Alerte malwarebytes au démarrage Résolu/Fermé

Question

Bonjour,  

Voila, j'ai redémarré mon pc et malwarebytes m'a alerté concernant ce fichier : c:\WINDOWS\system32\mdimon.dll (Trojan.Hiloti) 

Du coup, j'ai fait une analyse avec malwarebytes :   

Malwarebytes' Anti-Malware 1.51.1.1800 
www.malwarebytes.org 

Version de la base de données: 7319 

Windows 5.1.2600 Service Pack 3 
Internet Explorer 8.0.6001.18702 

30/07/2011 18:01:42 
mbam-log-2011-07-30 (18-01-39).txt 

Type d'examen: Examen complet (C:\|D:\|) 
Elément(s) analysé(s): 199796 
Temps écoulé: 28 minute(s), 12 seconde(s) 

Processus mémoire infecté(s): 0 
Module(s) mémoire infecté(s): 1 
Clé(s) du Registre infectée(s): 0 
Valeur(s) du Registre infectée(s): 0 
Elément(s) de données du Registre infecté(s): 3 
Dossier(s) infecté(s): 0 
Fichier(s) infecté(s): 2 

Processus mémoire infecté(s): 
(Aucun élément nuisible détecté) 

Module(s) mémoire infecté(s): 
c:\WINDOWS\system32\mdimon.dll (Trojan.Hiloti) -> No action taken. 

Clé(s) du Registre infectée(s): 
(Aucun élément nuisible détecté) 

Valeur(s) du Registre infectée(s): 
(Aucun élément nuisible détecté) 

Elément(s) de données du Registre infecté(s): 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. 

Dossier(s) infecté(s): 
(Aucun élément nuisible détecté) 

Fichier(s) infecté(s): 
c:\WINDOWS\system32\mdimon.dll (Trojan.Hiloti) -> No action taken. 
c:\program files\fichiers communs\microsoft shared\MODI\11.0\DRIVERS\MDIMON.DLL (Trojan.Hiloti) -> No action taken. 


Pour l'instant, je n'ai rien fait.

Merci pour l'aide que vous pourrez m'apporter. 

Configuration: Windows XP / Firefox 3.6.18

S!Ri · Accepted Answer

Bonjour

Il s'agit bien d'un faux positif.
Merci pour le retour d'info.
a+

jfkpresident · Answer

Bonsoir,

C'est peut etre un faux-positif .

Pour s'en assurer ,fait ceci :

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier :

C:\WINDOWS\system32\mdimon.dll 

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

thib79 · Answer

File name:
mdimon.dll
Submission date:
2011-07-30 18:23:32 (UTC)
Current status:
queued (#337) queued analysing finished
Result:
0/ 43 (0.0%)
	
Antivirus 	Version 	Last Update 	Result
AhnLab-V3	2011.07.31.00	2011.07.30	-
AntiVir	7.11.12.167	2011.07.29	-
Antiy-AVL	2.0.3.7	2011.07.30	-
Avast	4.8.1351.0	2011.07.30	-
Avast5	5.0.677.0	2011.07.30	-
AVG	10.0.0.1190	2011.07.30	-
BitDefender	7.2	2011.07.30	-
CAT-QuickHeal	11.00	2011.07.30	-
ClamAV	0.97.0.0	2011.07.29	-
Commtouch	5.3.2.6	2011.07.30	-
Comodo	9569	2011.07.30	-
DrWeb	5.0.2.03300	2011.07.30	-
Emsisoft	5.1.0.8	2011.07.30	-
eSafe	7.0.17.0	2011.07.27	-
eTrust-Vet	36.1.8472	2011.07.29	-
F-Prot	4.6.2.117	2011.07.30	-
F-Secure	9.0.16440.0	2011.07.29	-
Fortinet	4.2.257.0	2011.07.30	-
GData	22	2011.07.30	-
Ikarus	T3.1.1.104.0	2011.07.30	-
Jiangmin	13.0.900	2011.07.30	-
K7AntiVirus	9.109.4961	2011.07.29	-
Kaspersky	9.0.0.837	2011.07.30	-
McAfee	5.400.0.1158	2011.07.30	-
McAfee-GW-Edition	2010.1D	2011.07.30	-
Microsoft	1.7104	2011.07.30	-
NOD32	6337	2011.07.30	-
Norman	6.07.10	2011.07.30	-
nProtect	2011-07-30.01	2011.07.30	-
Panda	10.0.3.5	2011.07.30	-
PCTools	8.0.0.5	2011.07.30	-
Prevx	3.0	2011.07.30	-
Rising	23.68.04.03	2011.07.29	-
Sophos	4.67.0	2011.07.30	-
SUPERAntiSpyware	4.40.0.1006	2011.07.30	-
Symantec	20111.1.0.186	2011.07.30	-
TheHacker	6.7.0.1.264	2011.07.30	-
TrendMicro	9.200.0.1012	2011.07.30	-
TrendMicro-HouseCall	9.200.0.1012	2011.07.30	-
VBA32	3.12.16.4	2011.07.29	-
VIPRE	10010	2011.07.30	-
ViRobot	2011.7.30.4597	2011.07.30	-
VirusBuster	14.0.146.2	2011.07.30	-

jfkpresident · Answer

C'est bel et bien un faux-positif .

Je vais demander a qui de droit pour faire remonter l'info chez Malware'sByte's .

thib79 · Answer

Je sais pas si ça un rapport mais avant de redémarrer j'avais désactivés des serices windows que je n'utilise pas.

Dans tout les cas, je n'ai rien à craindre ?

jfkpresident · Answer

Dans tout les cas, je n'ai rien à craindre ?

Pas avec celui la mais on peut vérifier le pc si tu veux :

 Télécharge ZhpDiag de Nicolas Coolman .
  
    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe(clic droit ,"éxécuter en tant qu'administrateur" pour Vista/7).

    Une fois installé le programme s'ouvre automatiquement .

    Clique sur la loupe pour lancer l'analyse.

    A la fin de l'analyse, clique sur la "disquette" (enregistrer sous..) .

    Rend toi sur ce site : http://www.cijoint.fr/index.php ou celui-ci : http://pjjoint.malekal.com/
     
    Clique sur parcourir et sélectionne le fichier ZhpDiag.txt (Une aide au cas ou])

    Un lien va etre créer ,poste ce lien dans ta prochaine réponse.

thib79 · Answer

Bonjour,

Voici le rapport : 

http://www.cijoint.fr/cjlink.php?file=cj201107/cijK08cjyP.txt

jfkpresident · Answer

Copie dans le Presse-papier les lignes ci-dessous en gras (sélectionne les avec la souris et fais simultanément Ctrl et C)

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified    
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified   
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified 
[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified  
[HKCU\Software\PopCap]    
[HKLM\Software\PopCap]   
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}]  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}]   
[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{D4027C7F-154A-4066-A1AD-4243D8127440}  
[HKCU\Software\Conduit]    
[HKLM\Software\Conduit] 
C:\Documents and Settings\Thibault\Local Settings\Application Data\Conduit    
Emptytemp
 

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

thib79 · Answer

Voici le rapport : 

Rapport de ZHPFix 1.12.3345 par Nicolas Coolman, Update du 29/07/2011
Fichier d'export Registre : D:\ZHPExportRegistry-31-07-2011-22-30-32.txt
Run by Thibault at 31/07/2011 22:30:32
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\PopCap
SUPPRIME Key: HKLM\Software\PopCap
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
SUPPRIME Key: HKCU\Software\Conduit
SUPPRIME Key: HKLM\Software\Conduit

========== Valeur(s) du Registre ==========
SUPPRIME [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{D4027C7F-154A-4066-A1AD-4243D8127440}

========== Elément(s) de donnée du Registre ==========
REMPLACE Value AntiVirusDisableNotify :   Good (0) - Bad (1)
REMPLACE Value FirewallDisableNotify :   Good (0) - Bad (1)
REMPLACE Value FirewallOverride :   Good (0) - Bad (1)
REMPLACE Value UpdatesDisableNotify :   Good (0) - Bad (1)

========== Dossier(s) ==========
SUPPRIME Folder*: c:\documents and settings	hibault\local settings\application data\conduit
SUPPRIME Temporaires Windows: : 5

========== Fichier(s) ==========
SUPPRIME Temporaires Windows: : 1


========== Récapitulatif ==========
6 : Clé(s) du Registre
1 : Valeur(s) du Registre
4 : Elément(s) de donnée du Registre
2 : Dossier(s)
1 : Fichier(s)


========== Chemin du fichier rapport ==========
D:\Program Files\ZHPDiag\ZHPFixReport.txt
 

J'étais donc infecté ?

jfkpresident · Answer

J'étais donc infecté ?

Rien de méchant . 

Tu peux mettre en résolu .

Bye

thib79 · Answer

Ok.

Et bien avant de mettre résolu, je te dit un gros merci !

Bye

Alerte malwarebytes au démarrage

11 réponses

Discussions similaires