MBAM et CCleaner : prise de bec

Bonjour tout le monde,

Apr=E8s avoir install=E9 Foxit Reader et PicPick sur Windows XP SP3, je m=
e=20
suis retrouv=E9 avec des barres d'outils toutes neuves autant que=20
compl=E8tement inutiles, ce qui fait que ma machine se tra=EEnait et qu'i=
l=20
n'=E9tait plus possible d'=E9couter du son.

=E7a m'=E9tait d=E9j=E0 arriv=E9, alors on m'a montr=E9 la route, j'ai do=
nc lanc=E9=20
ZHP, Ad Remover, MBAM, au passage les sons syst=E8me se sont retrouv=E9s =

muets un temps, CCleaner me les a remis en fonction. Il a encore fallu=20
nettoyer un peu le d=E9marrage =E0 la main sous autoruns, et le son =E9ta=
it de=20
nouveau correct. J'ai relanc=E9 MBAM par acquit de conscience.

En analyse rapide il m'a dit que tout allait bien.

Puis j'ai lanc=E9 une analyse compl=E8te, l=E0 il m'a signal=E9 un cheval=
de=20
Troyes dans le r=E9pertoire de t=E9l=E9chargements, dans=20
pctuto_01net_ccleaner.exe, t=E9l=E9charg=E9 le 13 juin de=20
http://soft.telecharger.com/pctuto_01net_ccleaner.exe

Alors, j'ai lanc=E9 Trend Micro House Call, antivirus en ligne du site=20
secuser.com, qui ne m'a rien trouv=E9. Il faut pr=E9ciser que MBAM m'a mi=
s=20
le fichier en quarantaine.

Voil=E0 le compte-rendu :
Files Infected:
c:\documents and settings\all=20
users\documents\t=E9l=E9chargements\pctuto_01net_ccleaner.exe=20
(Trojan.Eorezo) -> Quarantined and deleted successfully.

Ah oui, on emprisonne d'abord, et ensuite on zigouille. Z'ont entendu=20
parler de la convention de Gen=E8ve ? :)


J'ai mis un peu de temps =E0 r=E9aliser ce qui s'est pass=E9, puisque les=
=20
zones de d=E9marrage auraient d=FB =EAtre infect=E9es aussi. Ah oui mais =
il y a=20
eu un passage de MBAM hier, d=E9j=E0, o=F9 j'ai =E9t=E9 moins attentif au=
=20
compte-rendu.

Dans la zone de quarantaine il y a une entr=E9e, mais en fait elle ne=20
concerne pas le r=E9pertoire de t=E9l=E9chargement :
Vendeur : PUM.Hijack.StartMenu
Date : 27/11/2011
Cat=E9gorie : registry data
El=E9ment :=20
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Adva=
nced\StartMenuLogoff\1\0


On dirait que MBAM a effac=E9 le virus, en deux fois (la premi=E8re fois =

dans la zone de d=E9marrage, donc l=E0 o=F9 il =E9tait le plus dangereux,=
la=20
deuxi=E8me fois dans le r=E9pertoire de t=E9l=E9chargement), et que =E7a =
explique=20
que l'antivirus en ligne ensuite n'a rien trouv=E9.

Bon, maintenant, quelle est la conduite =E0 tenir ? J'imagine que depuis =

le mois de Juin on a eu le temps d'alerter le serveur ? Mais sait-on=20
jamais ... Et =E7a serait bien de savoir =E0 quelle date le probl=E8me a =
=E9t=E9=20
corrig=E9, que chacun puisse savoir si il est concern=E9 selon la date de=
=20
son t=E9l=E9chargement. A demander au serveur ? Mais aussi bien peut-=EAt=
re=20
quelqu'un ici est d=E9j=E0 au courant ?

Je signale que tout ce temps-l=E0 Avast a dit tout va bien, Spyware=20
Terminator a de temps =E0 autre trouv=E9 des intrus =E0 =E9liminer, mais =
pas l=E0.=20
Comme pare-feu il y a Online Armor. ClamAV, l'antivirus fourni avec=20
Spyware Terminator, n'est pas actif en permanence car avec Avast =E7a=20
risquerait de faire beaucoup, mais il a bien d=FB =EAtre lanc=E9 une fois=
, cet=20
=E9t=E9. Faux positif, de la part de MBAM ?

Faudrait-il que je regarde si j'ai une trace dans mes sauvegardes, qu'on =

en ait le c=9Cur net ?