Detection de malwares (et autres?) sur mon PC Fermé

Question

Bonjour, 


En debut de semaine un de mes PC a ete infecte. Probleme regle brillamment par Electricien 69 (super agreable, efficace, pro,..). Merci d'ailleurs a tous ceux qui m'ont aide en particulier a lilidurhone,Slyk,Azn0viet.

Comme j'avais downloade sur un autre PC le meme programme vraisemblablement a la source du pb je viens de faire tourner malwarebytes sur ce 2eme PC: apparemment il y a aussi une infection sur ce pc.

Voici le diagnostic que j'ai eu, je ne suis pas allee plus loin, que dois je faire?

Merci

Virginie

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.06.15.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
ADMIN :: ABC-679D393C0DB [administrateur]

6/15/2012 2:57:37 PM
mbam-log-2012-06-15 (15-10-19).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 211577
Temps écoulé: 12 minute(s), 26 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 3
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Aucune action effectuée.

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Documents and Settings\ADMIN\Local Settings\Temp\KMP_3.2.0.0.exe (PUP.ToolbarDownloader) -> Aucune action effectuée.

(fin)




Configuration: Windows XP / Firefox 11.0

Utilisateur anonyme · Answer

Salut,

Rien de grave chez Mbam.

&#9654 Télécharge ZHPDiag (de Nicolas Coolman)

&#9654 Lance-le, (Clic droit "exécuter en tant qu'administrateur" si tu es sous Vista/7)

&#9654 Clique sur l'icône en forme de loupe pour lancer le diagnostique

&#9654 Héberge le rapport ZHPDiag.txt de ton bureau sur :

https://www.cjoint.com/

&#9654 Si le site ne fonctionne pas, consulte cette page : Autres hébergeurs en ligne

g3n-h@ckm@n · Answer

salut ton pc est pas à jour

fallait supprimer avec malwarebytes

Utilisateur anonyme · Answer

bonjour les copins  :D

quoi de neuf ?

il y a un délagage horaire, donc les réponses arrivent plus tard  ;-)



@ GH, tu as vu ça ?   Firefox 11.0



@ Virginie :

passe zhpdiag et on verra ce qu'il a ce pc  :D

vcice · Answer

Je viens de mettre a jour adobe, java et firefox.

Voici le lien pour le zhpdiag:

http://cjoint.com/?BFpsWAaOUG9

(ici il est pres de minuit alors je suivrai la suite des instructions demain)

Merci

Virginie

Utilisateur anonyme · Answer

Java pas à jour, Adobe ça m'étonnerait :)

&#9654 Lance de ton bureau ZHPFix (de Nicolas Coolman), (Clic droit "exécuter en tant qu'administrateur" si tu es sous Vista/7)

&#9654 Copie-colle le texte ci-dessous (en gras)

[HKCU\Software\DataMngr]    => Infection PUP (Adware.Bandoo)
[HKCU\Software\iMesh]    => Infection PUP (PUP.iMesh)
O47 - AAKE:Key Export SP - "C:\Program Files\iMesh Applications\iMesh\iMesh.exe" [Enabled] .(...) -- C:\Program Files\iMesh Applications\iMesh\iMesh.exe (.not file.)    => Infection PUP (PUP.iMesh)
O47 - AAKE:Key Export DP - "C:\Program Files\iMesh Applications\iMesh\iMesh.exe" [Enabled] .(...) -- C:\Program Files\iMesh Applications\iMesh\iMesh.exe (.not file.)    => Infection PUP (PUP.iMesh)
[HKCU\Software\DataMngr]    => Infection PUP (Adware.Bandoo)
[HKCU\Software\iMesh]    => Infection PUP (PUP.iMesh)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\iMesh]
O51 - MPSK:{5a049056-6e84-11e1-8e14-ae808ce1401f}\AutoRun\command. (...) -- G:\AutoRun.exe (.not file.)    => Microsoft Windows NT or Infection USB
O51 - MPSK:{7e0cef50-9017-11e1-8e94-d4a7347352af}\AutoRun\command. (...) -- G:\AutoRun.exe (.not file.)    => Microsoft Windows NT or Infection USB
O51 - MPSK:{8555fbf8-aeed-11e1-bc57-bd44daf32f4b}\AutoRun\command. (...) -- H:\AutoRun.exe (.not file.)    => Microsoft Windows NT or Infection USB
O51 - MPSK:{baa495cf-65f8-11e1-8dfc-c9e21f9019d2}\AutoRun\command. (...) -- G:\AutoRun.exe (.not file.)    => Microsoft Windows NT or Infection USB
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}]    => Toolbar.Agent
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}]    => Toolbar.Ask
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}]    => Toolbar.Ask
[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{D4027C7F-154A-4066-A1AD-4243D8127440}    => Toolbar.Ask
O42 - Logiciel: Java 6 Update 20 - (.Sun Microsystems, Inc..) [HKLM] -- {26A24AE4-039D-4CA4-87B4-2F83216020FF}    => Sun Microsystems Java Update

&#9654 Clique sur Nettoyer / GO, et héberge le rapport ZHPFix.txt de ton bureau sur :

https://www.cjoint.com/

&#9654 Si le site ne fonctionne pas, consulte cette page : Autres hébergeurs en ligne

vcice · Answer

Bonjour,

*Pour Java

Verified Java Version
Congratulations!
You have the recommended Java installed (Version 7 Update 5).

Quelle version est-ce que je devrais downloader?

*Pour Adobe

C:\Program Files\Adobe\Reader 10.0\Reader\plug_ins\IA32.api
    Version: 10.1.3.23
    Creation Date: 2012/04/04
    Creation Time: 12:53:54 PM

Quelle version est-ce que je devrais downloader?

* Rapport ZHDfix

http://cjoint.com/?BFqgAVFPGDK

Utilisateur anonyme · Answer

Okay pour les versions, c'est juste que...

DELETED Java 6 Update 20

Comment va le pc ?

vcice · Answer

Je ne comprends pas ta remarque au sujet de Java: J'ai verifie dans mes programmes je n'ai plus que le 7 Update 5. qu'est ce que je dois faire? 

Le PC fonctione normalement apparement, rien de particulier a signaler je pense

Merci

Virginie

Utilisateur anonyme · Answer

bonjour,
si je peux me permettre  :D


script Zhpfix :


O42 - Logiciel: Java 6 Update 20 - (.Sun Microsystems, Inc..) [HKLM] -- {26A24AE4-039D-4CA4-87B4-2F83216020FF} 



DELETED Java 6 Update 20 => extrait du dernuer rapport de zhpfix  :D

la version 20 de java a été supprimé par l'outil  :D

il existe un outil permettant de vérifier les mises à jour, cet outil doit être désinstaller après chaque utilisation pour des raisons de mise à jour de l'outil lui même :

https://forum.security-x.fr/tutoriels-317/(tutoriel)-sx-checkupdate/

;-)

vcice · Answer

Ah OK j'ai compris: en fait j'avais downloader la derniere version de Java mais je n'avais pas efface l'ancienne existante. Je pensais que ca s'ecrasait tout seul, desolee.

tres utile pour le SX check&update pour moi, merci beaucoup. J'espere que ca m'evitera a arriver a ce genre de problemes la prochaine fois!

Utilisateur anonyme · Answer

pour les anciennnes versions de java, il fallait les désinstaller, mais depuis l'arrivée de la version 7, la nouvelle version désinstalle automatiquement l'ancienne (version 7 seulement) en place  :D

adobe a toujours désinstaller les anciennes versions avant d'installer la nouvelle.


n'oublie pas qu'il faut désinstaller SX check&update et si besoin, de le retéléchareger pour avoir la dernière version  :D



on attend le retour de Saachaa pour la suite  ;-)

Utilisateur anonyme · Answer

Suite :)

&#9654 En cas de problème, n'hésite pas à consulter le tutoriel Malwarebytes

Il se peut que le scan soit long, mais il faut le laisser se terminer.

&#9654 Télécharge Malwarebytes' Anti-Malware sur ton bureau

&#9654 Lance l'installation, (Clic droit "exécuter en tant qu'administrateur" si tu es sous Vista/7).

&#9654 Une fois l'installation terminée, le programme se lance et se met à jour. Dans l'onglet Mise à jour, clique sur le bouton "Recherche de mise à jour" au cas où.

&#9654 Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
&#9654 Sélectionne Exécuter un examen complet.
&#9654 Sélectionne Tous les disques.
&#9654 Clique sur Rechercher.

&#9654 Si des menaces ont été détectées, clique sur Afficher les résultats.

&#9654 Sélectionne toutes les menaces et clique sur Supprimer la sélection, l'ordinateur peut demander le redémarrage, si tel est le cas accepte.

&#9654 Une fois redémarré, ouvre Malwarebytes et rends-toi dans l'onglet Rapport.

&#9654 Ouvre le dernier en date, et copie-colle le sur le forum.

vcice · Answer

Le voici 

merci

Virginie

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.06.18.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
ADMIN :: ABC-679D393C0DB [administrateur]

Protection: Activé

6/18/2012 10:31:45 AM
mbam-log-2012-06-18 (10-31-45).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 590857
Temps écoulé: 3 heure(s), 22 minute(s), 1 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 3
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 18
C:\Documents and Settings\ADMIN\Local Settings\Temp\KMP_3.2.0.0.exe (PUP.ToolbarDownloader) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\ADMIN\Start Menu\Programs\My Documents\Downloads\Programs\SoftonicDownloader_for_kmplayer.exe (PUP.OfferBundler.ST) -> Mis en quarantaine et supprimé avec succès.
D:\SOFTWARE\UltraISO.Premium.Edition.v9.5.2.2836.Multilingual.Incl.Keymaker-CORE\CORE10k.EXE (Dont.Steal.Our.Software) -> Mis en quarantaine et supprimé avec succès.
E:\DATA_01_delete\pm\AppData\Local\Adobe\Contribute CS4\fr_FR\Configuration\Content\CCWelcome\hunter\shameer.jpg (Extension.Mismatch) -> Mis en quarantaine et supprimé avec succès.
E:\DATA_01_delete\pm\AppData\Local\IM\Runtime\SkinThumbnail\3C44FABA-2280-4A6A-94F4-F73EBD987D2E\Thumb.gif (Extension.Mismatch) -> Mis en quarantaine et supprimé avec succès.
E:\DATA_01_delete\pm\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\0H891MY2\mehak71_m[1].jpg (Extension.Mismatch) -> Mis en quarantaine et supprimé avec succès.
E:\DATA_01_delete\pm\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\0H891MY2\150px-UN_meeting_on_environment_at_General_Assembly[1].jpg (Extension.Mismatch) -> Mis en quarantaine et supprimé avec succès.
E:\DATA_01_delete\pm\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\820V4F2H\1pix[3].gif (Extension.Mismatch) -> Mis en quarantaine et supprimé avec succès.
E:\DATA_01_delete\pm\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\820V4F2H\173724_595644271_746121_n[1].jpg (Extension.Mismatch) -> Mis en quarantaine et supprimé avec succès.
E:\DATA_01_delete\pm\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\BI2DRJ1A\1pixCAGHMSWX.gif (Extension.Mismatch) -> Mis en quarantaine et supprimé avec succès.
E:\DATA_01_delete\pm\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\BI2DRJ1A\abonneContentTransparent[1].gif (Extension.Mismatch) -> Mis en quarantaine et supprimé avec succès.
E:\DATA_01_delete\pm\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\KW8YW3FC\20100803PHOWWW00366[1].jpg (Extension.Mismatch) -> Mis en quarantaine et supprimé avec succès.
E:\DATA_01_delete\pm\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\PJTNATD7\560162_television-sits-at-the-water-s-edge-at-the-tsunami-destroyed-village-of-saleapaga-on-samoa-s-southern-coast[1].jpg (Extension.Mismatch) -> Mis en quarantaine et supprimé avec succès.
E:\DATA_01_delete\pm\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\PJTNATD7\bluearrow[1].gif (Extension.Mismatch) -> Mis en quarantaine et supprimé avec succès.
E:\DATA_01_delete\pm\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\PJTNATD7\504023_sans-titre[1].jpg (Extension.Mismatch) -> Mis en quarantaine et supprimé avec succès.
E:\DATA_01_delete\pm\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\PJTNATD7\20110616PHOWWW00228[1].jpg (Extension.Mismatch) -> Mis en quarantaine et supprimé avec succès.
E:\DATA_01_delete\pm\AppData\LocalLow\Softonic-Eng7\CacheIcons\http___storage_conduit_com_BankImages_RadioSkins_Bluenote_play_chevron_gif.gif (Extension.Mismatch) -> Mis en quarantaine et supprimé avec succès.
E:\DATA_01_delete\pm\Documents\Personnel\Avocat Divorce\facture provis.a.avocat.jpg (Extension.Mismatch) -> Mis en quarantaine et supprimé avec succès.

(fin)

Utilisateur anonyme · Answer

Salut,

Regarde la quarantaine, il devrait y avoir des choses à restaurer comme :

E:\DATA_01_delete\pm\Documents\Personnel\Avocat Divorce\facture provis.a.avocat.jpg (Extension.Mismatch)

vcice · Answer

Hello

En fait je ne sais pas ce qu'est/comment acceder a la quarantaine, ni comment les restaurer.

Peux tu m'expliquer comment faire?

Merci

Virgnie

vcice · Answer

Je viens de lire sur le forum quelques reponses liees a la mise en quarantaine... mais je n'ai tres bien compris comment ca marchait: j'ai compris que c'etait un facon de mettre a l'ecart des dossier a probleme, mais je n'ai pas compris si:

-  Ces fichiers sont infectes ou non en fait?
- Ou accede t-on a la quarantaine?
- Comment restaure t-on un fichier en quarantaine?

Merci

Virginie

Utilisateur anonyme · Answer

bonjour, 

pour avancer Saachaa :-) 


lance MBAM 


clique sur l'onglet quarataine, selectionne seulement les lignes qui t'interessent comme celle ci par exemple : 

E:\DATA_01_delete\pm\Documents\Personnel\Avocat Divorce\facture provis.a.avocat.jpg (Extension.Mismatch)  


puis clique sur restaurer  ;-) 





O.o°*??? Membre, Contributeur sécurité CCM o°.Oø¤º°'°º¤ø  

O.o°* ??? Réspire à fond, Rédige ton message en bon français et de manière claire.Ca va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø

vcice · Answer

Merci pour vos messages.

J'ai regarde dans le detail,  rien de tres important, tout peut aller a la poubelle.

On peut continuer

Merci

Virginie

Utilisateur anonyme · Answer

Comme le dit génie, ça doit être les . qui... Venant de Mbam je suis étonné quand même...

Comment va le pc Virginie ?

vcice · Answer

tout va bien merci.

Utilisateur anonyme · Answer

Cool, le final !

Ceci est le plus important, c'est ce qui fera que tu ne te retrouvera pas dans la même situation !

&#9654&#9654 Ceci est tiré d'un article sur "pourquoi je me suis fait infecter, comment me protéger ?".

&#9654 Enregistre et ferme tous tes programmes en cours, le logiciel devra couper tous les processus.
&#9654 Télécharge et lance Cleaning Fighter sur ton bureau.
&#9654 Clique sur Delete, puis laisse faire le scan.
&#9654 Copie/colle le contenu du rapport sur le forum.

&#9654 Supprimons ensuite les outils de désinfection (car ils sont souvent mis à jour), utilise pour cela DelFix (merci à Xplode)
&#9654 Clique sur Suppression, et poste le rapport sur le forum

&#9654 Il est ensuite nécessaire de purger la restauration système, afin que les éléments infectés ne reviennent pas:

-> Purger la restauration et créer un nouveau point

&#9654 Il faut vacciner les supports amovibles !

-> Vacciner ses supports amovibles simplement

&#9654 Tu dois absolument disposer d'un Antivirus !

-> Qu'il soit gratuit ou payant, cela importe peu. Ce sera ton attitude sur le net qui déterminera le pourcentage de chance que tu as d'attraper des infections !

&#9654 Pour mieux savoir quel antivirus te correspond, voici un regroupement de tests antivirus :

- Avast - Avira - AVG - BitDefender - Comodo - Dr.Web - Emsisoft - Eset - G-Data - Ikarus - Kaspersky - MSE - Norton - Panda - Trend Micro - Vipre - Extras - Couples de sécurité

&#9654 Concernant les antivirus payants, tu peux les avoir gratuitement pendant plusieurs mois à cette adresse :

-> Antivirus payants gratuits !

Bien entendu, un antivirus pas à jour, c'est presque comme ne pas en avoir, penses-y !

&#9654 Pour désinstaller un antivirus au profit d'un autre :

-> Désinstaller tous les antivirus

&#9654 Si tu n'as pas lu la page de mise en garde contre les adwares, je t'invite à la lire :

-> Attention aux adwares !

&#9654 Attention aux toolbars inutiles !

-> Supprimer les barres d'outils inutiles

&#9654 Si tu as Windows Defender, désactive-le il n'est pas utile et ralenti le pc :

-> Gérer Windows Defender

&#9654 Utilise un vérificateur de réputation comme WOT, afin d'éviter les sites frauduleux et infectieux :

-> Tutoriel WOT

&#9654 Tu peux aussi utiliser des serveurs DNS sécurisés :

-> Comment changer des serveurs DNS
-> DNS Sécurisés

&#9654 Pour comprendre ce qu'est un pare-feu et pourquoi en avoir un :

->Qu'est-ce qu'un pare-feu ?

&#9654 Utilise ce lien pour savoir si certains fichiers ou sites sont néfastes :

-> Vérifier qu'un fichier ou un site n'est pas infecté

&#9654 Et pour te protéger des pubs (parfois malveillantes) :

-> Se protéger des pubs

&#9654 Tu peux aussi utiliser un "scanneur" Antimalware (qui peut être conjoint à l'antivirus sans problème) comme :

-> Emsisoft
-> Super Anti-Spyware
-> Malwarebytes

(logiciel à lancer en scan complet une fois par mois environ)

&#9654 Pour choisir un mot de passe correct : 

-> Comment choisir un bon mot de passe ?

&#9654 Mais tout ceci ne sert presque à rien si tu ne mets pas tes logiciels à jour tout comme Windows ! Pour ce faire regarde ici :

-> FileHippo

&#9654 Pour apprendre à désinfecter son ordinateur des virus : 

-> Formation gratuite en désinfection virale

&#9654 Pour optimiser l'ordinateur :

-> Nettoyer son pc au maximum
-> Optimiser le temps de démarrage
-> Désactiver les services inutiles
-> Supprimer totalement les programmes encombrants
-> Gagner en vitesse de navigation
-> Décupler les capacités de Windows

&#9654 Tutoriel complet d'optimisation ici:

-> Booster et nettoyer son pc

&#9654 Prévention concernant le téléchargement :

-> Pourquoi ne pas télécharger illégalement ?

&#9654  Comprendre pourquoi on n'a plus besoin de télécharger des virus pour être infecté :

-> Les failles des logiciels

&#9654 Pour comprendre pourquoi un antivirus ne protège pas de tout:

-> Le mythe des antivirus

Si tu as des questions je suis là pour y répondre, bonne continuation.