J'ai 2 infections

Résolu
karine21 -  
Smart91 Messages postés 30146 Statut Contributeur sécurité -
Bonjour,
je viens de faire un scan avec MBAM, et j'ai détecté 2 infections, elles ont été supprimé mais est-ce suffisant.
Merci de votre aide.

je vous joins le rapport.

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.04.04.07

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Karine :: PC-DE-KARINE [administrateur]

09/04/2013 16:59:21
mbam-log-2013-04-09 (16-59-21).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 427801
Temps écoulé: 2 heure(s), 59 minute(s), 19 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 2
C:\Users\Karine\Tracing\Downloads\Firefox_setup.exe (PUP.IBryte) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\SystemRestore\FRStaging\Windows\System32\catroot2\edb.log (Extension.Mismatch) -> Mis en quarantaine et supprimé avec succès.

(fin)

13 réponses

  1. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Bon il ne reste que des résidus que l'on va supprimer à l'aide d'un script.

    A l'attention de ceux qui parcourent le sujet:
    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    - Ferme toutes tes applications en cours
    - Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> en tant qu'administrateur")
    - Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
    - Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
    - Copie les lignes en gras suivantes :

    ----------------------------------------------------------
    [HKLM\Software\Classes\CLSID\{35b8892d-c3fb-4d88-990d-31db2ebd72bd}]
    [HKLM\Software\Classes\Interface\{3f607e46-0d3c-4442-b1de-de7fa4768f5c}]
    [HKLM\Software\Classes\TypeLib\{93e3d79c-0786-48ff-9329-93bc9f6dc2b3}]
    [HKLM\Software\Classes\Interface\{fe0273d1-99df-4ac0-87d5-1371c6271785}]
    [HKCU\Software\APN PIP]
    [HKCU\Software\PIP]
    [HKCU\Software\Softonic]
    [HKLM\Software\PIP]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}]
    [HKLM\Software\Classes\CLSID\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}]
    [HKLM\Software\Microsoft\Internet Explorer\extensions\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}]
    [HKLM\Software\Classes\CLSID\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}]
    [HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
    [HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
    [HKLM\Software\Microsoft\Tracing\Setup_RASAPI32]
    [HKLM\Software\Microsoft\Tracing\Setup_RASMANCS]
    EmptyTemp
    EmptyFlash

    ----------------------------------------------------------
    - Clique sur l'icône représentant le presse-papier ("coller le presse-papier")
    - Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
    - Clique sur le bouton « GO » pour le lancer le nettoyage
    - Copie/colle la totalité du rapport dans ta prochaine réponse

    Et redémarre le PC

    Smart
    1
  2. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Refais un scan ZHPDiag avec la loupe "+" . Poste le rapport via pjjoint.
    Ensuite on va passer à la phase finale. Il nous reste à faire:
    - les mises à jour prioritaires
    - l'optimisation du PC
    - la désinstallation des outils de désinfection
    - les conseils de prévention quand on surfe sur Internet

    Smart
    1
  3. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Bonjour,

    La base virale de MBAM (malwarebytes) n'est pas à jour.
    Relance MBAM accepte la mise à jour ou alors fais la.
    Ensuite vide la quarantaine et refais un scan complet.
    * A la fin de l'analyse, clique sur "Afficher les résultats"
    * Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
    * Enregistre le rapport
    * S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
    * Un rapport apparait après la suppression : poste le dans ta prochaine réponse.

    Smart
    0
  4. karine21
     
    Voici le rapport

    Malwarebytes Anti-Malware 1.70.0.1100
    www.malwarebytes.org

    Version de la base de données: v2013.04.09.09

    Windows 7 Service Pack 1 x86 NTFS
    Internet Explorer 9.0.8112.16421
    Karine :: PC-DE-KARINE [administrateur]

    09/04/2013 22:56:07
    mbam-log-2013-04-09 (22-56-07).txt

    Type d'examen: Examen complet (C:\|D:\|E:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 429196
    Temps écoulé: 2 heure(s), 2 minute(s), 32 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    (fin)
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    OK. cette fois-ci c'est bon.

    On va faire un diagnostic de ton PC afin de voir s'il y a d'autres infections

    Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

    /!\Utilisateurs de Vista, Windows 7 et Windows 8 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

    N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
    - Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
    - Si tu possèdes Avast 6 ou 7 comme antivirus, à l'alerte choisis "lancer normalement"
    - Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
    (/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
    - Clique sur la loupe avec le "+" pour lancer l'analyse.
    - Laisse l'outil travailler, il peut être assez long.
    - Ferme ZHPDiag en fin d'analyse.
    - Pour transmettre le rapport clique sur ce lien: http://pjjoint.malekal.com/
    - Clique sur Parcourir et cherche le répertoire C:\ZHP
    - Sélectionne le fichier ZHPDiag.txt. puis clique sur "Ouvrir"
    - Ensuite Clique sur "Envoyer le fichier".
    - Copie le lien obtenu dans ta réponse.

    Smart
    0
  7. Karine21
     
    Voici le lien du rapport.

    http://pjjoint.malekal.com/files.php?id=ZHPDiag_20130410_x10u14e14w12t6

    A+
    0
  8. Karine21
     
    Rapport de ZHPFix 2013.3.9.1 par Nicolas Coolman, Update du 9/03/2013
    Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-11-04-2013-09-44-50.txt
    Run by Karine at 11/04/2013 09:44:49
    High Elevated Privileges : OK
    Windows 7 Home Premium Edition, 32-bit Service Pack 1 (Build 7601)

    Corbeille vidée

    ========== Clé(s) du Registre ==========
    SUPPRIME Key: HKLM\Software\Classes\CLSID\{35b8892d-c3fb-4d88-990d-31db2ebd72bd}
    SUPPRIME Key: HKLM\Software\Classes\Interface\{3f607e46-0d3c-4442-b1de-de7fa4768f5c}
    SUPPRIME Key: HKLM\Software\Classes\TypeLib\{93e3d79c-0786-48ff-9329-93bc9f6dc2b3}
    SUPPRIME Key: HKLM\Software\Classes\Interface\{fe0273d1-99df-4ac0-87d5-1371c6271785}
    SUPPRIME Key: HKCU\Software\APN PIP
    SUPPRIME Key: HKCU\Software\PIP
    SUPPRIME Key: HKCU\Software\Softonic
    SUPPRIME Key: HKLM\Software\PIP
    SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
    SUPPRIME Key: HKLM\Software\Classes\CLSID\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
    SUPPRIME Key: HKLM\Software\Microsoft\Internet Explorer\extensions\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
    SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
    SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
    SUPPRIME Key: HKLM\Software\Classes\CLSID\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
    SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
    SUPPRIME Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
    SUPPRIME Key: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
    SUPPRIME Key: HKLM\Software\Microsoft\Tracing\Setup_RASAPI32
    SUPPRIME Key: HKLM\Software\Microsoft\Tracing\Setup_RASMANCS

    ========== Dossier(s) ==========
    SUPPRIME Temporaires Windows
    SUPPRIME Flash Cookies

    ========== Fichier(s) ==========
    SUPPRIME Temporaires Windows
    SUPPRIME Flash Cookies

    ========== Récapitulatif ==========
    19 : Clé(s) du Registre
    2 : Dossier(s)
    2 : Fichier(s)

    End of clean in 00mn 04s

    ========== Chemin de fichier rapport ==========
    C:\ZHP\ZHPFix[R1].txt - 11/04/2013 09:44:50 [2221]
    0
  9. karine21
     
    Voici le lien

    http://pjjoint.malekal.com/files.php?id=ZHPDiag_20130411_m8y15o10v6q10
    0
  10. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Fais les mises à jour suivantes::

    Mise à jour Antivir v13.0.0.284
    https://www.avira.com/fr/free-antivirus-windows

    Mise à jour Firefox vers la version 20.0.0:
    Lance FireFox, Allez dans ? > Rechercher des mises à jour ... et cliquez sur "Appliquer la mise à jour" ou alors sur "A propos de FireFox"
    Sinon aller sur ce lien ==> http://www.mozilla-europe.org/fr/firefox

    Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises à jour disponibles à l'aide de ce petit programme Check&Update de igor 51

    Optimisation:

    - Ferme toutes tes applications en cours
    - Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> en tant qu'administrateur")
    - Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
    - Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
    - Copie les lignes en gras suivantes :

    ----------------------------------------------------------
    OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe
    OPT:O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe
    OPT:SR - | Auto 30/08/2011 390504 | (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe
    EmptyCLSID


    ----------------------------------------------------------
    - Clique sur l'icône représentant le presse-papier ("coller le presse-papier")
    - Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
    - Clique sur le bouton « GO » pour le lancer le nettoyage
    - Copie/colle la totalité du rapport Héberge le rapport sur le site pjjoint et donne le lien d'accès dans ta prochaine réponse

    Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
    Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
    - Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
    - Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.

    Désinstallation des outils - Réactivation de l'UAC - Purge Restauration et Création d'un point de restauration

    - Télécharge DelFix (d'Xplode) sur ton bureau.
    - Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur)
    - Coche toutes les cases sauf "Faire une sauvegarde du registre"
    - Clique ensuite sur Exécuter puis patiente pendant le processus de suppression.
    - Le rapport sera enregistré dans le presse-papier. Copie/Colle le dans ta prochaine réponse.

    Quelques conseils de Prévention

    - Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan.

    Installe l'extension de sécurité adblock plus pour bloquer les publicités
    ==> http://www.clubic.com/telecharger-fiche45912-adblock-plus.html

    WOT - Extension pour ton navigateur internet :
    Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :
    Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/
    Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp
    Pour Chrome: https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp?hl=fr

    Ci-dessous un tutoriel pour t'aider à installer WOT:
    ==> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise

    - Installe également ce programme qui va bloquer tous les sites qui proposent des adwares HOSTS Anti-PUPs/Adware
    Voici un tutoriel pour t'aider : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/
    Si tu souhaites plus tard désinstaller HOSTS_Anti-PUPs/Adware, lance le raccourci qui a été créé sur le bureau.
    Tu peux aussi lancer la commande : %windir%system32HOSTS_Anti-Adware.exe -uninstal en invite de commande.

    - Par rapport au P2P : http://www.libellules.ch/phpBB2/les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html

    - Les logiciels gratuits à éviter

    - Ouvertures Pop-Up publicitaires

    - Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) :
    Prévention et Protection

    - Un autre dossier sur:
    Comment se protéger des logiciels potentiellement indésirables (PUP)

    Sois plus vigilant(e) sur Internet à l'avenir

    Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas

    Smart
    0
  11. karine21
     
    # DelFix v10.2 - Rapport créé le 12/04/2013 à 00:09:43
    # Mis à jour le 02/04/2013 par Xplode
    # Nom d'utilisateur : Karine - PC-DE-KARINE

    ~ Activation de l'UAC ... OK

    ~ Suppression des outils de désinfection ...

    Supprimé : C:\USBFix
    Supprimé : C:\ZHP
    Supprimé : C:\Program Files\ZHPDiag
    Supprimé : C:\PhysicalDisk0_MBR.bin
    Supprimé : C:\UsbFix.txt
    Supprimé : C:\Users\Karine\Desktop\ZHPDiag.txt
    Supprimé : C:\Users\Karine\Desktop\ZHPFixReport.txt
    Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
    Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
    Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
    Supprimée : HKCU\Software\USBFix
    Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
    Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

    ~ Purge de la restauration système ...

    Supprimé : RP #236 [Windows Update | 12/18/2012 18:54:31]
    Supprimé : RP #237 [Windows Update | 12/21/2012 22:28:37]
    Supprimé : RP #238 [Windows Update | 12/21/2012 23:43:09]
    Supprimé : RP #239 [Windows Update | 12/26/2012 22:27:11]
    Supprimé : RP #240 [Installed Java 7 Update 10 | 12/29/2012 17:17:04]
    Supprimé : RP #241 [Opération de restauration | 12/29/2012 17:19:29]
    Supprimé : RP #242 [Windows Update | 01/01/2013 20:28:14]
    Supprimé : RP #243 [Windows Update | 01/09/2013 12:09:57]
    Supprimé : RP #244 [Windows Update | 01/10/2013 12:30:54]
    Supprimé : RP #245 [Programme d'installation pour les modules Windows | 01/13/2013 18:40:13]
    Supprimé : RP #246 [Programme d'installation pour les modules Windows | 01/13/2013 18:41:12]
    Supprimé : RP #247 [Installed Java 7 Update 11 | 01/18/2013 09:02:12]
    Supprimé : RP #248 [Windows Update | 01/18/2013 22:10:27]
    Supprimé : RP #249 [Windows Update | 01/22/2013 19:28:06]
    Supprimé : RP #250 [Windows Update | 01/29/2013 11:10:03]
    Supprimé : RP #251 [Windows Update | 02/05/2013 06:54:32]
    Supprimé : RP #252 [Windows Update | 02/08/2013 06:57:49]
    Supprimé : RP #253 [Windows Update | 02/13/2013 17:30:18]
    Supprimé : RP #254 [Windows Update | 02/14/2013 07:01:49]
    Supprimé : RP #255 [Windows Update | 02/14/2013 23:21:23]
    Supprimé : RP #256 [Windows Update | 02/25/2013 07:33:23]
    Supprimé : RP #257 [Windows Update | 02/27/2013 13:00:42]
    Supprimé : RP #258 [Windows Update | 03/07/2013 16:12:02]
    Supprimé : RP #259 [Windows Update | 03/12/2013 11:08:31]
    Supprimé : RP #260 [Windows Update | 03/13/2013 21:38:45]
    Supprimé : RP #261 [Windows Update | 03/19/2013 11:42:51]
    Supprimé : RP #262 [Windows Update | 03/26/2013 07:18:53]
    Supprimé : RP #263 [Windows Update | 03/26/2013 07:29:36]
    Supprimé : RP #264 [Windows Update | 04/02/2013 08:10:51]
    Supprimé : RP #265 [Windows Update | 04/05/2013 11:54:24]
    Supprimé : RP #266 [Windows Update | 04/09/2013 15:11:20]
    Supprimé : RP #267 [Installed Java 7 Update 17 | 04/09/2013 20:45:54]
    Supprimé : RP #268 [Installed iTunes | 04/09/2013 20:52:45]
    Supprimé : RP #269 [Windows Update | 04/10/2013 22:12:10]
    Supprimé : RP #270 [Windows Update | 04/11/2013 21:41:28]

    Nouveau point de restauration créé !

    ~ Réinitialisation des paramètres système ... OK

    ########## - EOF - ##########
    0
  12. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    C'est bon. Lis bien la suite

    Smart
    0
  13. karine21
     
    Merci beaucoup, c'est vraiment cool.
    Bonne continuation.
    0
  14. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Heureux de t'avoir aidée

    Smart
    0