résultat anaylse mbam positif Résolu

Question

Bonjour, 

suite à des bugs, (freeze) à répétition, et d'autres blocages et ralentissements de ma machine et de ma connexion, j'ai lancé ce matin un scan avec mbam qui m'a trouvé les deux infections suivantes. 
J'aimerai donc les conseils et l'assistance de celui qui voudra, en vue de supprimer tous risques dûs à ces infections.


je dois préciser, que pris dans la lançée, j'ai "malencontreusement" surpprimé les clés tel que me le proposai MBAM, j'ai en tout cas cliqué.

Voici le rapport du scan MBAM :




Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.11.09.04

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
numéro1 :: PC-DE-###### [administrateur]

09/11/2013 09:41:37
mbam-log-2013-11-09 (09-41-37).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 284451
Temps écoulé: 54 minute(s), 34 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 1
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Données: 0T1M2Q2W -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

lilidurhone · Accepted Answer

* Télécharge ZHPDiag (de Nicolas Coolman)
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html ou https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

* Au cas où le premier lien ne marcherai pas, clique sur celui de dessous
ftp://zebulon.fr/ZHPDiag2.exe

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

* Surtout, n'oublie pas d'installer son icône sur le bureau l'icône est en forme de parchemin
https://www.cjoint.com/13sp/CIvuQfap3YY_zhpdiag.png

* A l'ouverture du logiciel il te sera proposé deux options "rechercher" et "configurer"

* Cliques sur configurer

* Options puis tous

* Clique sur l'icône représentant une loupe + (« Lancer le diagnostic »)

* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette

* Pour héberger le rapport, rends toi sur cjoint.com
* Clique sur choisissez un fichier va chercher le rapport dans ton PC.

* Le rapport est sauvegardé dans C:\ZHP\ZHPDiag.txt

* Une fois le rapport trouvé, sélectionne le, et clique sur Ouvrir

* Choisis le type de diffusion(je te conseille privée 4 jours il sera détruit)

* Puis cliques sur créer le lien cjoint

* Une fois que tu auras obtenu le lien copies colle dans ta prochaine réponse

* Pour t'aider http://www.pc-infopratique.com/forum-informatique/tutoriel-heberger-rapport-vt-67934.html

Primo · Answer

Merci beaucoup lili

j'ai lançé le scan, mais comodo ne cesse d'ouvrir des alertes "zhp..tente de modifier clé : HKUS\S-1-5-21-821627361-3292763870-1842788608-1000\Software\Microsoft\Windows\CurrentVersion\Internet\Settings\ProxyOverride et des dizaines d'autres, ça fait donc déjà une vingtaine de fois que je mets "Ok" est-ce normal ?

Primo · Answer

ok scan enfin terminé :

http://cjoint.com/data3/3KjlAccMvxn.htm

lilidurhone · Answer

Tu as deux antivirus!


* Télécharge sur le bureau RogueKiller

* Quitte tous tes programmes en cours.

* Sous Vista/Seven et windows 8 , clique droit -> lancer en tant qu'administrateur

* Sinon lance simplement RogueKiller.exe

* Patiente pendant le pre-scan, puis clique sur le bouton Scan

* Un rapport RKreport.txt a du se créer sur le bureau, poste-le.

Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois.

Primo · Answer

Deux antivirus ? je ne vois pas du quel il s'agit en plus d'avast ?


Rapport : http://cjoint.com/?3KjoamwwrFU



Ps: j'ai du fermer comodo car il ne cessait de demander des autorisations (une trentaine au moins)

lilidurhone · Answer

Désactive Comodo!


* Quitte tous tes programmes en cours

* Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur

* Sinon lance simplement RogueKiller.exe

* Patiente pendant le pre-scan, clique sur Scan

* Vérifie que tous les éléments sont cochés puis clique sur Suppression

* Poste le rapport RKreport.txt présent sur le bureau.

Primo · Answer

Rapport après le nouveau scan : http://cjoint.com/?3KjoRdHO8Cl


Rapport après la suppression : http://cjoint.com/?3KjoSfmzvKb



ps: j'ai fermé comodo, dois-je le désinstaller définitivement ?

lilidurhone · Answer

Non garde le ;)

Tu as dû installer des logiciels potentiellement indésirables


Pour éviter ce genre de problème :

- Ne télécharge aucun programme proposé dans des publicités ou sur des sites suspects. A noter que certains sites connus comme O1net, Softronic, Tuto4PC, etc modifient parfois les programmes proposés au téléchargement pour y ajouter des logiciels publicitaires ==> Préfère toujours le téléchargement directement sur le site de l'éditeur.


- Au cours de l'installation d'un programme gratuit, lis bien attentivement et décoche tous les programmes additionnels qui sont proposés, en particulier les barres d'outils.

Pour ton information lis ces dossier sur les Programmes Potentiellement Indésirables et Les Barres d'Outils ce n'est pas obligatoires

* Télécharge cet outil simple d'utlisation 

http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner (de Xplode) sur ton bureau.


* Si problème avec le 1er lien prends le ici https://www.commentcamarche.net/telecharger/securite/2759-adwcleaner/

* Lance le (Sous vista/seven/8 clic droit dessus,et sur exécuter en tant qu'administrateur)si tu es sous xp double cliques dessus

* Cliques sur scanner 
* Poste le rapport de recherche C:\Adwcleaner[R]

* Note le rapport de recherche est également sauvegardé sous C:\Adwcleaner[R1]

Primo · Answer

Le rapport : http://cjoint.com/?3KjpeZeEeul


J'étais donc bel et bien infecté, n'est-ce pas ?

Dois-je comprends à la vue de ce rapport (un précédent), que quelqu'un avait accès à ses fichiers, et pouvait en prendre connaissance ?

[HJ SMENU][PUM] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> TROUVÉ
[HJ SMENU][PUM] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> TROUVÉ
[HJ SMENU][PUM] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> TROUVÉ
[HJ SMENU][PUM] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> TROUVÉ
[HJ SMENU][PUM] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> TROUVÉ
[HJ SMENU][PUM] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> TROUVÉ
[HJ SMENU][PUM] HKCU\[...]\Advanced : Start_TrackProgs (0) -> TROUVÉ
[HJ DESK][PUM] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK][PUM] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ


Excuse mon ignorance, et mes questions peut-être naïves :)

lilidurhone · Answer

Oui tu es infecté et non rassure toi ils n'ont pas eu accès

Phase  "nettoyer"

Primo · Answer

ok merci. 

Voici le rapport après "nettoyer" : http://cjoint.com/?3Kjp7Piz35d


ps: je ne veux pas abuser, mais tu m'avais parlé de 2 antivirus, lequel dois-je supprimer, sachant qu'en dehors de Avast je ne suis pas sûr de savoir lequel est installé, si ce n'est peut-être comodo qui en plus du pare feu, offre peut-être une protection anti virus ?

lilidurhone · Answer

Tu as uniquement le parefeu de Comodo?

 * Télécharge Junkware Removal Tool à cette adresse (ne clique pas sur télécharger, le téléchargement va débuter automatiquement) : https://www.bleepingcomputer.com/download/junkware-removal-tool/dl/131/ 

* Enregistre-le sur ton bureau. 

* Ferme toutes les applications en cours. 

* Ouvre JRT.exe et appuie sur Entrée : si tu es sous Windows Vista, 7 ou 8, ouvre-le en faisant : clic droit => Exécuter en tant qu'administrateur. 

* Patiente le temps que l'outil travaille : le bureau va disparaître quelques instants, c'est tout à fait normal. 

* À la fin de l'analyse, un rapport nommé JRT.txt va s'ouvrir. Héberge-le comme ceci et poste le lien obtenu dans ta prochaine réponse. 

Tutoriel : http://www.forum-entraide-informatique.com/support/junkware-removal-tool-tutoriel-t8260.html 

On continuera demain

lilidurhone · Answer

Oui tu peux

Primo · Answer

Rapport JRT : http://cjoint.com/?3KjqFKeenWM 


ps : je n'ai touché à rien et pourtant je vois C:\Users
um'ro1\AppData\ ...oui je sais, j'ai le souci du détail :)

Après JRT, avast était désactivé

Primo · Answer

lilidurhone, le rapport est ci-dessus, loin de moi l'envie de te brusquer, mais je ne sais pas si je peux naviguer tranquillement ou non.

lilidurhone · Answer

Refais moi un zhpdiag

Primo · Answer

Bonjour lili,

voici le rapport : http://cjoint.com/?3KklQFGK4dA

lilidurhone · Answer

:)

Merci la modération :) 

Mets avast à jour via son interface
 
Si problème il y a il existe toujours une solution 
N'oubliez pas de passer votre sujet en résolu

Primo · Answer

Ok c'est fait. J'en ai profité pour faire un scan minutieux qui n'a rien trouvé.

lilidurhone · Answer

Refais moi un zhpdiag en l'ayant mis à jour

lilidurhone · Answer

Désinstalles et réinstalle

lilidurhone · Answer

Attention script personnalisé à ne pas reproduire sur un autre ordinateur risque de plantage !   

* Désactive le temps du nettoyage avast(clic droit sur la boule orange>gestion des agents>désactiver pour 10 minutes)

* Copies uniquement les lignes indiquées en gras ci-dessous dans le presse papier soit le bloc note(tu surlignes avec la souris puis clic droit copier de Script ZHPFix jusqu'à la fin soit sysrestore)

Script ZHPFix
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{2318C2B1-4965-11d4-9B18-009027A5CD4F}   =>Toolbar.Google^
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced] Start_ShowHelp: Modified   =>PUA.StartShow ^
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations] Application: Modified   =>Hijacker.Application^
O43 - CFD: 04/03/2012 - 00:57:38 - [0] ----D C:\Program Files\Common Files\SpeedBit
sysrestore




* Lance ZHPFix (icône seringue)en tant qu'administrateur(si tu es sous Vista/7/8)sinon double clique sur l'icône en forme de seringue  puis clique sur OK pour continuer.

* Cliques sur importer(Dans certains cas le script se colle automatiquement dans la zone de script et ne nécessite pas de cliquer sur le bouton "IMPORTER".)

* Si tu ne vois pas les lignes clic droit dans l'encadré puis coller

* Clique sur le bouton GO pour lancer le nettoyage, et laisse l'outil travailler.

* Zhpfix te proposera de vider la corbeille si tu le souhaites cliques sur oui si tu ne le souhaites pas cliques sur non

* Redémarre le PC et poste le rapport C:\ZHP\ZHPFixReport.txt

lilidurhone · Answer

Plus de souci?

lilidurhone · Answer

Pc sain :)

Tu peux garder le parefeu en désactivant défense+

1)Désinstallation des outils de désinfection
Télécharges Delfix ici https://www.commentcamarche.net/telecharger/securite/7111-delfix/

Exécutes le en tant qu'administrateur(si tu es sous xp double clic sur le fichier téléchargé) puis une fois sur l'interface coches les cases suivantes


-supprimer les outils de désinfections
-purger la restauration du système

Cliques ensuite sur Exécuter puis patientes pendant le processus de suppression.

Le rapport sera enregistré dans le presse-papier et sur le disque dur (C:\DelFix.txt).
Poste le rapport

2)N'oublies pas de mettre à jour java adobe reader et flashplayer pour IE (chrome l'intègre déjà)
Un lien utile à lire https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
N'oublies pas aussi de maintenir Windows à jour via Windows update 




3)Pour permettre de mettre à jour tes logiciels je te conseille d'utiliser Filehippo update checker

Tu peux le télécharger ici https://www.commentcamarche.net/telecharger/utilitaires/9771-filehippo-app-manager/

Pour l'installation de filehippo décoches seulement mettre l'icône dans la barre de lancement rapide 



4)Pour nettoyer les fichiers temporaires (attention pas de nettoyage registre ) tu peux utiliser Ccleaner avec tuto pour bien le configurer (https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
Lien du téléchargement https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
Tu peux aussi utiliser le nettoyeur de disque windows
N'oublies pas de défragmenter de temps en temps ton disque dur soit par le biais de l'utilitaire soit par le biais d'un logiciel tiers comme par exemple Deffagler ou auslogic Disk Defrag

Oublies les genres de nettoyeurs comme Tuneup ,Glary et autre nettoyeurs miracles ils ne te feront que ralentir ta machine et nettoyer plus blanc que blanc peut provoquer de graves dysfonctionnements



5)Sécurise tes navigateurs par exemple avec WOT et simple adblock pour Internet explorer
Pour télécharger WOT pour ie c'est par ici https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp
Pour simple adblock c'est par ici http://simple-adblock.com/downloadpage/ (cliques sur Download Installer et pas le lien en dessous !)
Pour chrome(si tu possèdes Chrome)

Wot disponible ici https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp?hl=fr

Adblock disponible ici https://www.commentcamarche.net/telecharger/web-internet/2555-adblock-plus-pour-chrome/

Lien du téléchargement pour wot sur firefox
https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/

Lien pour télécharger adblock +

https://addons.mozilla.org/fr/firefox/addon/adblock-plus/?src=ss


6)Fais attention à ce que tu télécharges où et comment 
Evites si possible de télécharger sur O1net,tom's guide,télécharger.com et Softonic et compagnie car ils repackent les logiciels avec des programmes potientellement indésirables
A lire
http://www.stoppublicites.fr/
https://www.malekal.com/adwares-pup-protection/

7)Pourquoi faut-il éviter de télécharger sur du p2p

Les risques sont gros la machine risque de devenir un pc zombie
Un peu de lecture concernant les dangers et le risque
https://forum.malekal.com/viewtopic.php?t=3208&start=
https://forum.malekal.com/viewtopic.php?t=893&start=

Primo · Answer

# DelFix v10.5 - Rapport créé le 10/11/2013 à 16:17:27
# Mis à jour le 17/10/2013 par Xplode
# Nom d'utilisateur : numéro1 - PC-DE-NUMÉRO1
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)

~ Suppression des outils de désinfection ...

Supprimé : C:\AdwCleaner
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Users
uméro1\Desktop\RK_Quarantine
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Users
uméro1\Desktop\adwcleaner.exe
Supprimé : C:\Users
uméro1\Desktop\AdwCleaner[S0].txt
Supprimé : C:\Users
uméro1\Desktop\JRT.exe
Supprimé : C:\Users
uméro1\Desktop\JRT.txt
Supprimé : C:\Users
uméro1\Desktop\RKreport[0]_22.txt
Supprimé : C:\Users
uméro1\Desktop\RKreport[0]_D_11092013_144040.txt
Supprimé : C:\Users
uméro1\Desktop\RKreport[0]_new14.txt
Supprimé : C:\Users
uméro1\Desktop\RKreport[0]_S_11092013_135555.txt
Supprimé : C:\Users
uméro1\Desktop\RogueKiller.exe
Supprimé : C:\Users
uméro1\Desktop\ZHPDiag 12.txt
Supprimé : C:\Users
uméro1\Desktop\ZHPDiag new.txt
Supprimé : C:\Users
uméro1\Desktop\ZHPDiag.lnk
Supprimé : C:\Users
uméro1\Desktop\ZHPFix.lnk
Supprimé : C:\Users
uméro1\Desktop\ZHPFixReport.txt
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~ Purge de la restauration système ...

Supprimé : RP #1065 [Point de contrôle planifié | 11/05/2013 12:39:48]
Supprimé : RP #1066 [Point de contrôle planifié | 11/06/2013 10:58:59]
Supprimé : RP #1067 [Point de contrôle planifié | 11/07/2013 07:33:03]
Supprimé : RP #1068 [Point de contrôle planifié | 11/08/2013 10:00:30]
Supprimé : RP #1069 [Point de contrôle planifié | 11/09/2013 08:24:53]
Supprimé : RP #1070 [Point de contrôle planifié | 11/10/2013 10:22:05]
Supprimé : RP #1072 [avast! antivirus system restore point | 11/10/2013 11:01:35]
Supprimé : RP #1074 [ZHPFix Restore System Point | 11/10/2013 14:25:13]

Nouveau point de restauration créé !

########## - EOF - ##########

Primo · Answer

Bonjour lilidurhone, je ne sais pas si tu as eu le temps de jeter un oeil °)

lilidurhone · Answer

Oui tout est ok !

Résultat anaylse mbam positif

27 réponses

Votre réponse

Discussions similaires

Newsletters