Pour interprétation rapport MBAM

salut yoann

En fait je fais l'intermédiaire pour une amie éloignée, parcequ'elle en connait pas l'informatique, alors je lui explique doucement.
Je vais lui dire de désinstaller ce programme.
Et ensuite?
Merci

Regarde mon premier poste ;)

Alors déjà il faut quel désinstalle, ensuite quel refasse une analyse avec MBAM ensuite quelle suive les instructions qu'à laissé NicoVA après on verra ( j'ai 17 ans et j'avais aussi installé Eorezo) il y a quelques années en me disant ça a l'air chouette mais en fait c'est du vrai chien-dent j'avais mis longtemps a tout enlever en profondeur.

Si il y'a encore Eorezo le rapport ZHPdiag le montrera et on avisera. Il faudrait déjà passer ZHPdiag en premier puis MBAM à la fin pour contrôler.

a+

Ok
Excuse moi Nico, je n'avais pas vu ton post
Donc comme je fais à distance, ça prendra du temps, mais j'imagine que tu seras là de temps en temps.
J'ai envoyé un mail pour qu'elle désinstalle "eorozo"
Et ensuite je lui donne les consignes que tu as affiché dans ton premier post

Merci

Chanceux oui (sourire))))))))

Merci Nico. Donc je fais suivre tes directives et à plus tard

En te remerciant de ton aide précieuse

JC

Hello Nico

Je t'apporte cette précision à savoir que : Au départ de cette demande ici sur ce forum c'est le fait que mon amie ne parvient plus (avec Firefox voire aussi IE) a télécharger des fichiers, meme MBAM, ZhpDiag, Elle télécharge à partir d'un autre ordi avec une clé et qu'elle charge ensuite sur son ordi. Je tenais à ce que tu saches bien sûr pour mener les recherches en ce sens.
Penses-tu que je me sois bien expliqué? )))))

A bientôt

Merci

Le rapport UsbFix Nico

Tu me dis la suite?

Merci

JC

""""""""""


############################## | UsbFix V6.100 |
User : Sanaa (Administrateurs) # SANAA-PC
Update on 18/03/2010 by El Desaparecido , C_XX & Chimay8
Start at: 15:24:21 | 28/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html


Contact : FindyKill.Contact@gmail.com
Intel(R) Atom(TM) CPU N270 @ 1.60GHz
Microsoft Windows 7 Édition Starter (6.1.7600 32-bit) #
Internet Explorer 8.0.7600.16385
Windows Firewall Status : Enabled
C:\ -> Disque fixe local # 80 Go (42,53 Go free) # NTFS
D:\ -> Disque fixe local # 59,03 Go (45,31 Go free) # NTFS
E:\ -> Disque amovible # 3,69 Go (3,62 Go free) # FAT32
F:\ -> Disque amovible # 980,97 Mo (683,59 Mo free) [UDISK 2.0] # FAT
################## | Elements infectieux |

################## | Registre |

################## | Mountpoints2 |
HKCU\..\..\Explorer\MountPoints2\{023eed77-10ca-11df-a4cb-90e6ba6a44dc}
shell\AutoRun\command =F:\LaunchU3.exe -a
################## | Vaccin |
(!) Cet ordinateur n'est pas vacciné !
################## | ! Fin du rapport # UsbFix V6.100 ! |

Je lui demanderai des précisions précises (sourire)))))). Apparemment, elle veut télécharger MBAM par exemple ou d'autres fichiers, comme aussi "UsbFix", elle est obligée de charger sur un ordi et de transférer le setup sur son ordi avec une clé. Que ce soit par Firefox ou IE

Dac' !

Bonsoir Nico

rapport suppression UsbFix

Merci

Le rapport n'y ai pas ;)

Tête en l'air que je suis )))))

""""""""""""""""


############################## | UsbFix V6.100 |
User : Sanaa (Administrateurs) # SANAA-PC
Update on 18/03/2010 by El Desaparecido , C_XX & Chimay8
Start at: 19:22:37 | 28/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html


Contact : FindyKill.Contact@gmail.com
Intel(R) Atom(TM) CPU N270 @ 1.60GHz
Microsoft Windows 7 Édition Starter (6.1.7600 32-bit) #
Internet Explorer 8.0.7600.16385
Windows Firewall Status : Enabled
C:\ -> Disque fixe local # 80 Go (42,49 Go free) # NTFS
D:\ -> Disque fixe local # 59,03 Go (45,31 Go free) # NTFS
E:\ -> Disque amovible # 3,69 Go (3,62 Go free) # FAT32
F:\ -> Disque amovible # 980,97 Mo (683,59 Mo free) [UDISK 2.0] # FAT
################## | Elements infectieux |
Supprimé ! C:\Users\Sanaa\AppData\Local\Temp\8BD54F3E-DD19-4a69-93D8-5C6A5BBBE20E.exe
Supprimé ! C:\$Recycle.Bin\S-1-5-18
Supprimé ! C:\$Recycle.Bin\S-1-5-21-396858304-2551218817-4247209764-1000
Supprimé ! D:\$Recycle.Bin\S-1-5-18
Supprimé ! D:\$Recycle.Bin\S-1-5-21-396858304-2551218817-4247209764-1000
################## | Registre |

################## | Mountpoints2 |
Supprimé ! HKCU\...\Explorer\MountPoints2\{023eed77-10ca-11df-a4cb-90e6ba6a44dc}\Shell\AutoRun\Command
################## | Listing des fichiers présent |
[10/06/2009 23:42|--a------|24] C:\autoexec.bat
[14/07/2009 03:38|-rahs----|383562] C:\bootmgr
[10/06/2009 23:42|--a------|10] C:\config.sys
[?|?|?] C:\hiberfil.sys
[26/12/2009 17:32|-rahs----|0] C:\IO.SYS
[26/12/2009 17:32|-rahs----|0] C:\MSDOS.SYS
[16/02/2006 20:52|--a------|398320] C:\nse4EDA.tmp
[30/11/2005 17:26|--a------|369480] C:\nse5199.tmp
[27/07/2006 11:37|--a------|4286] C:\nseCBB3.tmp
[27/07/2006 11:37|--a------|77440] C:\nseE29B.tmp
[18/01/2006 12:33|--a------|381644] C:\nsj54C5.tmp
[27/07/2006 11:37|--a------|4286] C:\nskD7BD.tmp
[27/07/2006 11:37|--a------|4286] C:\nskD992.tmp
[27/07/2006 11:37|--a------|4286] C:\nspCDC8.tmp
[27/07/2006 11:37|--a------|4286] C:\nspCF01.tmp
[27/07/2006 11:37|--a------|4286] C:\nspD607.tmp
[27/07/2006 11:37|--a------|4286] C:\nsuD00B.tmp
[27/07/2006 11:37|--a------|4286] C:\nsuD403.tmp
[27/07/2006 11:37|--a------|4286] C:\nsuE0D6.tmp
[27/07/2006 11:37|--a------|77440] C:\nszCCCD.tmp
[27/07/2006 11:37|--a------|4286] C:\nszD1FF.tmp
[27/07/2006 11:37|--a------|4286] C:\nszDED2.tmp
[?|?|?] C:\pagefile.sys
[20/08/2009 06:47|--a------|1440] C:\RHDSetup.log
[28/03/2010 19:29|--a------|2464] C:\UsbFix.txt
[16/02/2010 00:23|--a------|382] D:\Disque amovible (E) - Raccourci.lnk
[25/05/2009 20:22|--a------|68756776] F:\iTunesSetup.exe
[26/03/2010 12:34|--a------|235097] F:\DreamScene (Fond d''cran anim's).zip
[27/03/2010 18:04|--a------|5115824] F:\mbam-setup.exe
[27/03/2010 18:04|--a------|253256] F:\SoftonicDownloader36182.exe
[27/03/2010 23:09|--a------|1427777] F:\ZHPDiag 1.25.13.exe
[28/03/2010 15:20|--a------|1776011] F:\UsbFix.exe
[22/03/2010 00:56|--a------|3084859] F:\winscp427setup.exe
################## | Vaccination |
# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# E:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# F:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
################## | Upload |
Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_Sanaa-PC.zip : https://www.ionos.fr/?affiliate_id=77097


Merci pour votre contribution .
################## | ! Fin du rapport # UsbFix V6.100 ! |

D'accord Nico

Je transmets, je ne sais si j'aurai réponse ce soir.

Dis moi. Ensuite tu peux voir si son ordi est débarrassé de cochonneries?

Je lui demanderai aussi de faire du ménage dans les dossiers "temp" peut-être.

Et je lui demanderai aussi de désinstaller firefox et le réinstaller

Merci

Rapport ZHPDiag

Merci

""""""""""

http://www.cijoint.fr/cjlink.php?file=cj201003/cijmTA8qno.doc

Dis moi Nico

Le rapport qui s'affiche à la suite de l'examen sur "virus total", de quelle manière je te le fais suivre? En le copiant sur un doc Word? Si oui, dans ce cas, toutes lignes vont être en continue, tu ne vas pas t'y retrouver. Je ne sais, dis moi. De plus retiens que je fais l'intermédiaire auprès d'une amie, lui expliquant par des mots simples

Merci Nico

JC

Déjà un fichier analysé Nico

Merci

""""""""""

Fichier 7B296FB0-376B-497e-B012-9C450E1B7 reçu le 2010.03.29 21:38:18 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


Résultat: 0/39 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.
Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. Email:


Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.03.29 -
AntiVir 7.10.5.248 2010.03.29 -
Antiy-AVL 2.0.3.7 2010.03.29 -
Authentium 5.2.0.5 2010.03.29 -
Avast 4.8.1351.0 2010.03.29 -
Avast5 5.0.332.0 2010.03.29 -
AVG 9.0.0.787 2010.03.29 -
BitDefender 7.2 2010.03.29 -
CAT-QuickHeal 10.00 2010.03.29 -
ClamAV 0.96.0.0-git 2010.03.29 -
Comodo 4430 2010.03.29 -
DrWeb 5.0.2.03220 2010.03.29 -
eSafe 7.0.17.0 2010.03.28 -
eTrust-Vet 35.2.7395 2010.03.29 -
F-Prot 4.5.1.85 2010.03.29 -
F-Secure 9.0.15370.0 2010.03.29 -
Fortinet 4.0.14.0 2010.03.29 -
GData 19 2010.03.29 -
Ikarus T3.1.1.80.0 2010.03.29 -
Jiangmin 13.0.900 2010.03.29 -
K7AntiVirus 7.10.1004 2010.03.22 -
Kaspersky 7.0.0.125 2010.03.29 -
McAfee 5935 2010.03.29 -
McAfee+Artemis 5935 2010.03.29 -
Microsoft 1.5605 2010.03.29 -
NOD32 4983 2010.03.29 -
Norman 6.04.10 2010.03.29 -
nProtect 2009.1.8.0 2010.03.29 -
Panda 10.0.2.2 2010.03.29 -
PCTools 7.0.3.5 2010.03.29 -
Rising 22.41.00.04 2010.03.29 -
Sophos 4.52.0 2010.03.29 -
Sunbelt 6113 2010.03.29 -
Symantec 20091.2.0.41 2010.03.29 -
TheHacker 6.5.2.0.247 2010.03.29 -
TrendMicro 9.120.0.1004 2010.03.29 -
VBA32 3.12.12.2 2010.03.29 -
ViRobot 2010.3.29.2250 2010.03.29 -
VirusBuster 5.0.27.0 2010.03.29 -
Information additionnelle
File size: 13808 bytes
MD5...: 8d40301985feb64f89d4dc8082779cc4
SHA1..: 659dd45fec3aab6127eba8a3c9c6b6e63eca796e
SHA256: 014484173f609160f50254d8d44d5fe46dc00fe65d1ba856f1e661a3572a41ee
ssdeep: 384:Put/eHu0bDv5mdmMb/OTTRpEcM8lf/Y7nxs1Gw:Pux1Gb5mdtb/2RrM8pYc

PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

trid..: PGN (Portable Gaming Notation) Compressed format (98.9%)
Targa bitmap (Original TGA Format) (0.6%)
MS Flight Simulator Aircraft Performance Info (0.3%)

Deuxième fichier Nico

Merci

"""""""""""

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.03.30 -
AhnLab-V3 5.0.0.2 2010.03.30 -
AntiVir 7.10.6.4 2010.03.30 -
Antiy-AVL 2.0.3.7 2010.03.30 -
Authentium 5.2.0.5 2010.03.30 -
Avast 4.8.1351.0 2010.03.30 -
Avast5 5.0.332.0 2010.03.30 -
AVG 9.0.0.787 2010.03.29 -
BitDefender 7.2 2010.03.30 -
CAT-QuickHeal 10.00 2010.03.30 -
ClamAV 0.96.0.0-git 2010.03.30 -
Comodo 4438 2010.03.30 -
DrWeb 5.0.2.03220 2010.03.30 -
eSafe 7.0.17.0 2010.03.28 -
eTrust-Vet 35.2.7396 2010.03.30 -
F-Prot 4.5.1.85 2010.03.29 -
F-Secure 9.0.15370.0 2010.03.30 -
Fortinet 4.0.14.0 2010.03.30 -
GData 19 2010.03.30 -
Ikarus T3.1.1.80.0 2010.03.30 -
Jiangmin 13.0.900 2010.03.30 -
K7AntiVirus 7.10.1004 2010.03.22 -
Kaspersky 7.0.0.125 2010.03.30 -
McAfee 5935 2010.03.29 -
McAfee+Artemis 5935 2010.03.29 -
McAfee-GW-Edition 6.8.5 2010.03.30 -
Microsoft 1.5605 2010.03.30 -
NOD32 4984 2010.03.30 -
Norman 6.04.10 2010.03.30 -
nProtect 2009.1.8.0 2010.03.30 -
Panda 10.0.2.2 2010.03.29 -
PCTools 7.0.3.5 2010.03.30 -
Prevx 3.0 2010.03.30 -
Rising 22.41.01.03 2010.03.30 -
Sophos 4.52.0 2010.03.30 -
Sunbelt 6116 2010.03.30 -
Symantec 20091.2.0.41 2010.03.30 -
TheHacker 6.5.2.0.247 2010.03.29 -
TrendMicro 9.120.0.1004 2010.03.30 -
VBA32 3.12.12.2 2010.03.30 -
ViRobot 2010.3.30.2252 2010.03.30 -
VirusBuster 5.0.27.0 2010.03.30 -
Information additionnelle
File size: 13808 bytes
MD5...: ebe95e574508265f576c4c8e00e34895
SHA1..: eef1b112b34145a79585729e110aa156239b7f01
SHA256: 00a790d6681b1f5bfcf689512df33f9718d9885560bf8b50423aff421abe18af
ssdeep: 384:y11YY2xmXizWDoYbIl2ab2RhaGQs6bUf0po/fsga:y/Y3mSzWcYbIYaiRz0p
oA
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: PGN (Portable Gaming Notation) Compressed format (98.9%)
Targa bitmap (Original TGA Format) (0.6%)
MS Flight Simulator Aircraft Performance Info (0.3%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Je transmets qu'elle nous réalise un ZHPdiag et je lui demande de désinstaller firefox et de réinstaller. C'est p'têt mieux comme ça je pense.

Je te fais suivre dès que j'ai le rapport

Merci Nico

Voici le rapport Nico

Si il y a une suite tu me dis bien sûr

Merci

"""""""""""""""

http://www.cijoint.fr/cjlink.php?file=cj201003/cijMnNuN7j.doc

svp voiçi mon raport , merci de me dire c'est quoi ces infections



Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 3957

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

05/04/2010 21:28:15
mbam-log-2010-04-05 (21-28-15).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 99324
Temps écoulé: 6 minute(s), 13 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
D:\WINDOWS\system32\AntiWPA.dll (Trojan.I.Stole.Windows) -> No action taken.

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
D:\WINDOWS\system32\AntiWPA.dll (Trojan.I.Stole.Windows) -> No action taken.

Ouvre ton propre topic pour que l'on t"aide.

A+

Bonjour Nico

Je suis parti en WK, et je n'ai rien de mon amie. Je la relance


Merci

Dac'

A+

J'ai des nouvelles de mon amie Nico.

Elle m'a dit avoir remis son notebook en configuraiton usine. Et que tout fonctionne maintenant. Elle peut effectuer les téléchargements avec Firefox sans aucun problème.
Alors on considère que c'est ok.

Merci pour elle Nico

Bonne soirée

Ok si elle a mis en config' d'usine.