> Tous les forums > Forum Sécurité
 Liste suspecte de malwares dans le registre [réso
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
Ayora
  Posté le 28/09/2005 @ 21:04 
Aller en bas de la page 
Astucienne

Bonsoir, Regardez ceci : [IMG]http://img289.imageshack.us/img289/3858/entressuspectesregistre26uf.th.gif[/IMG] http://img289.imageshack.us/img289/3858/entressuspectesregistre26uf.gif C'est ce que j'ai trouvé dans mon registre (ordi pourtant soigneusement entretenu et bien protégé!) ; en faisant un scan en ligne sur le nouveau site de Panda on line j'ai trouvé mention de BargainBuddy dans le registre (aucun fichier bargain.exe sur mes disques durs). En cherchant j'ai trouvé l'entrée : bargain-buddy.net à la valeur 0x00000005(5), dans un dossier appellé P3P, lui même dans les settings internet Dénomination complète : HKEY_CURRENT-USER\Software\Microsoft\Windows\Current\Version\Internet settings\P3P\History. Ce qui me fait penser qu'il ne s'agit sans doute pas d'un spyware mais d'une modification de fichier host ou équivalent, c'est que ce dossier P3P contient un liste assez longue de dossiers tous au nom de pestes du web, chacun avec la mention [default] 0x00000005(5) Qu'en pensez-vous ? Quelqu'un a déjà croisé ça ?

Modifié par Ayora le 28/09/2005 22:16
Publicité
phiphi01
 Posté le 28/09/2005 à 21:11 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien
[hello]bonsoir Ayora ce que tu dis est très intéressant ,j'ai trouvé à l'instant en faisant rechercher sur mon ordi et celui ci m'a trouvé deux fichiers Bargain Buddy dans documents/settings lecteur c fichiers de 12ko spy . spybase !!! Alors c'est vrai que faire virer cette chose ou pas ? telle est la question
Ayora
 Posté le 28/09/2005 à 21:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Oui, c'est justement la question que je me pose... Désolée pour le format de l'image, je viens d'essayer de la modifier mais elle est à peine plus grande ! [desapprouve] Image Shack hoste les images trop importantes sous forme de thumbnail (icone ?) En outre ces m*** s'attrapent en surfant avec IE, et il y a belle lurette que je ne surfe plus qu'avec FireFox (bien protégé avec Adblock et Noscript). Ca ressemble plus à une liste d'entrées créée dans la BDR par un antispyware (Spybot ? Spywareblaster ?) pour mémoire afin que le système les bloque (ouverture de page web ? installation de fichier ?). Tous les items ont la même valeur (0x00000005(5)). Il faudrait être sûrs que cela veut dire un truc du genre : ne rien mettre sous cette dénomination.... Mais c'est dans internet settings et pas dans un dossier de logiciel antimalware.... En ce qui me concerne je n'ai aucun fichier Bargain Buddy, mais normalement ce truc existe depuis au moins deux ans et est reconnu par Spybot donc éradicable par lui.

Modifié par Ayora le 28/09/2005 21:29
lazzzy
 Posté le 28/09/2005 à 21:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien
Bonsoir, http://support.microsoft.com/default.aspx?scid=kb;FR;182569#XSLTH3130121125120121120120 par contre Panda te signale une clé en particulier pour Bargain Buddy ? ou "no désinfecté registre" ?
Ayora
 Posté le 28/09/2005 à 21:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Il ne donne pas de clé en particulier, et ne désinfecte pas. La banque des malwares de panda me donne ça avec un certain nombre d'entrées de registre installées par BargainBuddy (pas présentes chez moi) : http://www.pandasoftware.com/virus_info/encyclopedia/ficha.aspx?iddeteccion=20942
Ayora
 Posté le 28/09/2005 à 21:49 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Par contre je viens de trouver ça sur le lien que tu me donnes chez Microsoft (très pertinent) : "Vous pouvez également ajouter un site en fonction duquel vous pouvez autoriser ou bloquer les cookies, indépendamment de la stratégie de confidentialité appliquée sur ce site. Ces clés de Registre sont stockées à l'emplacement suivant : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History Les domaines qui ont été ajoutés en tant que site géré sont répertoriés sous cette clé. Ces domaines peuvent avoir l'une des valeurs DWORD suivantes : 0x00000005 - Toujours bloquer 0x00000001 - Toujours autoriser " Donc il s'agit de réglages de base pour bloquer systématiquement la création de cookies des sites et malwares associés. Alors tout est Ok je crois [chinois]

Modifié par Ayora le 28/09/2005 21:51
boule de poils
 Posté le 28/09/2005 à 21:49 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucienne

Ayora, phiphi, je n'ai rien de tel dans mon PC.... Pendant que je cherchais, Lazzy est passé, Ayora je te laisse avec lui.

Modifié par boule de poils le 28/09/2005 21:51
lazzzy
 Posté le 28/09/2005 à 21:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien
oui c'était ça que je voulais dire avec ce lien. J'ai les mêmes entrées dans le registre (gator, lop et compagnie) Pour Panda, sinon, si tu as eu récemment des fichiers infectés tu peux les rechercher dans le registre. Sinon regarde sur les différents sites de sécurité (etrust, symantec...) les CLSID/clés possibles ainsi que les alias. Tu pourras trouver quelques pistes de recherche pour ton registre. On peut passer beaucoup de temps à rechercher comme ça d'ailleurs. Parfois il vaut mieux laisser tomber. Faire un nettoyage de registre et basta. Salut papatte01 [hello]
griggione
 Posté le 28/09/2005 à 22:01 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien
Bonsoir Ayora Meme s'ils ne sont pas interessants,mais les tutos de la maison sont aussi à voir [clindoeil] https://forum.pcastuces.com/sujet.asp?SUJET_ID=153593
Publicité
Br_Fr
 Posté le 28/09/2005 à 22:06 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne
Bonsoir Ayora[hello]!phiphi [hello] et papatte[hello]! et lazzy[hello] et griggione[hello] ! Dans le registre,j'ai la même liste que Ayora (pour ce que j'en vois de l'image).Donc je pense que c'est normal!???

Modifié par Br_Fr le 28/09/2005 22:08
Ayora
 Posté le 28/09/2005 à 22:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Bonsoir gibrini13 et griggione, (re)bonsoir phiphi01 et lazzy Je crois que la liste de dossiers malwares dans le registre est normale à cet endroit (protection passive contre l'implantation de cookies des sites de ces malwares). Surprenant cette stratégie P3P de sécurisation d'internet explorer est du pur Microsoft on dirait ! Non, pas d'infection récente (mais comme on ne sait jamais et que j'avais entendu parler du nouveau scan en ligne de Panda je l'ai essayé pour voir s'il trouvait quelquechose); Je crois que je vais simpement faire un nettoyage de registre. après toutes les mises à niveau récentes de Firefox et de logiciels de sécurité (correction de failles) ça ne peut pas être inutile. Merci en tout cas [hello]

Modifié par Ayora le 28/09/2005 22:15
philae
 Posté le 28/09/2005 à 22:16 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grande Maîtresse astucienne

Bonsoir tout le monde si je ne me trompe : HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\DOMAINS\ est celle qui bloque les chargements depuis des sites nocifs.
griggione
 Posté le 28/09/2005 à 22:20 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien
RE Ayora Si tu lis bien ce que j'ai mis dans le tuto,notamment l'explication de Cro$oft et surtout d'Epic.org,je doute que tu trouve tout cela normal aprés [clindoeil]
lazzzy
 Posté le 28/09/2005 à 22:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien
sur cette page il y a un fix, peut etre qu'il enlèvera la trace... http://sarc.com/avcenter/venc/data/adware.bargainbuddy.html Au passage, à rechercher dans le registre aussi Bargain exact Advertising eXact (un peu plus large que le précédent, mais prudence) NaviSearch etc. A++ voir également ici http://forum.zebulon.fr/index.php?showtopic=75905 [happy][clindoeil]

Modifié par lazzzy le 28/09/2005 23:06
Ayora
 Posté le 28/09/2005 à 22:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

Bonsoir Philae. Donc à prévoir une autre liste bizarre à l'emplacement que tu donnes ZONEMAPS\DOMAINS L'expli Microsoft a l'air convaincante pourtant ! je lis le reste afin de continuer à me torturer les méninges..... le lien epic.org c'est page combien ? OK je l'ai trouvé P1 en plus Je vais chercher plus tard les autres trucs (certains des synonymes des noms de la bestiole je les avais déjà)

Modifié par Ayora le 28/09/2005 22:32
phiphi01
 Posté le 29/09/2005 à 05:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien
[hello]bonsoir tout le monde, merci lazzzy pour le fix il m'a été utile et supprimé mes deux fichiers infectés par ce bargain buddy
Ayora
 Posté le 29/09/2005 à 13:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucienne

J'ai passé le fix : RAS
Publicité
phiphi01
 Posté le 29/09/2005 à 17:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien
[hello]Ayora , du coup c'était moi qui était plombé par cette chose ! alors que je passais par là par hasard lire ton post !.....
Page : [1] 
Page 1 sur 1

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
111,01 €SSD externe portable Samsung T7 1 To à 111,01 € livré
Valable jusqu'au 27 Septembre

Amazon Allemagne fait une promotion sur le SSD externe portable Samsung T7 1 To qui passe à 106,27 €. Comptez 4,74 € pour la livraison en France soit un total de 111,01 € livré alors qu'on trouve le SSD à partir de 189 € ailleurs. Son format compact vous permettra de le transporter facilement avec vous. De quoi stocker parfaitement vos fichiers et de les emporter dans vos déplacements en toute sérénité. Grâce à la technologie PCIe NVMe intégrée et au connecteur USB 3.1 Type C, bénéficiez de vitesses supérieures pouvant atteindre 1050 Mo /s ! Compatible PC, Mac et Android, il se montrera rapidement indispensable. Le disque Samsung T7 se pare d'un boîtier robuste en aluminium qui résistera aux chutes. Il embarque également un cryptage avancé avec mot de passe.

Vous pouvez utiliser votre compte Amazon France sur Amazon Allemagne et il n'y a pas de douane. Si vous êtes perdu en allemand, vous pouvez traduire le site en anglais.


> Voir l'offre
39,99 €Boîtier PC Corsair Carbide Series 275R avec fenêtre à 39,99 €
Valable jusqu'au 27 Septembre

Cdiscount propose actuellement le boîtier PC moyen tour avec fenêtre Corsair Carbide Series 275R à 39,99 €. On le trouve ailleurs à partir de 70 €. Le Corsair Carbide 275R est compact et conçu pour créer des systèmes hautes performances à l'aspect minimaliste. il offre une capacité de refroidissement efficace (2 ventilateurs 120 mm fournis), tout en vous permettant de faire évoluer ses performances grâce aux autres emplacements disponibles.


> Voir l'offre
-6 €6 € offerts pour toute commande d'un chèque-cadeau de 50 € @Amazon
Valable jusqu'au 04 Octobre

Amazon remet en avant son offre pour obtenir un bon d'achat de 6 € sur Amazon. Pour toute commande d'un chèque cadeau Amazon de 50 €, Amazon vous offre un bon d'achat de 6 € utilisable jusqu'au 14 Novembre 2021. Vous pourrez ainsi par exemple utiliser votre chèque cadeau de 50 € et votre bon d'achat de 6 € pour un achat de plus de 56 € (qui ne vous reviendra alors qu'à 50 €, soit 11,7 % de réduction, ce qui est toujours ça de pris). 

Notez que cette offre n'est pas disponible si vous avez déjà acheté des chèques cadeaux dans les 36 derniers mois.


> Voir l'offre

Sujets relatifs
liste incomplète dans désinstaller ou modifier un programme
Application suspecte dans PCA
Présence de "PUP OPTIONAL MYSEARCHDIAL DANS REGISTRE
Présence de "PUP OPTIONAL MYSEARCHDIAL DANS REGISTRE
Présence de "PUP OPTIONAL MYSEARCHDIAL DANS REGISTRE
Adwcleaner a trouvé une clé suspecte dans ARPCACHE
clé bizzar dans le registre
Clés "invisibles" dans le Registre ???
changement dans le registre
Infection DC3_FEXEC dans les registre ?..
Plus de sujets relatifs à Liste suspecte de malwares dans le registre [réso
 > Tous les forums > Forum Sécurité