MBAM et CCleaner : prise de bec
Le
Gloops
Bonjour tout le monde,
Après avoir installé Foxit Reader et PicPick sur Windows XP SP3, je m=
e
suis retrouvé avec des barres d'outils toutes neuves autant que
complètement inutiles, ce qui fait que ma machine se traînait et qu'i=
l
n'était plus possible d'écouter du son.
ça m'était déjà arrivé, alors on m'a montré la route, j'ai do=
nc lancé
ZHP, Ad Remover, MBAM, au passage les sons système se sont retrouvés =
muets un temps, CCleaner me les a remis en fonction. Il a encore fallu
nettoyer un peu le démarrage à la main sous autoruns, et le son éta=
it de
nouveau correct. J'ai relancé MBAM par acquit de conscience.
En analyse rapide il m'a dit que tout allait bien.
Puis j'ai lancé une analyse complète, là il m'a signalé un cheval=
de
Troyes dans le répertoire de téléchargements, dans
pctuto_01net_ccleaner.exe, téléchargé le 13 juin de
http://soft.telecharger.com/pctuto_...leaner.exe
Alors, j'ai lancé Trend Micro House Call, antivirus en ligne du site
secuser.com, qui ne m'a rien trouvé. Il faut préciser que MBAM m'a mi=
s
le fichier en quarantaine.
Voilà le compte-rendu :
Files Infected:
c:\documents and settings\all
users\documents\téléchargements\pctuto_01net_ccleaner.exe
(Trojan.Eorezo) -> Quarantined and deleted successfully.
Ah oui, on emprisonne d'abord, et ensuite on zigouille. Z'ont entendu
parler de la convention de Genève ? :)
J'ai mis un peu de temps à réaliser ce qui s'est passé, puisque les=
zones de démarrage auraient dû être infectées aussi. Ah oui mais =
il y a
eu un passage de MBAM hier, déjà, où j'ai été moins attentif au=
compte-rendu.
Dans la zone de quarantaine il y a une entrée, mais en fait elle ne
concerne pas le répertoire de téléchargement :
Vendeur : PUM.Hijack.StartMenu
Date : 27/11/2011
Catégorie : registry data
Elément :
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Adva=
nced\StartMenuLogoff\1\0
On dirait que MBAM a effacé le virus, en deux fois (la première fois =
dans la zone de démarrage, donc là où il était le plus dangereux,=
la
deuxième fois dans le répertoire de téléchargement), et que ça =
explique
que l'antivirus en ligne ensuite n'a rien trouvé.
Bon, maintenant, quelle est la conduite à tenir ? J'imagine que depuis =
le mois de Juin on a eu le temps d'alerter le serveur ? Mais sait-on
jamais Et ça serait bien de savoir à quelle date le problème a =
été
corrigé, que chacun puisse savoir si il est concerné selon la date de=
son téléchargement. A demander au serveur ? Mais aussi bien peut-êt=
re
quelqu'un ici est déjà au courant ?
Je signale que tout ce temps-là Avast a dit tout va bien, Spyware
Terminator a de temps à autre trouvé des intrus à éliminer, mais =
pas là.
Comme pare-feu il y a Online Armor. ClamAV, l'antivirus fourni avec
Spyware Terminator, n'est pas actif en permanence car avec Avast ça
risquerait de faire beaucoup, mais il a bien dû être lancé une fois=
, cet
été. Faux positif, de la part de MBAM ?
Faudrait-il que je regarde si j'ai une trace dans mes sauvegardes, qu'on =
en ait le cur net ?
Après avoir installé Foxit Reader et PicPick sur Windows XP SP3, je m=
e
suis retrouvé avec des barres d'outils toutes neuves autant que
complètement inutiles, ce qui fait que ma machine se traînait et qu'i=
l
n'était plus possible d'écouter du son.
ça m'était déjà arrivé, alors on m'a montré la route, j'ai do=
nc lancé
ZHP, Ad Remover, MBAM, au passage les sons système se sont retrouvés =
muets un temps, CCleaner me les a remis en fonction. Il a encore fallu
nettoyer un peu le démarrage à la main sous autoruns, et le son éta=
it de
nouveau correct. J'ai relancé MBAM par acquit de conscience.
En analyse rapide il m'a dit que tout allait bien.
Puis j'ai lancé une analyse complète, là il m'a signalé un cheval=
de
Troyes dans le répertoire de téléchargements, dans
pctuto_01net_ccleaner.exe, téléchargé le 13 juin de
http://soft.telecharger.com/pctuto_...leaner.exe
Alors, j'ai lancé Trend Micro House Call, antivirus en ligne du site
secuser.com, qui ne m'a rien trouvé. Il faut préciser que MBAM m'a mi=
s
le fichier en quarantaine.
Voilà le compte-rendu :
Files Infected:
c:\documents and settings\all
users\documents\téléchargements\pctuto_01net_ccleaner.exe
(Trojan.Eorezo) -> Quarantined and deleted successfully.
Ah oui, on emprisonne d'abord, et ensuite on zigouille. Z'ont entendu
parler de la convention de Genève ? :)
J'ai mis un peu de temps à réaliser ce qui s'est passé, puisque les=
zones de démarrage auraient dû être infectées aussi. Ah oui mais =
il y a
eu un passage de MBAM hier, déjà, où j'ai été moins attentif au=
compte-rendu.
Dans la zone de quarantaine il y a une entrée, mais en fait elle ne
concerne pas le répertoire de téléchargement :
Vendeur : PUM.Hijack.StartMenu
Date : 27/11/2011
Catégorie : registry data
Elément :
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Adva=
nced\StartMenuLogoff\1\0
On dirait que MBAM a effacé le virus, en deux fois (la première fois =
dans la zone de démarrage, donc là où il était le plus dangereux,=
la
deuxième fois dans le répertoire de téléchargement), et que ça =
explique
que l'antivirus en ligne ensuite n'a rien trouvé.
Bon, maintenant, quelle est la conduite à tenir ? J'imagine que depuis =
le mois de Juin on a eu le temps d'alerter le serveur ? Mais sait-on
jamais Et ça serait bien de savoir à quelle date le problème a =
été
corrigé, que chacun puisse savoir si il est concerné selon la date de=
son téléchargement. A demander au serveur ? Mais aussi bien peut-êt=
re
quelqu'un ici est déjà au courant ?
Je signale que tout ce temps-là Avast a dit tout va bien, Spyware
Terminator a de temps à autre trouvé des intrus à éliminer, mais =
pas là.
Comme pare-feu il y a Online Armor. ClamAV, l'antivirus fourni avec
Spyware Terminator, n'est pas actif en permanence car avec Avast ça
risquerait de faire beaucoup, mais il a bien dû être lancé une fois=
, cet
été. Faux positif, de la part de MBAM ?
Faudrait-il que je regarde si j'ai une trace dans mes sauvegardes, qu'on =
en ait le cur net ?
Poser une question
...
...
Bonjour Gloops.
Pctuto ne jouit pas d'une très bonne réputation. Voir, entre autres :
http://www.malekal.com/?s=pctuto
Il y a deux règles à respecter pour limiter les risques au
téléchargement d'un logiciel :
1) Ne télécharger QUE des logiciels connus et ayant une bonne cote.
2) Ne les télécharger QUE sur le site de l'éditeur.
En l'occurrence, MBAM a bien fait son travail ; à voir maintenant si la
cochonnerie ne réapparaitra pas... Auquel cas, il faudra utiliser les
outils "qui vont bien". Le site de malekal est très utile pour aider à
se débarrasser de toute cette "vermine".
Bon courage et cordialement,
Papy Michel
En effet, je vois que le problème n'est pas neuf.
Alors pour ma part, je dois dire que je n'ai pas de répertoire
C:Program FilesPCTuto
mais je dois bien dire que depuis Juin, j'ai oublié les questions posé es
par SpywareTerminator, et les réponses que j'y ai fournies.
En dehors de cela, si j'ai bien lu, le programme installé n'est pas
touché, il y a juste un élément véreux ajouté dans le démarra ge de la
machine, donc une fois le ménage fait par MBAM je peux laisser CCleaner ?
Apparemment il va falloir que je relise cette page tranquillement. Je ne
suis pas sûr d'avoir fait le tour de la question avec ça : on parle d e
logiciel de pub, or si j'en crois ce que m'a dit MBAM je me suis
retrouvé avec un cheval de Troyes, ce qui n'est pas la même catégor ie.
C'est un peu comme si on comparait quelqu'un qui vient bourrer de papier
les boîtes aux lettres, peu recommandable certes, avec quelqu'un qui
pose des micros dans les habitations pour préparer un cambriolage. Il y
en a quand même un dont les agissements sont plus graves que ceux de
l'autre.
Salut, un cheval de troyes, c'est juste un malware dissimulé dans un
logiciel "normal", ça indique le mode d'infection mais pas l'action du
malveillant. Dans ton cas un programme publicitaire bien connu
Je n'avais pas vu que tu avais multiposté
Voir réponse dans os.ms-windows
Herser
J'ai vu.
Multiposté, euh, si on veut ...
Dans le groupe os.ms-windows, j'ai juste fait une pub pour ce fil-ci.
C'est vrai d'ailleurs qu'elle a attiré plus de réponses elle-même q ue
celui-ci. Peut-être n'ai-je pas été clair. C'est d'ailleurs ce qu'o n
peut croire quand on voit quelqu'un dire "yaka télécharger depuis
telecharger.com", vu que c'est le site d'où venait le téléchargemen t qui
a suscité la discussion.