× Aidez la recherche contre le COVID-19 avec votre ordi ! Rejoignez l'équipe PC Astuces Folding@home
 > Tous les forums > Forum Sécurité
 ADW Cleaner, Vrais malveillants ou FP?Sujet résolu
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
secujac
  Posté le 26/04/2015 @ 13:18 
Aller en bas de la page 
Astucien

Bonjour à toutes et tous,

La dernière version de ADW Cleaner, la 4.202 trouve 3 choses "à supprimer"

Alors que la 4.201 ne me les signale pas.

Sont-ce des choses vraiment à supprimer, ou des FP de cette nouvelle version ???

Merci, bon dimanche.

Publicité
Sam58
 Posté le 26/04/2015 à 13:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Salut.

Presque pareil.

Certainement FP (pas de trace avec ZHPDiag)

Clé Trouvée : HKCU\Software\Local AppWizard-Generated Applications
Clé Trouvée : [x64] HKCU\Software\Local AppWizard-Generated Applications

Même supprimées, elles reviennent.

secujac
 Posté le 26/04/2015 à 14:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Sam58,

OK, pour l'instant je ne fais rien.

J'ai fait une image système ce matin, mais si je peux épargner à mon SSD une restauration pas indispensable...

J'attends de voir ce qui se dit au coin du bar...

Bon dimanche.

Labougie
 Posté le 26/04/2015 à 18:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour,

Je viens de parcourir très rapidement ce post, (ces derniers temps je suis assez occupé).

Bagle worm 2 & 3

A surveiller quand même. Mes mises à jours sont anciennes de 30 jours

labougie

secujac
 Posté le 26/04/2015 à 18:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonsoir Labougie,

Merci de m'avoir donc accordé un peu de ton temps.

Mais je n'ai pas trop compris, si ce n'est en suivant tes liens qu'ils parlent de worm (ver) et backdoor (porte dérobée)...

Donc, me conseilles-tu de supprimer ces entrées.

Je ne sais pas d'ou elles viennent.

Merci à toi.

El Magnifico
 Posté le 26/04/2015 à 18:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Je viens de faire deux scans, un avec Adwcleaner et il me trouve ces 2 clés, un avec ZHPcleaner qui lui ne trouve rien !

Je penche pour des FP avec Adwcleaner

Labougie
 Posté le 26/04/2015 à 18:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Si l'on regarde le lien threat expert

  • The following Registry Keys were created:
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{D7Dt42t1-3C3C-98B0-9378-Cfgkbu481D8B}
    • HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications
    • HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\
    • HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\ \Settings

Ces clés sont crées par le malveillant, donc quelque chose les y a crée (par déduction). Le tout étant de ce remémorer ce que tu as fais entre tes deux derniers scans adw ?

Te sachant un peu connaisseur, il faudrait aussi exporter cette clé

  • The newly created Registry Value is:
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{D7Dt42t1-3C3C-98B0-9378-Cfgkbu481D8B}]
      • StubPath = "%Windir%\system32:SVCH0ST.EXE"

pour voir si la valeur ci-dessus (malware) est dans ton pc, si c'est la cas, va falloir sortir la chiffonette et nettoyer.

Que dis ton antitruc, déjà?

labougie

Labougie
 Posté le 26/04/2015 à 19:01 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

El Magnifico a écrit :

Je viens de faire deux scans, un avec Adwcleaner et il me trouve ces 2 clés, un avec ZHPcleaner qui lui ne trouve rien !

Je penche pour des FP avec Adwcleaner

Salut,

Ces 2 outils, bien que très performant, peuvent effectivement produire des faux positifs, mais aussi des vrais négatifs.

Et ce n'est pas parce que Paul dit que, que Pierre doit dire la même chose, même si les 2 devs sont très performants. Un copiè collé hasardeux peut toujours se produire.

Raison pour laquelle, j'ai écris à surveiller bien que les malwares existent dixit les liens fournis.

labougie

secujac
 Posté le 26/04/2015 à 19:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Re

Les deux scans ont été faits à 3 minutes l'un de l'autre.

Quand ADW 4.202 a trouvé ces choses, j'ai immédiatement refait un scan avec ADW 4.201 qui ne les trouvait pas.

Exporter la clé, je ne comprends pas ce que ça implique ???

Publicité
secujac
 Posté le 26/04/2015 à 19:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Tous,

@Labougie, ci-dessous, mon journal d'activité de ces derniers jours.

En rouge, les images système ...

Mais j'envisage de faire demain une restauration au 14 avril, et je contrôlerai après chaque étape/réinstallation.

Labougie
 Posté le 26/04/2015 à 20:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Avant de te lancer dans une restauration qui pourrait être inutile, regarde ce lien

https://forum.pcastuces.com/sujet.asp?f=25&s=73761

cela peut aider sur la santé de la machine.

labougie

secujac
 Posté le 26/04/2015 à 20:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Re Bonsoir,

Je viens de faire une restau au 12 avril, et ADW 4.02 trouve de nouveau ces 3 lignes.

J'ai peut-être une idée:

Le 11 avril, j'ai installé Samsung Smart Switch, après quoi ADW 4.201 avait trouvé plusieures lignes que j'avais effacé.

Comme à l'époque avec Samsung Kies, ADW a toujours trouvé des trucs douteux après l'install de logs samsung.

Donc, je vais après le miam restaurer une image faite avant l'install de Samsung Smart Switch, cela me parait intéressant pour éventuellement localiser

l'origine de ces p'tites choses...

Donc, je lance la restauration, je me restaure aussi un peu et je reviens vous dire .

Merci, à +

Le Guermeur
 Posté le 26/04/2015 à 20:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Un FP de plus parmi d'autres(extensions chrome, Profil FF....)

Clé Trouvée : HKCU\Software\Local AppWizard-Generated Applications
Clé Trouvée : [x64] HKCU\Software\Local AppWizard-Generated Applications ........sur mes 2 PC

Virus Total :https://www.virustotal.com/fr/file/f63ca0d1e9d77eb805b41ef9063feccea8d90d1e24283f42f619b4d11eefc9c1/analysis/1430073278/ NEGATIF 0/57

ZHP Cleaner négatif outre ZHP Diag...MBAM... et comme le dit SAM58:
Même supprimées, elles reviennent......................ce qui est un critère!



Modifié par Le Guermeur le 26/04/2015 20:51
Labougie
 Posté le 26/04/2015 à 21:06 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Cette clé n'est pas présente chez moi

labougie

secujac
 Posté le 26/04/2015 à 21:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonsoir tous, bienvenue ici le Guermeur,

@Le Guermeur, merci pour tes infos, donc si je comprends bien pas de danger.

J'ai fait une restau au 9 avril, et ADW 4.202 y trouve également les mêmes lignes, donc elles ne viennent pas de Samsung Smart Switch que j'ai installé le 11.

Le fait d'avoir fait une restauration n'est pas un problème, j'en fais régulièrement quand tout va bien, cela me permet de supprimer des images, afin de récupérer de la place sur mes supports ... pour en faire d'autres.

Donc, ce sont des FP, cela me rassure.

@La Bougie, je vais quand même faire une analyse sur Eset, ça ne mange pas de pain...

Alors il me semble que le cas est réglé... Non ?

Je n'ai plus qu'à faire les Màj diverses et installer une imprimante et tout sera parfait, parfaitement parfait.

Br_Fr
 Posté le 26/04/2015 à 21:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

bonsoir à tous

cette clé:

Key Found : HKCU\Software\Local AppWizard-Generated Applications

Adwcleaner 2.401 me l'a trouvée le 21 avril, et je l'ai signalé ici:

https://forum.pcastuces.com/sujet.asp?f=25&s=74673

ne l'a pas trouvé le 23 et la version 4.202 me l'a trouvée le 24.......je n'ai pas supprimée...

Le Guermeur
 Posté le 27/04/2015 à 08:14 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

AppWizard-Generated Applications est un système d'exploitation Microsoft® Windows® et est développé par Microsoft Corporation SI infecté par un virus il consomme beaucoup de CPU ou mémoire....voir gestionnaire des tâches éventuellement si présent



Modifié par Le Guermeur le 27/04/2015 08:16
Publicité
Ekalb
 Posté le 27/04/2015 à 10:23 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Bonjour,

Source probable: http://processchecker.com/file/Local%20AppWizard-Generated%20Applications.exe.html



Modifié par Ekalb le 27/04/2015 10:23
Br_Fr
 Posté le 27/04/2015 à 11:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne
Le Guermeur a écrit :

AppWizard-Generated Applications est un système d'exploitation Microsoft® Windows® et est développé par Microsoft Corporation SI infecté par un virus il consomme beaucoup de CPU ou mémoire....voir gestionnaire des tâches éventuellement si présent

Le Guermeur

je ne le vois pas dans le Gestionnaire des tâches en ce moment mais je vais surveiller...

secujac
 Posté le 27/04/2015 à 22:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonsoir br fr,

C'est impressionnant que ADW 4.201 t'ait signalé ce truc.

Chez moi, ADW 4.201 ne me l'a jamais signalé, c'est la première analyse avec ADW 4.202 qui l'a révélé.

Je conserve toujours pendant quelques jours l'avant dernière version des logs portables, pour pouvoir faire des comparaisons.

Aujourd'hui encore, la 4.201 ne l'annonce pas, et la 4.202 le signale.

Pour l'instant, je ne les ai pas effacés, il me semble, d'après les commentaires plus haut que ce sont des Faux Positifs.

Mais je reste à l'affût d'autres remarques.

Bonne soirée.

Br_Fr
 Posté le 28/04/2015 à 07:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne
secujac a écrit :

Bonsoir br fr,

C'est impressionnant que ADW 4.201 t'ait signalé ce truc.

Chez moi, ADW 4.201 ne me l'a jamais signalé, c'est la première analyse avec ADW 4.202 qui l'a révélé.

secujac

la preuve de ce que j'avance pour la 4.201:

http://cjoint.com/?0DChTNlRPzQ

Ekalb
 Posté le 28/04/2015 à 12:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Bonjour,

Bien que n'utilisant pas AdwCleaner, je viens de faire le test. Résultat: RAS.

AdwCleaner trouve une clé dans le registre de certains PC, ce n'est pas pour cela qu'il est réellement infecté ni...qu'il ne l'est pas.

C'est un peu comme les détections dans le prefetch. Les entrées du prefetch ne présentent aucun danger mais peuvent être un signal qu'une peste se trouve dans le PC.

D'où la mauvaise habitude de vouloir nettoyer ce dossier.



Modifié par Ekalb le 28/04/2015 12:16
secujac
 Posté le 29/04/2015 à 05:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonjour à toutes et tous,

Br_fr, je ne demandais pas la preuve, ne mettant pas en doute tes dires.

C'est simplement encore une fois significatif que tous les logs ne se comportent bizarrement pas de la même manière sur toutes les machines, même si elles tournent sous le même OS.

Très belle journée à toutes et tous.

secujac
 Posté le 02/05/2015 à 08:20 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonjour à toutes et tous,

Je remonte un chticoup ce post, car ADWCleaner 4.203, le dernier a trouvé les mêmes clé que la version 4.202, plus d'autres.

Comme les clés trouvées précédemment semblaient des FP, je ne les avais pas supprimées, mais ce qui m'étonne, c'est que normalement, si ADW trouve des FP, Nicolas corrige le tir pour la version suivante.

Donc, que faire ou ne pas faire... That's the question...

Bon week-end.

Le Guermeur
 Posté le 02/05/2015 à 08:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

secujac a écrit :

Bonjour à toutes et tous,

Je remonte un chticoup ce post, car ADWCleaner 4.203, le dernier a trouvé les mêmes clé que la version 4.202, plus d'autres.

Comme les clés trouvées précédemment semblaient des FP, je ne les avais pas supprimées, mais ce qui m'étonne, c'est que normalement, si ADW trouve des FP, Nicolas corrige le tir pour la version suivante.

Donc, que faire ou ne pas faire... That's the question... Tu confonds avec ZHP Cleaner de Nicolas Coolman...et la derniére version 4.203 amène encore d'autres FP qui ne sont que trés rarement corrigés par l'éditeur d'où ma préférence pur ZHP Cleaner avec réactivité imédiate

VOIR ici:https://forum.pcastuces.com/envoi.asp?type=Edit&REP_ID=5255491&SUJET_ID=73752&FORUM_ID=25



Modifié par Le Guermeur le 02/05/2015 08:42
secujac
 Posté le 02/05/2015 à 08:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Salut le Guermeur,

Je viens de faire une analyse avec ZHP Cleaner qui lui n'a rien trouvé.

Donc, je pense que je vais aller boire une camomille et me détendre un peu ...

Bon week-end.

Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Les bons plans du moment PC Astuces

Tous les Bons Plans
71,76 €Carte mémoire Samsung 512 Go MicroSDXC Evo Select U3 (100 Mo/s) à 71,76 € livrée
Valable jusqu'au 29 Octobre

Amazon Allemagne fait une promotion sur la toute nouvelle carte mémoire Samsung 512 Go MicroSDXC Evo Select U3 qui passe à 67,24 € (avec la TVA ajustée). Comptez 4,52 € pour la livraison en France (gratuite en Belgique) soit un total de 71,76 € livrée. Une bonne affaire pour cette carte que l'on trouve ailleurs à partir de 115 € et qui offre des vitesses de 100 Mo/s en lecture et 90 Mo/s en écriture.  Elle est idéale pour les téléphones, caméras et appareils photo 4K. Elle est étanche, anti-choc et résiste aux rayons X et aux champs magnétiques.


> Voir l'offre
31,99 €Clé USB 3.0 Sandisk Ultra 256 Go à 31,99 €
Valable jusqu'au 29 Octobre

Amazon propose la clé USB Sandisk Ultra d'une capacité de 256 Go à 31,99 € livrée gratuitement. On la trouve ailleurs à partir de 50 €. Cette clé USB 3.0 est compatible USB 2.0 et offre de bons débits d'environ 100 Mo/s en lecture et en écriture. Le connecteur est rétractable pour éviter qu'il prenne la poussière.


> Voir l'offre
9,99 €Adaptateur Bluetooth USB TP-Link UB400 à 9,99 €
Valable jusqu'au 30 Octobre

Amazon fait une promotion sur l'adaptateur Bluetooth USB TP-Link UB400 qui passe à 9,99 €. Cet adaptateur à brancher sur un port USB va vous permettre d'ajouter le bluetooth à votre ordinateur et d'utiliser ensuite sans fil vos périphériques bluetooth : souris, clavier, casque, manette, téléphone, ...


> Voir l'offre

Sujets relatifs
Trojan dans ADW Cleaner ???
Max Computer Cleaner = calamité
Comportement de ADW Cleaner
Scan de mon PC avec ADW Cleaner.
Impossible d'employer ZHP Cleaner
Wise disk cleaner free
Problème ADW Cleaner
Un petit souci avec ZHP cleaner
Tuto ZHP Cleaner
probléme avec adw cleaner
Plus de sujets relatifs à ADW Cleaner, Vrais malveillants ou FP?
 > Tous les forums > Forum Sécurité