Rapport mbam

Résolu
khaldcasa Messages postés 1190 Date d'inscription   Statut Membre Dernière intervention   -  
khaldcasa Messages postés 1190 Date d'inscription   Statut Membre Dernière intervention   -
Bonjour,

j'ai effectué un scan complet mba et voila log avec infection ,que j'ai is en quarantaine .
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6441

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

25/04/2011 16:57:09
mbam-log-2011-04-25 (16-57-09).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 227447
Temps écoulé: 34 minute(s), 5 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\program files\WinRAR\Zip.SFX (Malware.Packer.Gen) -> Quarantined and deleted successfully.
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6441

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

25/04/2011 16:57:09
mbam-log-2011-04-25 (16-57-09).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 227447
Temps écoulé: 34 minute(s), 5 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\program files\WinRAR\Zip.SFX (Malware.Packer.Gen) -> Quarantined and deleted successfully.

dois je effectuer d'autres scan de desinfection??
merci de 'aider

7 réponses

  1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    bonjour, oui si tu pouvais poster un zhpdiag pour voir si rien d'autre sur le pc !!

    Ouvre ce lien et télécharge ZHPDiag :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    cliques sur télécharger "celui du bas"

    ou directement ici: ftp://zebulon.fr/ZHPDiag2.exe

    Enregistres le sur ton Bureau.

    Une fois le téléchargement achevé

    pour XP, double-clique sur ZHPDiag

    pour Vista,et seven tu fais un clic droit sur l'icône et exécute en tant qu'administrateur.

    N'oublies pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

    /|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

    Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP sinon clique droit et en tant que administrateur !!

    Cliques sur la loupe pour lancer l'analyse.

    si tu as un message te demandant la validation pour SIGCHECK acceptes avec OK cela est pour nous faire un rapport plus complet et pouvoir en faire une lecture plus approfondis

    Laisses l'outil travailler, il peut être assez long

    A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

    Fermes ZHPDiag en fin d'analyse.

    Pour me le transmettre clique sur ce lien :

    http://www.cijoint.fr/index.php

    Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt

    ou directement en choisissant bureau et ZHPDiag.txt clique dessus

    Clique sur Ouvrir.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.

    et si problème passe par celui ci : https://www.cjoint.com/
    0
  2. khaldcasa Messages postés 1190 Date d'inscription   Statut Membre Dernière intervention   2
     
    re
    erci pour ta réponse ,voila rapport zhp:

    http://www.cijoint.fr/cjlink.php?file=cj201104/c
    ijPtSlWYw.txt

    attend instructions
    0
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      passes ad-remover car il semblerait que tu est des traces de " Adware.AskSBar"


      Déactives ton anti-virus et anti-spyware le temps du scan

      Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
      Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
      Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


      Télécharge Ad-Remover sur ton bureau:
      http://www.teamxscript.org/adremoverTelechargement.html
      ou:
      https://www.androidworld.fr/

      /!\ Ferme toutes tes applications ouvertes. /!\

      Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur "Nettoyer".
      Laisse travailler l'outil.
      Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.



      ( Le rapport est sauvegardé sous C:\Ad-report-clean.log )
      0
  3. khaldcasa Messages postés 1190 Date d'inscription   Statut Membre Dernière intervention   2
     
    ======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 12/04/11
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 18:02:06 le 25/04/2011, Mode normal

    Microsoft Windows 7 Professionnel Service Pack 1 (X86)
    taky@TAKY-PC (Dell Inc. Latitude 13)

    ============== ACTION(S) ==============

    (!) -- Fichiers temporaires supprimés.

    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}

    ============== SCAN ADDITIONNEL ==============

    **** Mozilla Firefox Version [4.0 (fr)] ****

    Searchplugins\bing.xml ( hxxp://www.bing.com/search)
    Components\browsercomps.dll (Mozilla Foundation)

    -- C:\Users\taky\AppData\Roaming\Mozilla\FireFox\Profiles\6n26i4nf.default --
    Prefs.js - browser.download.lastDir, C:\\Users\\taky\\Desktop
    Prefs.js - browser.startup.homepage, hxxp://www.google.co.ma/firefox?client=firefox-a&rls=org.mozilla:fr:official
    Prefs.js - browser.startup.homepage_override.buildID, 20110318052756
    Prefs.js - browser.startup.homepage_override.mstone, rv:2.0

    ========================================

    **** Internet Explorer Version [9.0.8112.16421] ****

    HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
    HKCU_Main|Start Page - hxxp://fr.msn.com/
    HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
    HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Start Page - hxxp://fr.msn.com/
    HKCU_SearchScopes\{4F916CC2-20A2-493B-8ECA-560B797CF02E} - "?" (?)
    HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\System32\wpcer.exe (x)
    HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\System32\winfxdocobj.exe (x)
    HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
    HKLM_Extensions\{CCA281CA-C863-46ef-9331-5C8D4460577F} - "@c:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-4015" (c:\Program Files\WIDCOMM\Bluetooth Software\bt_cold_icon.ico)

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 25/04/2011 18:02:12 (2675 Octet(s))

    Fin à: 18:03:09, 25/04/2011

    ============== E.O.F ==============
    0
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      ok pour moi c'est bon il a trouvé et supprimer ce que je disais , peux tu faire un pré-scan et normalement c'est bon

      desactive tes protections puis enregistre ceci sur ton bureau

      Pre_Scan

      Avertissement: Il y aura une extinction courte du bureau --> pas de panique.

      une fois telechargé lance-le , laisse faire le scan puis colle le contenu de "Pre_scan.txt" qui apparaitra à son terme , sur le bureau.

      si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

      si l'outil semble ne pas avoir fonctionné clique plusieurs fois très rapidement dessus ou renomme-le winlogon ou change son extension en .com ou .scr
      0
  4. khaldcasa Messages postés 1190 Date d'inscription   Statut Membre Dernière intervention   2
     
    j'ai installé préscan et desactivé protection ,quand je clic sur icone sur bureau une fennetre reatribution dossiers fiechiers s'ouvre et se refere en 3sec.
    et rien ne se passe??
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. khaldcasa Messages postés 1190 Date d'inscription   Statut Membre Dernière intervention   2
     
    excuse je viens de le voir!!!
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan 1.0.0.38 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤ XP | Vista | Seven - 32/64 ¤¤¤¤¤

    Mis à jour le 25/04/2011 | 13.20 par g3n-h@ckm@n
    Utilisateur : taky (Administrateurs)
    Ordinateur : TAKY-PC

    Système d'exploitation : Windows 7 Professional (32 bits)
    Internet Explorer : 9.0.8112.16421
    Mozilla Firefox : 4.0 (fr)

    Scan : 18:54:26 | 25/04/2011

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    [HKCU\..\..\Winlogon] | Shell -> Aucune modification : explorer.exe -> explorer.exe

    ¤

    [HKLM\..\..\Winlogon] | Shell -> Aucune modification : Explorer.exe -> Explorer.exe
    [HKLM\..\..\Winlogon] | AutoRestartShell -> Aucune modification : 1 -> 1
    [HKLM\..\..\Winlogon] | userinit -> Aucune modification : C:\Windows\system32\Userinit.exe, -> C:\Windows\system32\Userinit.exe,
    [HKLM\..\..\Winlogon] | PowerDownAfterShutdown -> Aucune modification : 1 -> 1

    ¤¤¤¤¤¤¤¤¤¤ Associations

    [.exe] : exefile
    [exefile | command] : "%1" %*
    [.com] : ComFile
    [comfile | command] : "%1" %*
    [.reg] : regfile
    [regfile | command] : regedit.exe "%1"
    [.scr] : scrfile
    [scrfile | command] : "%1" /S
    [.bat] : batfile
    [batfile | command] : "%1" %*
    [.cmd] : cmdfile
    [cmdfile | command] : "%1" %*
    [.pif] : piffile
    [piffile | command] : "%1" %*

    ¤

    [Firefox | Command] | @ -> Aucune modification : "C:\Program Files\Mozilla Firefox\Firefox.exe" -> "C:\Program Files\Mozilla Firefox\Firefox.exe"
    [Firefox - Safemode | Command] | @ -> Aucune modification : "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode -> "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode
    [IE | Command] | @ -> Aucune modification : "C:\Program Files\Internet Explorer\iexplore.exe" -> "C:\Program Files\Internet Explorer\iexplore.exe"
    [Applications | IE | Command] | @ -> Aucune modification : "C:\Program Files\Internet Explorer\iexplore.exe" %1 -> "C:\Program Files\Internet Explorer\iexplore.exe" %1

    ¤

    [Assoc | Applications] | @ -> Aucune modification : http://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s -> http://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s

    ¤

    ¤

    ¤¤¤¤¤¤¤¤¤¤ Services

    [Ndisuio] | Start -> Aucune modification : 3 -> 3
    [lmhosts] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [LanmanWorkstation] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [LanmanServer] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [agp440] | Start -> Aucune modification : 2 -> 2 : Service Redemarré
    [AudioEndpointBuilder] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [Audiosrv] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [BFE] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [Bits] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [CryptSvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [EapHost] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [Wlansvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [SharedAccess] | Start -> Aucune modification : 2 -> 2 : Service Redemarré
    [windefend] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [wuauserv] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [WerSvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [wscsvc] | Start -> Aucune modification : 2 -> 2 : Service Actif

    ¤¤¤¤¤¤¤¤¤¤ Internet Explorer

    [HKCU | Main] | Start Page -> Aucune Modification : https://www.google.com/?gws_rd=ssl -> https://www.google.com/?gws_rd=ssl
    [HKCU | Main] | Local Page -> Aucune Modification : C:\Windows\system32\blank.htm -> C:\Windows\system32\blank.htm
    [HKCU | Main] | Search Page -> Aucune Modification : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch -> http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

    [HKLM | Main] | Start Page -> Aucune Modification : https://www.msn.com/fr-fr/?ocid=iehp -> https://www.msn.com/fr-fr/?ocid=iehp
    [HKLM | Main] | Local Page -> Aucune Modification : C:\Windows\System32\blank.htm -> C:\Windows\System32\blank.htm
    [HKLM | Main] | Default_Search_URL -> Aucune Modification : https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF -> https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    [HKLM | Main] | Default_Page_URL -> Aucune Modification : https://www.msn.com/fr-fr/?ocid=iehp -> https://www.msn.com/fr-fr/?ocid=iehp
    [HKLM | Main] | Search Page -> Aucune Modification : https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF -> https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

    ¤¤¤¤¤¤¤¤¤¤ Processus

    C:\Windows\explorer.exe -> Processus stoppé

    ¤¤¤¤¤¤¤¤¤¤ Clés supprimées et Fichier mis en quarantaine

    ¤¤¤¤¤¤¤¤¤¤ IFEO

    ¤¤¤¤¤¤¤¤¤¤ Mountpoints2

    ¤¤¤¤¤¤¤¤¤¤ MBR

    MBRCheck, version 1.2.3
    (c) 2010, AD

    Command-line: -za C:\MBR\MBR.bin
    Windows Version: Windows 7 Professional
    Windows Information: Service Pack 1 (build 7601), 32-bit
    Base Board Manufacturer: Dell Inc.
    BIOS Manufacturer: Dell Inc.
    System Manufacturer: Dell Inc.
    System Product Name: Latitude 13
    Logical Drives Mask: 0x0000000c

    Analysis of file "C:\MBR\MBR.bin":
    Windows 2008 MBR code detected

    Done!

    ¤¤¤

    Fin : 18:54:29

    ¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤
    0
  7. khaldcasa Messages postés 1190 Date d'inscription   Statut Membre Dernière intervention   2
     
    dois je faire autre manipulation??
    0
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      oui pour finir le nettoyage proprement !!

      tu vas passer delfix qui supprimera les outils utilisés, si pré-scan est toujours la tu le supprime manuellement !! et puis tu fais un nettoyage avec ccleaner , merci

      1) DelFix - Option Suppression

      Télécharge DelFix (d'Xplode) sur ton bureau.

      Lance le puis sélectionne Suppression

      Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

      Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )

      Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation.


      2) fais un nettoyage avec ccleaner et les réglages donnés



      télécharges Ccleaner à partir de cette adresses

      https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/


      .enregistres le sur le bureau
      .double-cliques si sous XP sinon pour vista et seven clique droit et en tant que administrateur sur le fichier pour lancer l'installation
      .sur la fenêtre de l'installation langage bien choisir français et OK
      .cliques sur suivant
      .lis la licence et j'accepte
      .cliques sur suivant
      .la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner

      ATTENTION refuse l'installation de tous ce qui est google si pas intéressé !!

      .cliques sur intaller
      .cliques sur fermer
      .double-cliques sur l'icône de Ccleaner pour l'ouvrir
      .une fois ouvert tu cliques sur option et puis avancé
      .tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures
      .cliques sur nettoyeur
      .cliques sur windows et dans la colonne avancé
      .cochesla première case vieilles données du perfetch que celle-la
      .cliques sur analyse une fois l'analyse terminé
      .cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien
      .cliques maintenant sur registre et puis sur rechercher les erreurs
      .laisses tout cochées et cliques sur réparrer les erreurs sélectionnées
      .il te demande de sauvegarder OUI
      .tu lui donnes un nom pour pouvoir la retrouver et enregistre
      .cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
      .il supprime et fermer tu vériffis en relancant rechercher les erreurs
      .tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch
      .tu peux fermer Ccleaner

      pour aider si besion tutoriel: https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php
      0
  8. khaldcasa Messages postés 1190 Date d'inscription   Statut Membre Dernière intervention   2
     
    bonjour,

    je te remercie pour ton soutiens .

    j'utilise c cleaner pratiqueent tout les jours, malwarbytes ,une fois par semaine anisi que superantispyare; c'est ce que m'avait conseillé un contributeur de CCM

    merci encore une fois a CCM
    0