux Kaspersky,on va bien voir ce que ça va donner

westernunion · Mars 5, 2005, 4:19

grrrr! faudrait savoir vraiment

“SaveNow” & “SCRNSAVE.EXE”/C:\WINDOWS\System32\logon.scr <-- soit c’est lié à une sauvegarde ou mot de passe session utilisateur des screens (wallpapers),… de ton XP
soit c’est savenow.exe et là c’est un spyware
http://www.liutilities.com/products/wintaskspro/processlibrary/savenow/

de quelle démarche ou infos tu pars quand tu cherches save.exe pour trouver SaveNow ??
http://www.liutilities.com/products/wintaskspro/processlibrary/save/

c’est le mm spyware au cas z’où savenow.exe ou save.exe = WhenU.com SpyWare

westernunion · Mars 5, 2005, 4:22

Bon,je vais à la Fnac acheter ce fameux Kaspersky,on va bien voir ce que ça va donner :oui: et reste calme au prochain scan … http://www.touslessmileys.com/smiley-id-489.gif

iena_1806_1_1 · Mars 5, 2005, 5:18

Quel simplicité ce Kaspersky,c’est hallucinant.Ca fait du bien de se sentir en protégé,ça change de AVG Free.

iena_1806_1_1 · Mars 6, 2005, 6:41

Désolé de t’emmerde une fois westernunion,mais j’aimerais juste une petite confirmation,à propos de ce panda de merde.

Récapitulons :

-J’ai vu sur le net que SaveNow avait des liens avec K**** lite. J’ai donc virer ce logiciel pourri ( il était temps ).J’ai même virer les fichiers PREFETCH qui servent à rien,et j’ai utilisé Reg Cleaner pour virer les dernières miettes de ce logiciel.

-J’ai acheté Kaspersky 5.0 : après moult scan,il ne m’a toruvé NADA,pas même un trojan ou un p’tit virus à la con,même en mode sans échec.

-J’ai passé Spybot et Ad Aware --> NADA

-J’ai passé d’innombrables scan en ligne : NADA

J’ai fait une recherche de tous les .EXE présents sur mon PC : aucun truc louche en relation avec les save.exe ou savenow.exe

Et comble du comble,PAnda en ligne est bien le SEUL à me trouver ce truc.Est-ce un autre bug ou …?

iena_1806_1_1 · Mars 6, 2005, 6:45

Logfile of HijackThis v1.99.1
Scan saved at 18:44:48, on 06/03/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
C:\Program Files\Microsoft Works\WksSb.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\Program Files\Crazy Browser\Crazy Browser.exe
C:\Program Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM…\Run: [OemReset] %systemroot%\OPTIONS\OEMRESET.EXE /AUDIT
O4 - HKLM…\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
O4 - HKLM…\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKLM…\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM…\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM…\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM…\Run: [IMJPMIG8.1] “C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE” /Spoil /RemAdvDef /Migration32
O4 - HKLM…\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM…\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM…\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM…\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [nwiz] nwiz.exe /install
O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM…\Run: [Zone Labs Client] “C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe”
O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKLM…\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU…\Run: [msnmsgr] “C:\Program Files\MSN Messenger\msnmsgr.exe” /background
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra ‘Tools’ menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll
O15 - Trusted Zone: *.musicmatch.com
O15 - Trusted Zone: *.musicmatch.com (HKLM)
O20 - AppInit_DLLs: PAVWAIT.DLL
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe

Rien de suspect non ?

westernunion · Mars 6, 2005, 6:47

je te l’ai dis au post (N° 247004) du 05-03-2005 à 14:21:52 (pétantes! ) - Panda doit tiquer sur le processus SCRNSAVE.EXE… lache l’affaire, tu n’as rien <-- :whistle:

westernunion · Mars 6, 2005, 6:53

nan! rien dans le log, c’est clean
puisque tu t’ennuies, mets donc ton OS à jour :lol:

Platform: Windows XP [barre]SP1[/barre] SP2
MSIE: Internet Explorer v6.00 [barre]SP1[/barre] SP2

iena_1806_1_1 · Mars 6, 2005, 6:53

C’est vrai …Franchement,merci énormément,ça fait vraiment plaisir de dialoguer avec des personnes comme toi.

:cimer:

iena_1806_1_1 · Mars 6, 2005, 6:53

Oulah nan …Je suis très bien le SP1