Malwarebytes/Spybot

Résolu
Sary -  
 gen-hackman -
Bonjour,
Plus tôt jai été infecté par un malware, vista total security, le programme qui a fait un scan et qui voulait que je l'achète pour éliminer les malwares. J'ai donc fais l'analyse avec Malwarebytes et a trouvé 2 trojans et je les ai supprimer. après que jai fermé le rapport, l'ordi est redémarré tout seul. et la sur le bureau, spybot apparait avec ce message dans l'image ci-dessous. dois-je autoriser la modification???

http://img848.imageshack.us/img848/4668/image1v.png

Merci d'avance!

72 réponses

  • 1
  • 2
  • 3
  • 4
Résumé de la discussion

Une infection par un faux antivirus nommé Vista Total Security est signalée, suivie d'un redémarrage et d'un message Spybot demandant une modification. Plusieurs réponses préconisent de vérifier la persistance des menaces avec des scans complémentaires et d'utiliser des outils spécialisés comme DelFix et CCleaner. En parallèle, des conseils portent sur la sécurité future: réactiver le pare-feu, mettre à jour les navigateurs et plugins, et effectuer un nettoyage post-désinfection. Une information nouvelle indique aussi de contrôler les points de restauration et de conserver des sauvegardes récentes pour limiter les risques en cas de réinfection.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. gen-hackman
     
    salut oui et tu peux meme desinstaller spybot ton pc ne s'en portera que mieux !
    0
  2. Sary
     
    Les malwares, trojan.dropper sont en quarantaine dans malwarebytes. Est-ce que je peux les supprimer pour de bon sans danger?
    0
  3. Sary
     
    Okay, d'ailleurs, j'ai eu plusieurs attaques il y a quelques minutes de Rogue:Win32/fakerean qui est une catégorie de cheval de troie. Microsoft security essentals m'a avertis qu'il y avait une attaque et a dit que la suppression a été complété. Cela a fait 2 fois de suite. Est-ce que mon ordinateur est infecté? J'ai peur qu'il se reproduisse encore la même chose. Que dois-je faire?

    Merci
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. gen-hackman
     
    ▶ Télécharge ici : Ad-remover sur ton bureau :

    ▶ Déconnecte toi et ferme toutes applications en cours !

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    ▶ sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .

    ▶ clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .

    ▶ Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

    ▶ Laisse travailler l'outil et ne touche à rien ...

    ▶ Poste le rapport qui apparait à la fin , sur le forum ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    0
  6. Sary
     
    ======= RAPPORT D'AD-REMOVER 2.0.0.2,F | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 06/04/11
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 18:59:34 le 06/04/2011, Mode normal

    Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 2 (X86)
    Propriétaire@PC-DE-PROPRIÉTA (Sony Corporation VGN-CS110D)

    ============== ACTION(S) ==============

    Dossier supprimé: C:\Program Files\Viewpoint

    (!) -- Fichiers temporaires supprimés.

    Clé supprimée: HKLM\Software\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{03F998B2-0E00-11D3-A498-00104B6EB52E}
    Clé supprimée: HKLM\Software\Classes\TypeLib\{9DBB28C1-1925-11D3-A498-00104B6EB52E}
    Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtl
    Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtl.1
    Clé supprimée: HKLM\Software\MetaStream
    Clé supprimée: HKLM\Software\Viewpoint
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{D08D9F98-1C78-4704-87E6-368B0023D831}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ViewpointMediaPlayer
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer

    Valeur supprimée: HKLM\Software\Mozilla\Firefox\Extensions|{6E19037A-12E3-4295-8915-ED48BC341614}

    ============== SCAN ADDITIONNEL ==============

    **** Internet Explorer Version [8.0.6001.19019] ****

    HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
    HKCU_Main|Start Page - hxxp://fr.msn.com/
    HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
    HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Start Page - hxxp://fr.msn.com/
    HKLM_Toolbar|{8dcb7100-df86-4384-8842-8fa844297b3f} ("C:\Program Files\Microsoft\BingBar\BingExt.dll") (x)
    HKLM_ElevationPolicy\{44295CB8-D71B-11DA-8750-001185653D78} - c:\program files\google\googletoolbar1user.exe (x)
    HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
    HKLM_ElevationPolicy\{aa851425-0109-43f3-9ed2-7b7090125861} - C:\Program Files\Microsoft\BingBar\BingBar.exe (Microsoft Corporation.)
    HKLM_Extensions\{CCA281CA-C863-46ef-9331-5C8D4460577F} - "@btrez.dll,-4015" (C:\Program Files\WIDCOMM\Bluetooth Software\bt_cold_icon.ico)
    BHO\{d2ce3e00-f94a-4740-988e-03dc2f38c34f} - "Bing Bar Helper" ("C:\Program Files\Microsoft\BingBar\BingExt.dll") (x)

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 40 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 06/04/2011 18:59:55 (3145 Octet(s))

    Fin à: 19:00:55, 06/04/2011

    ============== E.O.F ==============
    0
  7. gen-hackman
     
    desactive tes protections puis enregistre ceci sur ton bureau

    Pre_Scan

    une fois telechargé lance-le , laisse faire le scan puis colle le contenu de " rapport.txt" qui apparaitra à son terme , sur le bureau.
    0
  8. Sary
     
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan by g3n-h@ckm@n 1.0.0.12 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    ¤ XP | Vista | Seven - 32/64 ¤

    Mis à jour le 06/04/2011 | 15.40 par g3n-h@ckm@n
    Utilisateur : Propriétaire (Administrateurs)
    Ordinateur : PC-DE-PROPRIÉTA

    Système d'exploitation : Windows Vista (TM) Home Premium (32 bits)
    Internet Explorer : 8.0.6001.19019
    Mozilla Firefox :

    Scan : 19:11:03 | 06/04/2011

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    [HKLM\..\..\Winlogon] | Shell -> Aucune modification : Explorer.exe -> Explorer.exe
    [HKLM\..\..\Winlogon] | AutoRestartShell -> Modification apportée : 0 -> 1
    [HKLM\..\..\Winlogon] | userinit -> Aucune modification : C:\Windows\system32\Userinit.exe, -> C:\Windows\system32\Userinit.exe,
    [HKLM\..\..\Winlogon] | PowerDownAfterShutdown -> Modification apportée : 0 -> 1

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Associations ¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    [exefile | command] : "%1" %*
    [comfile | command] : "%1" %*
    [scrfile | command] : "%1" /S
    [batfile | command] : "%1" %*
    [piffile | command] : "%1" %*
    [IE | Command] | @ -> Modification apportée : %programfiles%\Internet Explorer\iexplore.exe -> "C:\Program Files\Internet Explorer\iexplore.exe"

    ¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

    [Ndisuio] | Start -> Aucune modification : 3 -> 3
    [Bits] | Start -> Aucune modification : 2 -> 2
    [EapHost] | Start -> Modification apportée : 3 -> 2
    [Wlansvc] | Start -> Aucune modification : 2 -> 2
    [SharedAccess] | Start -> Modification apportée : 4 -> 2
    [windefend] | Start -> Aucune modification : 2 -> 2
    [wuauserv] | Start -> Aucune modification : 2 -> 2
    [WerSvc] | Start -> Aucune modification : 2 -> 2
    [wscsvc] | Start -> Aucune modification : 2 -> 2

    ¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

    [HKCU | Main] | Start Page -> Modification apportée : http://google.ca/ -> http://www.google.com/
    [HKCU | Main] | Local Page -> Aucune Modification : C:\Windows\system32\blank.htm -> C:\Windows\system32\blank.htm
    [HKCU | Main] | Search Page -> Modification apportée : -> http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

    [HKLM | Main] | Start Page -> Modification apportée : http://fr.msn.com/ -> http://go.microsoft.com/fwlink/?LinkId=69157
    [HKLM | Main] | Local Page -> Aucune Modification : C:\Windows\System32\blank.htm -> C:\Windows\System32\blank.htm
    [HKLM | Main] | Default_Search_URL -> Modification apportée : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch -> http://go.microsoft.com/fwlink/?LinkId=54896
    [HKLM | Main] | Default_Page_URL -> Modification apportée : http://go.microsoft.com/fwlink/?LinkId=54896 -> http://go.microsoft.com/fwlink/?LinkId=69157
    [HKLM | Main] | Search Page -> Modification apportée : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch -> http://go.microsoft.com/fwlink/?LinkId=54896

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processus ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤¤¤¤¤¤ Clés supprimées et Fichier mis en quarantaine ¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤¤¤¤¤¤ IFEO ¤¤¤¤¤¤¤¤¤¤

    Supprimé : [AcroRd32.exe] ->
    Supprimé : [DllNXOptions] ->
    Supprimé : [MovieMaker.exe] ->
    Supprimé : [wpwin8.EXE] ->

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    scanning jobs ...

    scanning processes ...

    scanning threads ...

    scanning modules in svchost.exe...
    scanning modules in services.exe...
    scanning modules in explorer.exe...

    restoring services BITS, wuauserv, ERSvc, WerSvc
    Service BITS autorun restored
    Service wuauserv autorun restored
    Service WerSvc autorun restored

    restoring show hidden and system files

    restoring SafeBoot registry node
    Restoring safe/network boot registry branches for windows Vista/2008

    scanning C:\Windows\system32 ...
    scanning C:\Program Files\Internet Explorer\ ...
    scanning C:\Program Files\Movie Maker\ ...
    scanning C:\Program Files\Windows Media Player\ ...
    scanning C:\Program Files\Windows NT\ ...
    scanning C:\Users\Propriétaire\AppData\Roaming ...
    scanning C:\Users\PROPRI~1\AppData\Local\Temp\ ...
    scanning C:\ ...
    scanning D:\ ...
    scanning E:\ ...

    completed
    Infected jobs: 0
    Infected files: 0
    Infected threads: 0
    Splices functions: 0
    Cured files: 0
    Fixed registry keys: 0

    explorer.exe -> Processus redémarré

    Fin : 19:19:11

    ¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤
    0
  9. gen-hackman
     
    DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!! (car l'outil est detecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

    ▶ Télécharge ici :List_Kill'em

    et enregistre le sur ton bureau et lance l'installation

    Laisse coché :

    ♦ Executer List_Kill'em

    une fois terminée , clic sur "terminer"

    choisis l'option Search

    ▶ laisse travailler l'outil

    Attention : il se peut que l'outil bloque anormalement longtemps arrivé à 95%, relance-le avec le raccourci sur le bureau sans l'arreter , puis clique sur le tout petit "X" en bas de la fenetre d'accueil du programme, ca le debloquera pour finir son scan

    ▶ Poste les rapports qui apparaitront sur ton bureau : List'em.txt et More.txt

    ▶▶▶ NE LES POSTE PAS SUR LE FORUM

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et selectionne , un par un , les fichiers concernés apparus sur ton bureau

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ces liens dans ta réponse.
    0
  10. Sary
     
    http://www.cijoint.fr/cjlink.php?file=cj201104/cij4hgHKja.txt

    http://www.cijoint.fr/cjlink.php?file=cj201104/cijyAs9O9X.txt
    0
  11. Sary
     
    il y a un fichier desktop qui est apparu sur le bureau après le ad-remover. c'est quoi?
    0
  12. gen-hackman
     
    tu as bien desactive toutes tes protections parefeu compris pour l utilisation de l'outil ?
    0
  13. Sary
     
    jai désactivé mon antivirus. le pare feu de windows ne fonctionne pas.
    0
  14. gen-hackman
     
    ▶ Relance List_Kill'em,avec le raccourci sur ton bureau.

    mais cette fois-ci :

    ▶ choisis l'Option Suppression

    ▶▶▶ Ne clique qu'une seule fois sur le bouton !!

    laisse travailler l'outil.

    en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

    ▶ colle le contenu dans ta reponse

    ▶ envoie le zip Upload_ta-session_List_Kill'em.zip via cijoint.fr
    0
  15. Sary
     
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.3.8 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    Mis à jour le 06/04/2011 | 17.00 par g3n-h@ckm@n
    Utilisateur : Propriétaire (Administrateurs)
    Ordinateur : PC-DE-PROPRIÉTA

    Système d'exploitation : Windows Vista (TM) Home Premium HomePremium (32 bits)

    c:\ -> [Fixed] | [] | Total : 230310 Mo | Free : 70790 Mo -> NTFS
    d:\ -> [Removable] | [] | Total : 0 Mo | Free : 0 Mo ->
    e:\ -> [Removable] | [] | Total : 0 Mo | Free : 0 Mo ->
    f:\ -> [CDROM] | [] | Total : 0 Mo | Free : 0 Mo ->

    Scan : 20:22:46 | 06/04/2011

    ¤¤¤¤¤¤¤¤¤¤ IFEO ¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤¤¤¤¤¤ Mountpoints2 ¤¤¤¤¤¤¤¤¤¤

    Supprimé : [HKCU\..\..\Mountpoints2\{930c09bd-db62-11dd-944d-00214f549b17}] -> command : G:\ConnectProSST.exe
    Supprimé : [HKCU\..\..\Mountpoints2\{c9060ede-5366-11de-92d0-00214f549b17}] -> command : G:\ConnectProSST.exe

    ¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤

    127.0.0.1 localhost

    ¤¤¤¤¤¤¤¤¤¤ Supression Fichiers | Dossiers ¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤¤¤¤¤¤ Suppression Clés ¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤¤¤¤¤¤¤ Services néfastes ¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤¤¤¤¤¤ Suppression Valeurs ¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    [HKLM\..\..\Security Center] | cval = 1
    [HKLM\..\..\Security Center\Svc] | AntiVirusOverride = 0
    [HKLM\..\..\Security Center\Svc] | AntiSpywareOverride = 0
    [HKLM\..\..\Security Center\Svc] | FirewallOverride = 0
    [HKLM\..\..\Security Center\Svc] | VistaSp1 =
    [HKLM\..\..\Security Center\Svc] | VistaSp2 =

    Fin : 20:26:05

    ¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤
    0
  16. gen-hackman
     
    parfait

    Télécharge ici :OTL

    enregistre le sur ton Bureau.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    ▶ Configuration

    ▶Clic sur Analyse.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    ▶ Copie ce lien dans ta réponse.

    ▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
    0
  17. Sary
     
    ça sert à quoi tous ces analyses, etc?! est-ce que le virus est encore là??
    0
  • 1
  • 2
  • 3
  • 4