Malwarebyes
wikit60
Messages postés
6
Statut
Membre
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour a tous,
j'ai fai un scan rapide avec malwarebytes et il a decouverts des infections je sais pas trop si je doit les supprimer , donc je fait appel a vous pour pouvoir m'aider . voici le rapport:
Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2563
Windows 6.0.6001 Service Pack 1
05/08/2009 15.21.59
mbam-log-2009-08-05 (15-21-57).txt
Type de recherche: Examen rapide
Eléments examinés: 86973
Temps écoulé: 6 minute(s), 9 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\0wned (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a36d2a01-00f3-42bd-f434-00bbc39c8953} (Trojan.Agent) -> No action taken.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\WINID (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{a36d2a01-00f3-42bd-f434-00bbc39c8953} (Trojan.Agent) -> No action taken.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Users\enrica\AppData\Roaming\Microsoft XML\svchost.exe (Backdoor.Bot) -> No action taken.
C:\Windows\System32\msxml71.dll (Trojan.Downloader) -> No action taken.
merci de me repondre ,
j'ai fai un scan rapide avec malwarebytes et il a decouverts des infections je sais pas trop si je doit les supprimer , donc je fait appel a vous pour pouvoir m'aider . voici le rapport:
Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2563
Windows 6.0.6001 Service Pack 1
05/08/2009 15.21.59
mbam-log-2009-08-05 (15-21-57).txt
Type de recherche: Examen rapide
Eléments examinés: 86973
Temps écoulé: 6 minute(s), 9 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\0wned (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a36d2a01-00f3-42bd-f434-00bbc39c8953} (Trojan.Agent) -> No action taken.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\WINID (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{a36d2a01-00f3-42bd-f434-00bbc39c8953} (Trojan.Agent) -> No action taken.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Users\enrica\AppData\Roaming\Microsoft XML\svchost.exe (Backdoor.Bot) -> No action taken.
C:\Windows\System32\msxml71.dll (Trojan.Downloader) -> No action taken.
merci de me repondre ,
5 réponses
bonjour non ne supprime pas avec Malwarebytes
il faut un diagnostic poussé pour voir les degats qu'aurait pu faire l infection :
Télécharge OTL de OLDTimer
▶ enregistre le sur ton Bureau.
▶ Double clic sur OTL.exe pour le lancer.
▶ Coche les 2 cases Lop et Purity
▶ Coche la case devant scan all users
▶ règle-le sur "60 Days"
▶Clic sur Run Scan.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)
▶▶▶ NE LE POSTE PAS SUR LE FORUM
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
Tu feras la meme chose avec le "Extra.txt" s'il t'est demandé
il faut un diagnostic poussé pour voir les degats qu'aurait pu faire l infection :
Télécharge OTL de OLDTimer
▶ enregistre le sur ton Bureau.
▶ Double clic sur OTL.exe pour le lancer.
▶ Coche les 2 cases Lop et Purity
▶ Coche la case devant scan all users
▶ règle-le sur "60 Days"
▶Clic sur Run Scan.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)
▶▶▶ NE LE POSTE PAS SUR LE FORUM
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
Tu feras la meme chose avec le "Extra.txt" s'il t'est demandé
bonsoir et merci de me repondre,
voila j'ai suivi ts instructions et voila les liens recommandes :
OTL--^ http://www.cijoint.fr/cjlink.php?file=cj200908/cijcJkBcHo.txt
EXtra-- http://www.cijoint.fr/cjlink.php?file=cj200908/cij8Gzce6A.txt
merci de me repondre,
voila j'ai suivi ts instructions et voila les liens recommandes :
OTL--^ http://www.cijoint.fr/cjlink.php?file=cj200908/cijcJkBcHo.txt
EXtra-- http://www.cijoint.fr/cjlink.php?file=cj200908/cij8Gzce6A.txt
merci de me repondre,
▶ Télécharge HostXpert sur ton Bureau :
▶ Décompresse-le (Clic droit >> Extraire ici)
▶ Double-clique sur HostsXpert pour le lancer
▶ clique sur le bouton "Restore MS Hosts File" puis ferme le programme
PS : Avant de cliquer sur le bouton "Restore MS Hosts File", vérifie que le cadenas en haut à gauche est ouvert sinon tu vas avoir un message d'erreur.
▶ s'il est fermé , clique dessus :)
ensuite :
▶ Télécharge Ad-remover ( de C_XX ) sur ton bureau :
▶ Déconnecte toi et ferme toutes applications en cours !
▶ Double clique sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .
▶ Double-clique sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
▶ Au menu principal choisis l'option "L" et tape sur [entrée] .
▶ Laisse travailler l'outil et ne touche à rien ...
▶ Poste le rapport qui apparait à la fin , sur le forum ...
( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
▶ Note : "Process.exe", une composante de l'outil, est détecté par ceartains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
▶ Décompresse-le (Clic droit >> Extraire ici)
▶ Double-clique sur HostsXpert pour le lancer
▶ clique sur le bouton "Restore MS Hosts File" puis ferme le programme
PS : Avant de cliquer sur le bouton "Restore MS Hosts File", vérifie que le cadenas en haut à gauche est ouvert sinon tu vas avoir un message d'erreur.
▶ s'il est fermé , clique dessus :)
ensuite :
▶ Télécharge Ad-remover ( de C_XX ) sur ton bureau :
▶ Déconnecte toi et ferme toutes applications en cours !
▶ Double clique sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .
▶ Double-clique sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
▶ Au menu principal choisis l'option "L" et tape sur [entrée] .
▶ Laisse travailler l'outil et ne touche à rien ...
▶ Poste le rapport qui apparait à la fin , sur le forum ...
( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
▶ Note : "Process.exe", une composante de l'outil, est détecté par ceartains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
bonjour,
voila le rapport;
.
======= RAPPORT D'AD-REMOVER 1.1.4.5_O | UNIQUEMENT XP/VISTA/SEVEN =======
.
Mit à jour par C_XX le 24/06/2009 à 7:10 PM
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 10:29:33, 06/08/2009 | Mode Normal | Option: CLEAN
Exécuté de: C:\Program Files\Ad-remover\
Système d'exploitation: Microsoft® Windows Vista™ Home Basic Service Pack 1 Versione 6.0.6001
Nom du PC: COMPAQ | Utilisateur actuel: enrica
.
Administrateur: Administrator *Desactive*
N'est pas administrateur: ASPNET
Administrateur: enrica
N'est pas administrateur: Guest
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
.
.
(!) -- Fichiers temporaires supprimés.
.
============== Scan additionnel ==============
.
* Mozilla FireFox Version 3.5.2 *
Nom du profil: x0vzwajm.default (enrica)
.
(Prefs.js) user_pref("browser.startup.homepage_override.mstone", "rv:1.9.1.2");
.
.
* Internet Explorer Version 7.0.6001.18000 *
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
Default_Page_URL: hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=it_it&c=91&bd=Presario&pf=cnnb
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=it_it&c=91&bd=Presario&pf=cnnb
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Processus Caches/Bloque ==============
.
PID: 1292 [LOCKED] audiodg.exe
.
===================================
.
3029 Octet(s) - C:\Ad-Report-CLEAN.log
.
7 Fichier(s) - C:\Users\enrica\AppData\Local\Temp
1 Fichier(s) - C:\Windows\Temp
.
19 Fichier(s) - C:\Program Files\Ad-remover\BACKUP
0 Fichier(s) - C:\Program Files\Ad-remover\QUARANTINE
.
Fin à: 11:09:42 | 06/08/2009
.
============== E.O.F ==============
o faite j'ai une question , quand j'active aussi UAC de vista dans le panneau de controle en cochant la case , peut apres je reverifie et j'observe que la case s'est decocher tout seul-cela est du a quoi?
merci de me repondre,
voila le rapport;
.
======= RAPPORT D'AD-REMOVER 1.1.4.5_O | UNIQUEMENT XP/VISTA/SEVEN =======
.
Mit à jour par C_XX le 24/06/2009 à 7:10 PM
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 10:29:33, 06/08/2009 | Mode Normal | Option: CLEAN
Exécuté de: C:\Program Files\Ad-remover\
Système d'exploitation: Microsoft® Windows Vista™ Home Basic Service Pack 1 Versione 6.0.6001
Nom du PC: COMPAQ | Utilisateur actuel: enrica
.
Administrateur: Administrator *Desactive*
N'est pas administrateur: ASPNET
Administrateur: enrica
N'est pas administrateur: Guest
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
.
.
(!) -- Fichiers temporaires supprimés.
.
============== Scan additionnel ==============
.
* Mozilla FireFox Version 3.5.2 *
Nom du profil: x0vzwajm.default (enrica)
.
(Prefs.js) user_pref("browser.startup.homepage_override.mstone", "rv:1.9.1.2");
.
.
* Internet Explorer Version 7.0.6001.18000 *
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
Default_Page_URL: hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=it_it&c=91&bd=Presario&pf=cnnb
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=it_it&c=91&bd=Presario&pf=cnnb
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Processus Caches/Bloque ==============
.
PID: 1292 [LOCKED] audiodg.exe
.
===================================
.
3029 Octet(s) - C:\Ad-Report-CLEAN.log
.
7 Fichier(s) - C:\Users\enrica\AppData\Local\Temp
1 Fichier(s) - C:\Windows\Temp
.
19 Fichier(s) - C:\Program Files\Ad-remover\BACKUP
0 Fichier(s) - C:\Program Files\Ad-remover\QUARANTINE
.
Fin à: 11:09:42 | 06/08/2009
.
============== E.O.F ==============
o faite j'ai une question , quand j'active aussi UAC de vista dans le panneau de controle en cochant la case , peut apres je reverifie et j'observe que la case s'est decocher tout seul-cela est du a quoi?
merci de me repondre,
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
pour l UAC , nous verrons ensuite , d'abord on desinfecte
▶ Télécharge HostXpert sur ton Bureau :
▶ Décompresse-le (Clic droit >> Extraire ici)
▶ Double-clique sur HostsXpert pour le lancer
▶ clique sur le bouton "Restore MS Hosts File" puis ferme le programme
PS : Avant de cliquer sur le bouton "Restore MS Hosts File", vérifie que le cadenas en haut à gauche est ouvert sinon tu vas avoir un message d'erreur.
▶ s'il est fermé , clique dessus :)
ensuite :
▶ Double clic sur OTL.exe pour le lancer.
▶Copie la liste qui se trouve en gras ci-dessous,
▶ colle-la dans la zone sous Customs Scans/Fixes :
:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe
:OTL
O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O4 - HKLM..\RunOnceEx: [Flags] Reg Error: Invalid data type. File not found
O4 - HKLM..\RunOnceEx: [Title] File not found
O22 - SharedTaskScheduler: {A36D2A01-00F3-42BD-F434-00BBC39C8953} - kjhsf87fhjdsfn93rjkndfdf - Reg Error: Key error. File not found
O34 - HKLM BootExecute: (autocheck) - File not found
O34 - HKLM BootExecute: (*) - File not found
O34 - HKLM BootExecute: (MACHINE) - File not found
O34 - HKLM BootExecute: (BootExecut) - File not found
:reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
"HP Software Update"-
:files
C:\comment.htt
C:\10f19caab72eb8571d
C:\Windows\winstart.bat
C:\Users\enrica\AppData\Roaming\{27ABEAD9-B7C4-4994-891F-48F5F48861FA}
C:\Windows\System32\geyek*.dat
C:\Windows\System32\geyekr*.dll
C:\Windows\System32\msxml71.dll
C:\Windows\System32\drivers\xppwftnipcdeqfid.sys
C:\Windows\System32\actskn43.ocx
C:\Windows\System32\WanPacket.dll
C:\Windows\System32\msxml71.dll
@Alternate Data Stream - 782 bytes -> C:\Users\enrica\Documents\pausa posta.eml:OECustomProperty
@Alternate Data Stream - 647254 bytes -> C:\Users\enrica\AppData\Roaming:svchost.exe
:commands
[emptytemp]
[reboot]
▶ Clique sur RunFix pour lancer la suppression.
▶ Poste le rapport.
▶ Télécharge HostXpert sur ton Bureau :
▶ Décompresse-le (Clic droit >> Extraire ici)
▶ Double-clique sur HostsXpert pour le lancer
▶ clique sur le bouton "Restore MS Hosts File" puis ferme le programme
PS : Avant de cliquer sur le bouton "Restore MS Hosts File", vérifie que le cadenas en haut à gauche est ouvert sinon tu vas avoir un message d'erreur.
▶ s'il est fermé , clique dessus :)
ensuite :
▶ Double clic sur OTL.exe pour le lancer.
▶Copie la liste qui se trouve en gras ci-dessous,
▶ colle-la dans la zone sous Customs Scans/Fixes :
:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe
:OTL
O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O4 - HKLM..\RunOnceEx: [Flags] Reg Error: Invalid data type. File not found
O4 - HKLM..\RunOnceEx: [Title] File not found
O22 - SharedTaskScheduler: {A36D2A01-00F3-42BD-F434-00BBC39C8953} - kjhsf87fhjdsfn93rjkndfdf - Reg Error: Key error. File not found
O34 - HKLM BootExecute: (autocheck) - File not found
O34 - HKLM BootExecute: (*) - File not found
O34 - HKLM BootExecute: (MACHINE) - File not found
O34 - HKLM BootExecute: (BootExecut) - File not found
:reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
"HP Software Update"-
:files
C:\comment.htt
C:\10f19caab72eb8571d
C:\Windows\winstart.bat
C:\Users\enrica\AppData\Roaming\{27ABEAD9-B7C4-4994-891F-48F5F48861FA}
C:\Windows\System32\geyek*.dat
C:\Windows\System32\geyekr*.dll
C:\Windows\System32\msxml71.dll
C:\Windows\System32\drivers\xppwftnipcdeqfid.sys
C:\Windows\System32\actskn43.ocx
C:\Windows\System32\WanPacket.dll
C:\Windows\System32\msxml71.dll
@Alternate Data Stream - 782 bytes -> C:\Users\enrica\Documents\pausa posta.eml:OECustomProperty
@Alternate Data Stream - 647254 bytes -> C:\Users\enrica\AppData\Roaming:svchost.exe
:commands
[emptytemp]
[reboot]
▶ Clique sur RunFix pour lancer la suppression.
▶ Poste le rapport.
