Probleme spyware " adware.bho"

salut :

######## | XP _ Instal & recherche | #######


Telecharge et install UsbFix (de C_XX & Chiquitine29)

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau .

# Choisi l option 1 ( Recherche )

# Laisse travailler l outil.

# Ensuite post le rapport UsbFix.txt qui apparaitra.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

salut et merci voici le rapport :


############################## [ UsbFix V3.028 | Scan ]

# User : Propriétaire (Administrateurs) # CEDRIC
# Update on 02/06/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 13:40:35 | 04/06/2009

# AMD Athlon(tm) 64 Processor 4000+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : avast! antivirus 4.8.1335 [VPS 090603-0] 4.8.1335 [ Enabled | Updated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 29,29 Go (15,2 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque fixe local # 119,75 Go (105,35 Go free) [data] # NTFS

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\USBToolbox\Res.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\McAfee\SiteAdvisor\McSACore.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wudfhost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Registre Startup ]

HKCU_Main: "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
HKCU_Main: "Search Page"="http://www.google.com"
HKCU_Main: "Start Page"="http://google.cherche.us/"
HKCU_Main: "Window Title"="Windows Internet Explorer fourni par Yahoo!"
HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
HKLM_logon: "DefaultUserName"="Propri‚taire"
HKLM_logon: "AltDefaultUserName"="Propri‚taire"
HKLM_logon: "LegalNoticeCaption"=""
HKLM_logon: "LegalNoticeText"=""
HKLM_Run: avast!=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
HKLM_Run: USB Storage Toolbox=C:\Program Files\USBToolbox\Res.EXE
HKLM_Run: SoundMAXPnP=C:\Program Files\Analog Devices\Core\smax4pnp.exe
HKLM_Run: SoundMAX="C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
HKLM_Run: nwiz=nwiz.exe /install
HKLM_Run: NWEReboot=
HKLM_Run: NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
HKLM_Run: NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
HKLM_Run: NeroFilterCheck=C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
HKLM_Run: High Definition Audio Property Page Shortcut=HDAShCut.exe
HKLM_Run: Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
HKLM_Run: TkBellExe="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
HKLM_Run: SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
HKLM_Run: Ad-Watch=C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
HKCU_Run: EPSON Stylus DX6000 Series=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBIE.EXE /FU "C:\WINDOWS\TEMP\E_S91.tmp" /EF "HKCU"
HKCU_Run: CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
HKCU_Run: BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
HKCU_Run: SuperCopier2.exe=C:\Program Files\SuperCopier2\SuperCopier2.exe
HKCU_Run: swg=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

################## [ Fichiers # Dossiers infectieux ]


################## [ Registre # Clés Run infectieuses ]


################## [ Registre # Mountpoints2 ]

HKCU\...\Explorer\MountPoints2\{3776e7dc-6df5-11dd-824d-001bfcc91b38}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{3e1116d0-6144-11dc-95cd-001bfcc91b38}\Shell\Auto\Command
HKCU\...\Explorer\MountPoints2\{3e1116d0-6144-11dc-95cd-001bfcc91b38}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{97cc9bcf-616a-11dc-86e4-806d6172696f}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{af537893-f697-11dc-8074-001bfcc91b38}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{f0dd84e8-7cc8-11dc-be5c-001bfcc91b38}\Shell\Auto\Command
HKCU\...\Explorer\MountPoints2\{f0dd84e8-7cc8-11dc-be5c-001bfcc91b38}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{f0dd84e9-7cc8-11dc-be5c-001bfcc91b38}\Shell\Auto\Command
HKCU\...\Explorer\MountPoints2\{f0dd84e9-7cc8-11dc-be5c-001bfcc91b38}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{f63c9b76-2858-11de-850b-001bfcc91b38}\Shell\AutoRun\Command

################## [ ! Fin du rapport # UsbFix V3.028 ! ]

Desinstalles Ad-Aware

ensuite :


######## | Suppression | ########

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau

# choisi l option 2 ( Suppression )

# Ton bureau disparaitra et le pc redémarrera .

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

# Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


######### | Désinstallation | #######


# Double clic sur le raccourci UsbFix présent sur ton bureau

# Choisi l option Désinstaller ....

oui il se peut que ce soit long

ferme la fenetre du programme ,

ctrl + alt + sup

le gstionnaire des taches va s'ouvrir

cliques "Fichier" , "nouvelle tache" , puis tapes "explorer" et ok

Bonjour ,

Apparemment c'est encore un faux-positif : http://www.malwarebytes.org/forums/index.php?showtopic=16826

Et apparemment il n'y a pas de problèmes si les éléments trouvés comme infectés sont supprimés.

Voilà ce que l'administrateur du site a écrit : "This will be fixed in next update. In above cases, dword 5 is set which means these cookies are blocked. mbam had problems with reading the dword correctly here and should only flag these if they were set to dword 1.
In either cases, no harm was done if you let mbam remove above that was found "

EDIT : j'avais oublié de dire "bonjour", ce qui ne m'arrive jamais à moi non plus, désolé !

Avragorn :

Bonjour tu connais pas ?

Bonjour gen-hackman,

Désolé, je suis quelqu'un de très poli, et j'ai oublié d'écrire "bonjour", emporté dans mon élan pour poster !

Je poste régulièrement, tu peux t'apercevoir que je suis toujours très poli !

Donc encore désolé pour cet oubli de politesse .

non ce n'est pas pour moi ,lol , mais pour le helpé :)

Re ,

Par-contre, ce qui m'inquiète, c'est que Cédric écrit que SPYBOT le trouve aussi !

Pourtant selon le forum de MALWAREBYTE'S ANTIMALWARE, c'est un faux positif ....

Et cela m'inquiète car il me les trouve aussi ( il les trouve à tout le monde ) .

on a peut etre un conficker qui sait ?

Tous les utilisateurs de MALWAREBYTE'S ANTIMALWARE seraient alors contaminés par conficker ! Mais je ne pense pas quand même, et sur le forum de l'anti-malware ils disent que c'est un faux-positif !

la seule protection actuelle sur mon pc est MBAM en résident

pas d'AV , pas de parefeu et MBAM ne m a jamais donné ce FP

je m'amuse avec Bagle , sans l ouvrir bien sur et pas de soucis pour l instant.
ma navig. est fluide , ca marche très bien

Tu as scanné aujourd'hui ?

Tu n'as pas forcément les éléments sur ton pc qui sont trouvés par MBAM :

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\bfast.com (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\commission-junction.com (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\fastclick.com (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\fastclick.net (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\linksynergy.com (Adware.BHO) -> Quarantined and deleted successfully.

Sur le forum officiel de MBAM ça s'est bien agité en tout cas, l'admin vient d'écrire qu'il vient de mettre à jour MBAM et qu'il faut donc retester après cette nouvelle mise à jour ( qui met du temps pour arriver , pour le moment elle n'est pas encore disponible ) .

A peine le temps de poster que la mise à jour MBAM était envoyée, donc je viens de mettre à jour MBAM et j'ai scanné et maintenant il ne trouve plus rien , nada, nothing !

Cédric : tu peux mettre à jour MBAM et re-rescanner et vois si ça te trouve encore l'infection .

Ce qui m'inquiète c'est pourquoi SPYBOT te l'a trouvé aussi ... es-tu sûr que c'était "Adware BHO" que Spybot a trouvé ?

ca n explique pas pourquoi usbfix2 n'a pas marché

Re bonjour Cédric :)

Tu me rassures car comme j'ai un ralentissement de mon pc, j'ai eu peur que le faux positif n'en soit pas un , si SPYBOT le détectait aussi !

Sinon, oui, moi j'ai toujours eu des problèmes avec la vaccination de SPYBOT, et même avec SPYBOT en général ( 3 heures pour un scan du pc !!!! ), moi j'ai laissé tomber, j'utilise MALWAREBYTE'S ANTIMALWARE en priorité.

Sinon pour usbfix, je ne sais pas pourquoi il bloque, mais j'ai déjà eu à faire à des programmes qui bloquaient sans pour autant que le pc soit infecté, donc .... peut-être un problème de surchauffe temporaire, un petit bug de usbfix .... ? Je ne suis pas expert, donc je n'ai jamais su expliquer pourquoi à certains moments les programmes bloquaient ( c'était souvent AD AWARE lors des mises à jour, j'y pense maintenant ) et à d'autres moments fonctionnaient parfaitement !

Bonne journée :)

- avragorn -

salut USBFix a ete mis à jour hier soir vire-le , et retelecharge-le puis refais l option 1