détection d anomalies par antimalwarebytes et windows defender Résolu/Fermé

Question

Bonjour, 

windows defender a détecté dans un premier temps un programme malveillant qu il a mis en quarantaine : exploit:SWF/Meadgive

j ai ensuite fait tourner malwarebytes qui a aussi donné sa petite liste d anomalies le 11/05/2017,

Malwarebytes Anti-Malware
www.malwarebytes.org

Date de l'analyse: 11/05/2017
Heure de l'analyse: 23:16
Fichier journal: 
Administrateur: Oui

Version: 2.2.1.1043
Base de données de programmes malveillants: v2017.05.11.07
Base de données de rootkits: v2017.04.02.01
Licence: Gratuit
Protection contre les programmes malveillants: Désactivé
Protection contre les sites Web malveillants: Désactivé
Autoprotection: Désactivé

Système d'exploitation: Windows 10
Processeur: x64
Système de fichiers: NTFS
Utilisateur: Acer

Type d'analyse: Analyse des menaces
Résultat: Terminé
Objets analysés: 324784
Temps écoulé: 23 min, 25 s

Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Désactivé
Heuristique: Activé
PUP: Activé
PUM: Activé

Processus: 0
(Aucun élément malveillant détecté)

Modules: 0
(Aucun élément malveillant détecté)

Clés du Registre: 3
PUP.Optional.Vondos, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\Browser-Security, En quarantaine, [d31066b008a1de58f06ea77adc249e62], 
PUP.Optional.InstallCore, HKU\S-1-5-21-2866558505-3491076961-2208257564-1001\SOFTWARE\csastats, En quarantaine, [5d860f071d8cf14578c5e90e5da59e62], 
PUP.Optional.ProductSetup, HKU\S-1-5-21-2866558505-3491076961-2208257564-1001\SOFTWARE\PRODUCTSETUP, En quarantaine, [f8eb0f0730793afc3fc2704fcf33fb05], 

Valeurs du Registre: 2
PUP.Optional.DownloadProtect, HKU\S-1-5-21-2866558505-3491076961-2208257564-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|safe_urls768, "C:\Users\Acer\AppData\Roaming\Browser-Security\s768.exe", En quarantaine, [bc27a67092174fe72230a6a1fd037888]
PUP.Optional.ProductSetup, HKU\S-1-5-21-2866558505-3491076961-2208257564-1001\SOFTWARE\PRODUCTSETUP|tb, 0K2Y1J1E2T1S2X0X0Z1S1N1C2S1G, En quarantaine, [f8eb0f0730793afc3fc2704fcf33fb05]

Données du Registre: 0
(Aucun élément malveillant détecté)

Dossiers: 3
PUP.Optional.BrowserSecurity, C:\Users\Acer\AppData\Roaming\Mozilla\Firefox\Profiles\uhmnr1ra.default\jetpack\firefox@browser-security.de, En quarantaine, [3aa954c2edbc72c47d1d9133d52b55ab], 
PUP.Optional.BrowserSecurity, C:\Users\Acer\AppData\Roaming\Mozilla\Firefox\Profiles\uhmnr1ra.default\jetpack\firefox@browser-security.de\simple-storage, En quarantaine, [3aa954c2edbc72c47d1d9133d52b55ab], 
PUP.Optional.BrowserSecurity, C:\Users\Acer\AppData\Roaming\Browser-Security, En quarantaine, [80632fe7f1b83ef86eb9df538c76ec14], 

Fichiers: 8
PUP.Optional.Amonetize, C:\Users\Acer\AppData\Local\Temp\Windows Loader 3.1 TeamDaz.zip, En quarantaine, [f0f326f01495aa8ce253dda33cc539c7], 
PUP.Optional.Vondos, C:\Users\Acer\AppData\Roaming\Browser-Security\uninstall.exe, En quarantaine, [d31066b008a1de58f06ea77adc249e62], 
PUP.Optional.BrowserSecurity, C:\Users\Acer\AppData\Roaming\Mozilla\Firefox\Profiles\uhmnr1ra.default\extensions\firefox@browser-security.de.xpi, En quarantaine, [d11229ed4b5e3afc10b0daf4669c20e0], 
PUP.Optional.DownloadProtect, C:\Users\Acer\AppData\Roaming\Browser-Security\s768.exe, En quarantaine, [bc27a67092174fe72230a6a1fd037888], 
PUP.Optional.BrowserSecurity, C:\Users\Acer\AppData\Roaming\Browser-Security\data, En quarantaine, [80632fe7f1b83ef86eb9df538c76ec14], 
PUP.Optional.BrowserSecurity, C:\Users\Acer\AppData\Roaming\Browser-Security\license.rtf, En quarantaine, [80632fe7f1b83ef86eb9df538c76ec14], 
PUP.Optional.Trovi, C:\Users\Acer\AppData\Roaming\Mozilla\Firefox\Profiles\uhmnr1ra.default\prefs.js, Bon : (), Mauvais : (user_pref("browser.newtab.url", "http://www.trovi.com/?gd=&ctid=CT3333673&octid=EB_ORIGINAL_CTID&ISID=59C851D5-FDD4-4837-BAEB-9D2CB353B760&SearchSource=69&CUI=&SSPV=&Lay=1&UM=8&UP=SP6D63779B-AC88-4D7B-A903-46AADC88E190&D=091816");), Remplacé,[ecf77a9cd6d36fc7e7fa6bc0a55e5aa6]
PUM.Optional.FireFoxSecurityOverride, C:\Users\Acer\AppData\Roaming\Mozilla\Firefox\Profiles\uhmnr1ra.default\user.js, En quarantaine, [91524ccae7c22016fa36e24c877cbd43], 

Secteurs physiques: 0
(Aucun élément malveillant détecté)


(end)

 puis  nouveau une signalisation ce matin 13/05/2017 

Malwarebytes Anti-Malware
www.malwarebytes.org

Date de l'analyse: 13/05/2017
Heure de l'analyse: 06:43
Fichier journal: 
Administrateur: Oui

Version: 2.2.1.1043
Base de données de programmes malveillants: v2017.05.13.02
Base de données de rootkits: v2017.04.02.01
Licence: Gratuit
Protection contre les programmes malveillants: Désactivé
Protection contre les sites Web malveillants: Désactivé
Autoprotection: Désactivé

Système d'exploitation: Windows 10
Processeur: x64
Système de fichiers: NTFS
Utilisateur: Acer

Type d'analyse: Analyse des menaces
Résultat: Terminé
Objets analysés: 324964
Temps écoulé: 19 min, 20 s

Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Désactivé
Heuristique: Activé
PUP: Activé
PUM: Activé

Processus: 0
(Aucun élément malveillant détecté)

Modules: 0
(Aucun élément malveillant détecté)

Clés du Registre: 0
(Aucun élément malveillant détecté)

Valeurs du Registre: 0
(Aucun élément malveillant détecté)

Données du Registre: 0
(Aucun élément malveillant détecté)

Dossiers: 0
(Aucun élément malveillant détecté)

Fichiers: 1
PUP.Optional.Trovi, C:\Users\Acer\AppData\Roaming\Mozilla\Firefox\Profiles\uhmnr1ra.default\prefs.js, Bon : (), Mauvais : (user_pref("browser.newtab.url", "http://www.trovi.com/?gd=&ctid=CT3333673&octid=EB_ORIGINAL_CTID&ISID=59C851D5-FDD4-4837-BAEB-9D2CB353B760&SearchSource=69&CUI=&SSPV=&Lay=1&UM=8&UP=SP6D63779B-AC88-4D7B-A903-46AADC88E190&D=091816");), Remplacé,[287e2ceb76330a2c24e8cf5e36cd53ad]

Secteurs physiques: 0
(Aucun élément malveillant détecté)


(end)

à la lecture rapide et imparfaite sans doute de ceux ci, j ai le sentiment qu un fichier javascript sous firefox pose probleme

j ai besoin d aide pour y voir plus clair

merci de m'éclairer pour remettre les choses à plat 




Configuration: Windows 10/ Firefox 53.0

billmaxime · Answer

salut

tu as 1 ancienne version de MBAM >> Version: 2.2.1.1043 

on est à la 3.0.5

désinstalle MBAM avec son outil de désinstallation >> clique ici

met le sur ton bureau et exécute le en tant qu'administrateur (clic droit)

quand c'est fait, télécharge la dernière version depuis ce lien >> https://fr.malwarebytes.com/ (prend le free)

exécute le en tant qu'administrateur (clic droit)

quand l'installation est terminée, clique sur "mon compte" et désactive la protection résidente de MBAM (gratuite pendant 14 jours si je ne me trompe pas)

PS: crée 1 point de restauration avant de lancer 1 nouvelle analyse avec la dernière version de MBAM

il faudra aussi exécuter Adwcleaner sur ton pc

@+

jcb2nl · Answer

merci de ton aide

j ai mis antimalwarebytes à jour

le compte rendu est le suivant

Malwarebytes
www.malwarebytes.com

-Détails du journal-
Date de l'analyse: 13/05/2017
Heure de l'analyse: 11:00
Fichier journal: 
Administrateur: Oui

-Informations du logiciel-
Version: 3.1.2.1733
Version de composants: 1.0.122
Version de pack de mise à jour: 1.0.1930
Licence: Essai

-Informations système-
Système d'exploitation: Windows 10
Processeur: x64
Système de fichiers: NTFS
Utilisateur: DESKTOP-3BN57G3\Acer

-Résumé de l'analyse-
Type d'analyse: Analyse des menaces
Résultat: Terminé
Objets analysés: 423342
Menaces détectées: 1
Menaces mises en quarantaine: 1
Temps écoulé: 16 min, 4 s

-Options d'analyse-
Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Désactivé
Heuristique: Activé
PUP: Activé
PUM: Activé

-Détails de l'analyse-
Processus: 0
(Aucun élément malveillant détecté)

Module: 0
(Aucun élément malveillant détecté)

Clé du registre: 0
(Aucun élément malveillant détecté)

Valeur du registre: 0
(Aucun élément malveillant détecté)

Données du registre: 0
(Aucun élément malveillant détecté)

Flux de données: 0
(Aucun élément malveillant détecté)

Dossier: 0
(Aucun élément malveillant détecté)

Fichier: 1
PUP.Optional.Trovi, C:\USERS\ACER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\UHMNR1RA.DEFAULT\PREFS.JS, Remplacé, [5519], [301682],1.0.1930

Secteur physique: 0
(Aucun élément malveillant détecté)


(end)

billmaxime · Answer

re

tu as encore des soucis?

@+

jcb2nl · Answer

a priori non

le redemarrage est correct

possible que ça revienne plus tard en utilisant ffox ou une extension ?

billmaxime · Answer

re

fait quand même 1 scan de recherche (analyse) avec Adwcleaner

télécharge Adwcleaner sur ton bureau

https://toolslib.net/downloads/viewdownload/1-adwcleaner/

exécute le en tant qu'administrateur (clic droit)

clique sur "analyser"

le rapport s'affichera sur ton bureau et dans C:\Adwcleaner\Adwcleaner S0 

poste le rapport via cjoint dans ta prochaine réponse

https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

@+

jcb2nl · Answer

ok

j ai fait le nettoyage avec adwcleaner

le rapport est là

https://www.cjoint.com/c/GEnuXNidl7r

billmaxime · Answer

salut

ok, télécharge Delfix sur ton bureau

https://toolslib.net/downloads/viewdownload/2-delfix/

exécute le en tant qu'administrateur (clic droit)

coche les cases suivantes:

supprimer les outils de désinfection 

purger la restauration système

clique sur Exécuter

le rappor s'affichera sur ton bureau et dans C:\Delfix.txt

poste le rapport via 1 copier/coller

@+

jcb2nl · Answer

le rapport en question

# DelFix v1.013 - Rapport créé le 14/05/2017 à 14:41:05
# Mis à jour le 17/04/2016 par Xplode
# Nom d'utilisateur : Acer - DESKTOP-3BN57G3
# Système d'exploitation : Windows 10 Home  (64 bits)

~ Suppression des outils de désinfection ...

Supprimé : C:\AdwCleaner
Supprimé : C:\Users\Acer\Desktop\JRT.txt
Supprimé : C:\Users\Acer\Downloads\AdwCleaner-5.007.exe
Supprimé : C:\Users\Acer\Downloads\adwcleaner_5.026.exe
Supprimé : C:\Users\Acer\Downloads\adwcleaner_6.046.exe
Supprimé : C:\Users\Acer\Downloads\JRT.exe
Supprimé : C:\Users\Acer\Downloads\HijackThis.exe
Supprimé : C:\Users\Acer\Downloads\hijackthis.log
Supprimé : C:\Users\Acer\Downloads\ZHPCleaner.exe
Supprimé : C:\Users\Acer\Downloads\ZHPDiag3.exe

~ Purge de la restauration système ...

Supprimé : RP #21 [Windows Update | 05/02/2017 20:42:17]
Supprimé : RP #22 [Windows Update | 05/06/2017 19:41:40]
Supprimé : RP #23 [Windows Update | 05/10/2017 05:02:51]
Supprimé : RP #24 [JRT Pre-Junkware Removal | 05/13/2017 10:31:11]

Nouveau point de restauration créé !

########## - EOF - ##########


par soucis de comprendre, ma session est une session administrateur, le clic droit "executer comme administrateur" a t il une importance ou est ce juste par prudence ?

billmaxime · Answer

salut

par soucis de comprendre, ma session est une session administrateur, le clic droit "executer comme administrateur" a t il une importance ou est ce juste par prudence ?

l'exécution "en tant qu'administrateur" te donne plus de possibilées d'action

exemple avec l'invite de commande



PS: tu peux supprimer le fichier de Delfix à la racine du DD >> C:\Delfix.txt 

si tu n'as plus de soucis, tu peux mettre ton topic en résolu

https://www.commentcamarche.net/infos/25917-marquer-un-fil-de-discussion-comme-etant-resolu/ 

merci

@+

jcb2nl · Answer

merci de ton aide et de ta pedagogie

je paase le t en resolu

billmaxime · Answer

re

pas de soucis pour l'aide^^

bonne continuation

@+

Détection d anomalies par antimalwarebytes et windows defender

11 réponses