Starter infecté ?

shadoko38 · Février 13, 2008, 12:51

Bonjour

Je viens de faire un scan en ligne de l’ excellent logiciel starter avec ‘‘Virus total’’ qui me trouve une infection du type :

F-Secure 6.70.13260.0 2008.01.26 Trojan-Downloader:W32/Zlob.FHI.

Vérification faite sur les fichiers du site de l’ editeur et chez Clubic résultat idem…

la source est bien sur chez l’ éditeur.

        J' attends vos observations 

        Merci

AngeFMR · Février 13, 2008, 2:29

Bonjour

Fais nous parvenir un rapport d’HijackThis

shadoko38 · Février 13, 2008, 3:09

ci joint le rapport — restons en contact-- merci

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 15:05:28, on 13/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\System32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\CA\eTrust PestPatrol\PPActiveDetection.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\umonit.exe
C:\Program Files\Dexpot\dexpot.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\UnH Solutions\IE Privacy Keeper\IEPrivacyKeeper.exe
C:\Program Files\SpeedFan\speedfan.exe
C:\Program Files\YCIII\YankClip.exe
C:\Program Files\Bluetack\ProtoWall\ProtoWall.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\US\HJT2\HiJackThis_v2.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [nwiz] nwiz.exe /install
O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM…\Run: [eTrustPPAP] “C:\Program Files\CA\eTrust PestPatrol\PPActiveDetection.exe”
O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM…\Run: [UMonit] C:\WINDOWS\system32\umonit.exe
O4 - HKLM…\Run: [SDTray] “C:\Program Files\Spyware Doctor\SDTrayApp.exe”
O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU…\Run: [Dexpot 1.4] C:\Program Files\Dexpot\dexpot.exe
O4 - HKCU…\Run: [IE Privacy Keeper] “C:\Program Files\UnH Solutions\IE Privacy Keeper\IEPrivacyKeeper.exe” -startup
O4 - HKCU…\Run: [ProtoWall] C:\Program Files\Bluetack\ProtoWall\ProtoWall.exe
O4 - HKCU…\Run: [EssentialPIM] “C:\Program Files\EssentialPIM\EssentialPIM.exe” /autorun
O4 - Startup: speedfan.lnk = ?
O4 - Startup: Yankee Clipper III.lnk = C:\Program Files\YCIII\YankClip.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra ‘Tools’ menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O20 - Winlogon Notify: System Safety Monitor - C:\WINDOWS\SYSTEM32\SSMWinlogonEx.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service d’administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Desktop (Service_Desktop) - Unknown owner - (no file)
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

–
End of file - 4677 bytes

AngeFMR · Février 13, 2008, 3:45

Pas d’inquiétude, je n’irai pas bien loin

Concernant ton rapport, je ne vois rien d’alarmant, néanmoins tu peux fixer (FixCheched sur HJT) :

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O23 - Service: Desktop (Service_Desktop) - Unknown owner - (no file)

Ce que tu peux faire, c’est un scan d’Ad-aware[/url] ou [url=http://www.clubic.com/telecharger-fiche10965-spybot-search-destroy.html]Spybot ainsi que de ton anti-virus en Mode Sans Echec (F5 au démarrage), l’ensemble mis à jour; et balance tout ce qu’ils te trouvent

shadoko38 · Février 13, 2008, 4:52

Merci pour ta prompte réponse

Mais avant de faire les scan, je m’ explique :

j’ ai telechargé sur le site de l’ editeur le fichier zippé de l’ executable starter.exe , je le dézippe sur le bureau et je le soumet directement à un scan en ligne qui me trouve un malware trouvé par F-sécure (voir ci dessus)

J’ en déduit que c’ est le fichier de l’ éditeur qui est contaminé

Essaye de faire comme moi sans , bien entendu, l’ exécuter, tu devrais à mon avis constater que c’est le fichier lui même qui est
contaminé

Le site de Virus Total recommandé par assiste.com http://www.virustotal.com/fr/

a+
Edité le 13/02/2008 à 16:55

proximodu51 · Février 13, 2008, 5:15

Combien d’antivirus detectent le programme Starter comme infecté ?
Si c’est juste deux ou trois sur la totalité, y a des questions a se poser ! Faux positif ???
Je regarde toujours les résultats d’AVG, d’Antivir, de Bit def, Kaspersky et Nod32 ! Si ceux ci ne detectent rien…y a 98% pour que ca soit une fausse alerte !

shadoko38 · Février 13, 2008, 7:14

ok merci

Kahn-San · Février 13, 2008, 8:10

j’ai déjà eu ce probleme, il semble que ce soit bien un faux positif, karspersky me le détectait positif il y a pas mal de temps, mais maintenant c’est OK, je pense que certains AV craignent juste une mauvaise utilisation du logiciel
Starter est un logiiel fiable, si ton av t’embete vraiment trop tu peux utiliser l’equivalent dans Spybot ou Ccleaner, qui auront le meme effet