Malwarebyes

wikit60 Messages postés 6 Statut Membre -  
 gen-hackman -
Bonjour a tous,

j'ai fai un scan rapide avec malwarebytes et il a decouverts des infections je sais pas trop si je doit les supprimer , donc je fait appel a vous pour pouvoir m'aider . voici le rapport:

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2563
Windows 6.0.6001 Service Pack 1

05/08/2009 15.21.59
mbam-log-2009-08-05 (15-21-57).txt

Type de recherche: Examen rapide
Eléments examinés: 86973
Temps écoulé: 6 minute(s), 9 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\0wned (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a36d2a01-00f3-42bd-f434-00bbc39c8953} (Trojan.Agent) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\WINID (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{a36d2a01-00f3-42bd-f434-00bbc39c8953} (Trojan.Agent) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\enrica\AppData\Roaming\Microsoft XML\svchost.exe (Backdoor.Bot) -> No action taken.
C:\Windows\System32\msxml71.dll (Trojan.Downloader) -> No action taken.

merci de me repondre ,
Configuration: Windows Vista Home Basic
Firefox 3.0.10
Compaq
AMD Sempron SI-42
3.00 Gb Ram

5 réponses

  1. gen-hackman
     
    bonjour non ne supprime pas avec Malwarebytes

    il faut un diagnostic poussé pour voir les degats qu'aurait pu faire l infection :

    Télécharge OTL de OLDTimer

    enregistre le sur ton Bureau.

    ▶ Double clic sur OTL.exe pour le lancer.

    ▶ Coche les 2 cases Lop et Purity

    ▶ Coche la case devant scan all users

    ▶ règle-le sur "60 Days"

    ▶Clic sur Run Scan.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.

    Tu feras la meme chose avec le "Extra.txt" s'il t'est demandé
    0
  2. wikit60 Messages postés 6 Statut Membre
     
    bonsoir et merci de me repondre,

    voila j'ai suivi ts instructions et voila les liens recommandes :

    OTL--^ http://www.cijoint.fr/cjlink.php?file=cj200908/cijcJkBcHo.txt

    EXtra-- http://www.cijoint.fr/cjlink.php?file=cj200908/cij8Gzce6A.txt

    merci de me repondre,
    0
  3. gen-hackman
     
    ▶ Télécharge HostXpert sur ton Bureau :

    ▶ Décompresse-le (Clic droit >> Extraire ici)

    ▶ Double-clique sur HostsXpert pour le lancer

    ▶ clique sur le bouton "Restore MS Hosts File" puis ferme le programme

    PS : Avant de cliquer sur le bouton "Restore MS Hosts File", vérifie que le cadenas en haut à gauche est ouvert sinon tu vas avoir un message d'erreur.

    ▶ s'il est fermé , clique dessus :)

    ensuite :

    ▶ Télécharge Ad-remover ( de C_XX ) sur ton bureau :

    ▶ Déconnecte toi et ferme toutes applications en cours !

    ▶ Double clique sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .

    ▶ Double-clique sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .

    ▶ Au menu principal choisis l'option "L" et tape sur [entrée] .

    ▶ Laisse travailler l'outil et ne touche à rien ...

    ▶ Poste le rapport qui apparait à la fin , sur le forum ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    ▶ Note : "Process.exe", une composante de l'outil, est détecté par ceartains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
    0
  4. wikit60 Messages postés 6 Statut Membre
     
    bonjour,

    voila le rapport;

    .
    ======= RAPPORT D'AD-REMOVER 1.1.4.5_O | UNIQUEMENT XP/VISTA/SEVEN =======
    .
    Mit à jour par C_XX le 24/06/2009 à 7:10 PM
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Lancé à: 10:29:33, 06/08/2009 | Mode Normal | Option: CLEAN
    Exécuté de: C:\Program Files\Ad-remover\
    Système d'exploitation: Microsoft® Windows Vista™ Home Basic Service Pack 1 Versione 6.0.6001
    Nom du PC: COMPAQ | Utilisateur actuel: enrica
    .
    Administrateur: Administrator *Desactive*
    N'est pas administrateur: ASPNET
    Administrateur: enrica
    N'est pas administrateur: Guest
    .
    ============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
    .
    .
    .

    (!) -- Fichiers temporaires supprimés.

    .
    ============== Scan additionnel ==============
    .

    * Mozilla FireFox Version 3.5.2 *

    Nom du profil: x0vzwajm.default (enrica)
    .
    (Prefs.js) user_pref("browser.startup.homepage_override.mstone", "rv:1.9.1.2");
    .
    .

    * Internet Explorer Version 7.0.6001.18000 *

    [HKEY_CURRENT_USER\..\Internet Explorer\Main]

    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

    [HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]

    Default_Page_URL: hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=it_it&c=91&bd=Presario&pf=cnnb
    Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Start Page: hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=it_it&c=91&bd=Presario&pf=cnnb

    [HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]

    Tabs: res://ieframe.dll/tabswelcome.htm

    .
    ============== Processus Caches/Bloque ==============
    .
    PID: 1292 [LOCKED] audiodg.exe
    .

    ===================================
    .
    3029 Octet(s) - C:\Ad-Report-CLEAN.log
    .
    7 Fichier(s) - C:\Users\enrica\AppData\Local\Temp
    1 Fichier(s) - C:\Windows\Temp
    .
    19 Fichier(s) - C:\Program Files\Ad-remover\BACKUP
    0 Fichier(s) - C:\Program Files\Ad-remover\QUARANTINE
    .
    Fin à: 11:09:42 | 06/08/2009
    .
    ============== E.O.F ==============

    o faite j'ai une question , quand j'active aussi UAC de vista dans le panneau de controle en cochant la case , peut apres je reverifie et j'observe que la case s'est decocher tout seul-cela est du a quoi?

    merci de me repondre,
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. gen-hackman
     
    pour l UAC , nous verrons ensuite , d'abord on desinfecte

    ▶ Télécharge HostXpert sur ton Bureau :

    ▶ Décompresse-le (Clic droit >> Extraire ici)

    ▶ Double-clique sur HostsXpert pour le lancer

    ▶ clique sur le bouton "Restore MS Hosts File" puis ferme le programme

    PS : Avant de cliquer sur le bouton "Restore MS Hosts File", vérifie que le cadenas en haut à gauche est ouvert sinon tu vas avoir un message d'erreur.

    ▶ s'il est fermé , clique dessus :)

    ensuite :

    ▶ Double clic sur OTL.exe pour le lancer.

    ▶Copie la liste qui se trouve en gras ci-dessous,

    ▶ colle-la dans la zone sous Customs Scans/Fixes :

    :processes
    explorer.exe
    iexplore.exe
    firefox.exe
    msnmsgr.exe
    Teatimer.exe

    :OTL
    O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
    O4 - HKLM..\RunOnceEx: [Flags] Reg Error: Invalid data type. File not found
    O4 - HKLM..\RunOnceEx: [Title] File not found
    O22 - SharedTaskScheduler: {A36D2A01-00F3-42BD-F434-00BBC39C8953} - kjhsf87fhjdsfn93rjkndfdf - Reg Error: Key error. File not found
    O34 - HKLM BootExecute: (autocheck) - File not found
    O34 - HKLM BootExecute: (*) - File not found
    O34 - HKLM BootExecute: (MACHINE) - File not found
    O34 - HKLM BootExecute: (BootExecut) - File not found

    :reg
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    "Adobe Reader Speed Launcher"=-
    "HP Software Update"-

    :files
    C:\comment.htt
    C:\10f19caab72eb8571d
    C:\Windows\winstart.bat
    C:\Users\enrica\AppData\Roaming\{27ABEAD9-B7C4-4994-891F-48F5F48861FA}
    C:\Windows\System32\geyek*.dat
    C:\Windows\System32\geyekr*.dll
    C:\Windows\System32\msxml71.dll
    C:\Windows\System32\drivers\xppwftnipcdeqfid.sys
    C:\Windows\System32\actskn43.ocx
    C:\Windows\System32\WanPacket.dll
    C:\Windows\System32\msxml71.dll
    @Alternate Data Stream - 782 bytes -> C:\Users\enrica\Documents\pausa posta.eml:OECustomProperty
    @Alternate Data Stream - 647254 bytes -> C:\Users\enrica\AppData\Roaming:svchost.exe

    :commands
    [emptytemp]
    [reboot]


    ▶ Clique sur RunFix pour lancer la suppression.

    ▶ Poste le rapport.
    0