Venir à bout de TagASaurus ? Comment ? - Un spyware particulier

coudon · Novembre 6, 2006, 12:36

Mon Spybot search & destroy me trouve un truc appelé TagASaurus.

Il m’avait trouvé la même chose et, dans le résultat du scan j’avais coché cet item et avait cliqué sur Corriger le problème.
Sauf qu’il réapparaît dans le résultat du scan d’aujourd’hui.

Je me rends compte moi-même du symtôme "TagASaurus, car l’ouverture de mes fenêtres (notamment de pages web) devient soudainement laborieuse.
J’ai passé un coup de CCleaner, alors je ne sais pas si ça l’a effacé.
Il y a notamment dans CCleaner - section “Avancé” - une case à cocher possible s’appelant “Désinstallateurs de Hotfixes”, peut-être devrais-je l’activer avant d’effectuer le scan dans Spybot ? Est-ce un risque que de cocher cette case ?

Dans CCleaner, j’ai également utilisé l’outil de vérification des erreurs existant dans le Registre et ai ensuite supprimé ces erreurs (tout en ayant effectué une sauvegarde avant).

Sinon, j’ai également en main la toute dernière version de l’utilitaire hijackthis, je pourrais donc montrer ce que ce dernier a trouvé en me servant du fichier log, si quelqu’un peut mieux m’aider comme ça.

[b]Le résultat de Ad-aware donne deux trucs à supprimer.

L’un est un Tracking Cookie installé par un site appelé Weborama.
L’autre est une RegData de Windows, que ad-aware entre dans la catégorie “Vulnerability”. J’ai l’impression que ce dernier et TagASaurus ne font qu’un (?).

Le résultat, dans le journal d’ad-aware, se présente comme suit: [/b]
[color=red]Windows Objet reconnu !
Type : RegData
Données :
Notation TAC : 3
Catégorie : Vulnerability
Commentaire :
Rootkey : HKEY_USERS
Objet : S-1-5-21-1417001333-152049171-1060284298-1004\software\policies\microsoft\internet explorer\control panel
Valeur : Homepage [/color]

hck666 · Novembre 6, 2006, 1:27

CA me dit quelque chose. Il me semble que je l’avais virer avec avg (version gratuite) essaye donc pour voir. Tu peux utiliser aussi le nouveaux anti-trojan d’ avg ^^

coudon · Novembre 6, 2006, 7:34

Voici le rapport après le scan de HijackThis

Logfile of HijackThis v1.99.1
Scan saved at 12:38:09, on 2006-11-06
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\dxwizard.exe
C:\WINDOWS\system32\dxcombin.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\netid.exe
C:\WINDOWS\system32\ole2.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\winser.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\system32\devldr32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\POURGRAVER\hijackthis_hijackthis_1.99.1_anglais_17891.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: (no name) - {CEDDA62B-5FBE-4AB2-AE2E-5E069F444444} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Movies Extractor Scout - {9B8479E1-E29B-462D-AF37-C024D801BAB9} - C:\Program Files\Movies Extractor Scout\flashextract.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {266B9238-31A5-4B53-9039-272FE846DF9D} (DiameterTransfer Control) - http://www.sis.com/download/SISTransfer.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/…b?1136615507189
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - “C:\PROGRA~1\MSNMES~1\msgrapp.dll” (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: DirectX common - Unknown owner - C:\WINDOWS\system32\dxwizard.exe
O23 - Service: DirectX multi version - Unknown owner - C:\WINDOWS\system32\dxcombin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Neth - Unknown owner - C:\WINDOWS\system32\netid.exe
O23 - Service: OLE multi config - Unknown owner - C:\WINDOWS\system32\ole2.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Win PPPe - Unknown owner - C:\WINDOWS\system32\winser.exe

–

Je me pose des questions, notamment pour ces choses-ci :

[/b]O3 - Toolbar: (no name) - {CEDDA62B-5FBE-4AB2-AE2E-5E069F444444} - (no file)
Que peut être cette barre de type "non name" ?

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -
[b]Dans celui-là, curieusement, on semble me suggérer de me débarrasser de mon outil de validation Guinine, alors que j’en ai besoin pour les mises à jour, non ?

Aussi ceux-là[/b]
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
je m’en méfie tout bonnement parce que ce que, de son côté, Lavasoft a trouvé des entrées qui, peut-être, sont la même chose et que voici:
obj[0]=RegData : S-1-5-21-1417001333-152049171-1060284298-1004\software\policies\microsoft\internet explorer\control panel “Homepage”
obj[1]=RegData : S-1-5-21-1417001333-152049171-1060284298-1004\software\policies\microsoft\internet explorer\restrictions “NoBrowserOptions”
Il se peut aussi que ces derniers trucs - trouvés par Lavasoft comme je disais - soient reliés à deux restrictions que j’ai activées dans Spybot concernant Internet Explorer, à savoir “Verrouiller le fichier Host en lecture seule, etc.” ET “Verrouiller la page de démarrage d’IE, etc.”
Sauf qu’il est étrange qu’un renforcement de la sécurité dans Spybot soit considéré par HijackThis comme un élément à supprimer ?

hck666 · Novembre 7, 2006, 3:33

http://www.anti-spyware-101.com/francais/remove-tagasaurus/
Puis c’est pas vraiment un truc méchant c juste chiant comme la pluspart des trojans