moredentcash / internet trust.exe

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

moredentcash / internet trust.exe

Messagede Raf » 08 Juin 2004, 08:32

Je viens de bloquer l'accès à internet de l'application "internet trust.exe" (signalé par Zone Alarm). Malgré une recherche poussée, je n'ai trouvé aucune référence à ce programme sur internet ni au dossier au nom suspect qui l'héberge sur mon disque système (sur lequel je n'installe en principe aucun logiciel) : MOREDENTCASH (en majuscule dans le texte).

Si l'un ou l'une d'entre vous connait cette application ou saurait comment avoir le fin mot de l'histoire, je suis intéressé.

Merci,
Raf.
Raf
 

Messagede Raf » 08 Juin 2004, 08:34

Pour complément, internet trust.exe est en collocation avec uczytvxc.exe qui n'a pas l'air plus honnête que son camarade.
Raf
 

Messagede Kethryes » 08 Juin 2004, 08:45

Fait un log HijackThis et poste le ici (+lire la MANIP : http://assiste.com/manip.html)
Avatar de l’utilisateur
Kethryes
 
Messages: 676
Inscription: 15 Fév 2004, 11:02
Localisation: Devant mon ordi

Messagede Vazkor » 08 Juin 2004, 09:29

Bonjour,

Le seul trust.exe suspect que je trouve sur Google est

ante browse trust.exe IE toolbar hijacking you to www.Lop.com - Search The Web site.
This is global searching site with many popup and advertising windows.

Manual removal:
If this .exe is running, end it and remove the "Stupidmore" directory from C:/Program Files
Ref: http://www.greatis.com/regrun3da.htm

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9797
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede Ouarlax » 10 Juin 2004, 12:11

Logfile of HijackThis v1.97.7
Scan saved at 12:57:11, on 10/06/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
D:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINNT\system32\regsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINNT\system32\Tablet.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Messenger Plus! 2\MsgPlus.exe
C:\PROGRA~1\MOREDE~1\internet trust.exe
D:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
D:\Program Files\Post-it\PsnLite.exe
C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
D:\Program Files\Palm\HOTSYNC.EXE
D:\PROGRA~1\Post-it\PSNGive.exe
D:\Program Files\Firefox 0.8\firefox.exe
D:\Program Files\Mozilla thunderbird\thunderbird.exe
D:\Program Files\Winamp\winamp.exe
D:\Program Files\Palm\Palm.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchweb2.com/passthrough/index ... ww.msn.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchweb2.com/searchbar.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8088
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {31D8D807-EF0D-C152-A0AF-ECA7122F2FD8} - C:\PROGRA~1\WAVELE~1\acekeep.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Internet Anonyme - {00000000-0002-0002-0000-000000000000} - d:\program files\steganos internet anonym pro 6\siaiep.dll
O3 - Toolbar: TICK WIN DEAF - {35AA2FD2-AB93-BA39-AAB1-87F8B86FD2C5} - C:\PROGRA~1\WAVELE~1\acekeep.dll
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1601.0\fr\msntb.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Fichiers communs\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime 6.5\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [dumbatom] C:\PROGRA~1\MOREDE~1\internet trust.exe
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - Startup: HotSync Manager.lnk = D:\Program Files\Palm\HOTSYNC.EXE
O4 - Global Startup: Acrobat Assistant.lnk = D:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Post-it® Software Notes Lite.lnk = D:\Program Files\Post-it\PsnLite.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O9 - Extra button: AIM (HKLM)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: http://www.neopets.com
O16 - DPF: Interface Chat Voila - http://chat15.x-echo.com/version3/Applet/vchatsign.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/c ... potd_x.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b28177.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/ ... mv9VCM.CAB
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b28177.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/C ... 3785185185
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F410E00C-0E04-4FA9-8D09-57D93AFA58EB}: NameServer = 194.117.200.10 194.117.200.15


Voilà mon scan

Je n'ai pas les symptomes décrits ci-dessus pour "ante browse trust.exe", en revanche, une barre de recherche bleue avec des boutons de navigation s'accroche en haut des fenêtres d'Internet Explorer... je ne l'avais pas remarquée car j'utilise Mozilla Firefox mais malheureusement, j'ai parfois du mal à imposer ce réflexe au reste de ma famille.

Je ne sais pas si les deux sont liés, mais ça me semble plus que plausible.
Ouarlax
 

Messagede Vazkor » 10 Juin 2004, 12:26

Bonjour,

Je commencerais par fixer :
O4 - HKLM\..\Run: [dumbatom] C:\PROGRA~1\MOREDE~1\internet trust.exe
et je renommerais ensuite le dossier MOREDENTCASH, pour être certain de neutraliser ce suspect. Il serait intéressant d'examiner les fichiers qu'il contient.

Dumbatom, ça fait pas très sérieux comme nom, pas plus que Moredentcash. Pas trouvé sur Google non plus!

Il y a d'autres choses à fixer pour améliorer les performances de ton système, mais une chose à la fois. C'est plus instructif.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9797
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede Kethryes » 10 Juin 2004, 13:26

Oh MessengerPlus ! ben voila ça veut surement dire qu'y a le lop.com qui vas avec. Bon je laisse Pierre ou Vazkor faire la liste complette de tout ce qu'il y a à fixer (j'ai la flemme là)
@+
Avatar de l’utilisateur
Kethryes
 
Messages: 676
Inscription: 15 Fév 2004, 11:02
Localisation: Devant mon ordi

Messagede Invité » 10 Juin 2004, 14:24

Vazkor a écrit:Bonjour,

Je commencerais par fixer :
O4 - HKLM\..\Run: [dumbatom] C:\PROGRA~1\MOREDE~1\internet trust.exe
et je renommerais ensuite le dossier MOREDENTCASH, pour être certain de neutraliser ce suspect. Il serait intéressant d'examiner les fichiers qu'il contient.


C'est fait. Et pour les fichiers, je l'ai précisé plus haut : internet trust.exe et uczytvxc.exe

Vazkor a écrit:Dumbatom, ça fait pas très sérieux comme nom, pas plus que Moredentcash. Pas trouvé sur Google non plus!


Oui, c'est bien à cause du "cash" qu'il ma paru suspect. J'avais pas repéré le dumbatom (et apparement, google ne connait pas non plus). Je collectionne les avant-premières on dirait. Si seulement on pouvait supprimer simplement cette cochonnerie d'IE.

Vazkor a écrit:Il y a d'autres choses à fixer pour améliorer les performances de ton système, mais une chose à la fois. C'est plus instructif.
@+


J'avais optimisé mon IE avant ma dernière réinstallation, mais j'ai eu la flemme de recommencer vu que je suis passé à mozilla. J'ai seulement réglé les permissions ActiveX, mais je ne suis pas dernière mon petit frère à chaque fois qu'il navigue je ne sais où.
Invité
 

Messagede Raf » 10 Juin 2004, 14:41

J'ai suivi les instructions pour enlever messenger plus et sa "sympatique" toolbar. J'ai renommé le mordentcash et supprimé la clef de registre, et tant pis si je ne sais pas ce que c'était, le principal est qu'il soit désactivé.

PS : il faudra que je pense à m'inscrire... les changements de pseudos, c'est pas idéal pour s'y retrouver, désolé
Raf
 

Messagede Vazkor » 10 Juin 2004, 16:43

Salut,

Si seulement on pouvait supprimer simplement cette cochonnerie d'IE.

Je mets mille € sur la tête de l'Ennemi Public Numéro Un. J'peux pas plus. Kidimieu? Mouaaarrrrffffffff

Tout le problème est là. Windows mal paramétré avec toutes ses failles et le couple infernal IE+OE, c'est pas la gloire...

Ah si le Pingouin était enfin convivial comme la Fenêtre Brisée...

Alleye, je rêve. J'srai mort avant qu'on ait des p... de PC fiables.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9797
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 13 invités

cron