Détection d anomalies par antimalwarebytes et windows defender

Résolu/Fermé
jcb2nl Messages postés 114 Date d'inscription mardi 18 septembre 2007 Statut Membre Dernière intervention 7 novembre 2020 - 13 mai 2017 à 09:07
billmaxime Messages postés 50273 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 5 octobre 2024 - 14 mai 2017 à 15:32
Bonjour,

windows defender a détecté dans un premier temps un programme malveillant qu il a mis en quarantaine : exploit:SWF/Meadgive

j ai ensuite fait tourner malwarebytes qui a aussi donné sa petite liste d anomalies le 11/05/2017,

Malwarebytes Anti-Malware
www.malwarebytes.org

Date de l'analyse: 11/05/2017
Heure de l'analyse: 23:16
Fichier journal:
Administrateur: Oui

Version: 2.2.1.1043
Base de données de programmes malveillants: v2017.05.11.07
Base de données de rootkits: v2017.04.02.01
Licence: Gratuit
Protection contre les programmes malveillants: Désactivé
Protection contre les sites Web malveillants: Désactivé
Autoprotection: Désactivé

Système d'exploitation: Windows 10
Processeur: x64
Système de fichiers: NTFS
Utilisateur: Acer

Type d'analyse: Analyse des menaces
Résultat: Terminé
Objets analysés: 324784
Temps écoulé: 23 min, 25 s

Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Désactivé
Heuristique: Activé
PUP: Activé
PUM: Activé

Processus: 0
(Aucun élément malveillant détecté)

Modules: 0
(Aucun élément malveillant détecté)

Clés du Registre: 3
PUP.Optional.Vondos, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\Browser-Security, En quarantaine, [d31066b008a1de58f06ea77adc249e62],
PUP.Optional.InstallCore, HKU\S-1-5-21-2866558505-3491076961-2208257564-1001\SOFTWARE\csastats, En quarantaine, [5d860f071d8cf14578c5e90e5da59e62],
PUP.Optional.ProductSetup, HKU\S-1-5-21-2866558505-3491076961-2208257564-1001\SOFTWARE\PRODUCTSETUP, En quarantaine, [f8eb0f0730793afc3fc2704fcf33fb05],

Valeurs du Registre: 2
PUP.Optional.DownloadProtect, HKU\S-1-5-21-2866558505-3491076961-2208257564-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|safe_urls768, "C:\Users\Acer\AppData\Roaming\Browser-Security\s768.exe", En quarantaine, [bc27a67092174fe72230a6a1fd037888]
PUP.Optional.ProductSetup, HKU\S-1-5-21-2866558505-3491076961-2208257564-1001\SOFTWARE\PRODUCTSETUP|tb, 0K2Y1J1E2T1S2X0X0Z1S1N1C2S1G, En quarantaine, [f8eb0f0730793afc3fc2704fcf33fb05]

Données du Registre: 0
(Aucun élément malveillant détecté)

Dossiers: 3
PUP.Optional.BrowserSecurity, C:\Users\Acer\AppData\Roaming\Mozilla\Firefox\Profiles\uhmnr1ra.default\jetpack\firefox@browser-security.de, En quarantaine, [3aa954c2edbc72c47d1d9133d52b55ab],
PUP.Optional.BrowserSecurity, C:\Users\Acer\AppData\Roaming\Mozilla\Firefox\Profiles\uhmnr1ra.default\jetpack\firefox@browser-security.de\simple-storage, En quarantaine, [3aa954c2edbc72c47d1d9133d52b55ab],
PUP.Optional.BrowserSecurity, C:\Users\Acer\AppData\Roaming\Browser-Security, En quarantaine, [80632fe7f1b83ef86eb9df538c76ec14],

Fichiers: 8
PUP.Optional.Amonetize, C:\Users\Acer\AppData\Local\Temp\Windows Loader 3.1 TeamDaz.zip, En quarantaine, [f0f326f01495aa8ce253dda33cc539c7],
PUP.Optional.Vondos, C:\Users\Acer\AppData\Roaming\Browser-Security\uninstall.exe, En quarantaine, [d31066b008a1de58f06ea77adc249e62],
PUP.Optional.BrowserSecurity, C:\Users\Acer\AppData\Roaming\Mozilla\Firefox\Profiles\uhmnr1ra.default\extensions\firefox@browser-security.de.xpi, En quarantaine, [d11229ed4b5e3afc10b0daf4669c20e0],
PUP.Optional.DownloadProtect, C:\Users\Acer\AppData\Roaming\Browser-Security\s768.exe, En quarantaine, [bc27a67092174fe72230a6a1fd037888],
PUP.Optional.BrowserSecurity, C:\Users\Acer\AppData\Roaming\Browser-Security\data, En quarantaine, [80632fe7f1b83ef86eb9df538c76ec14],
PUP.Optional.BrowserSecurity, C:\Users\Acer\AppData\Roaming\Browser-Security\license.rtf, En quarantaine, [80632fe7f1b83ef86eb9df538c76ec14],
PUP.Optional.Trovi, C:\Users\Acer\AppData\Roaming\Mozilla\Firefox\Profiles\uhmnr1ra.default\prefs.js, Bon : (), Mauvais : (user_pref("browser.newtab.url", "http://www.trovi.com/?gd=&ctid=CT3333673&octid=EB_ORIGINAL_CTID&ISID=59C851D5-FDD4-4837-BAEB-9D2CB353B760&SearchSource=69&CUI=&SSPV=&Lay=1&UM=8&UP=SP6D63779B-AC88-4D7B-A903-46AADC88E190&D=091816");), Remplacé,[ecf77a9cd6d36fc7e7fa6bc0a55e5aa6]
PUM.Optional.FireFoxSecurityOverride, C:\Users\Acer\AppData\Roaming\Mozilla\Firefox\Profiles\uhmnr1ra.default\user.js, En quarantaine, [91524ccae7c22016fa36e24c877cbd43],

Secteurs physiques: 0
(Aucun élément malveillant détecté)


(end)

puis nouveau une signalisation ce matin 13/05/2017

Malwarebytes Anti-Malware
www.malwarebytes.org

Date de l'analyse: 13/05/2017
Heure de l'analyse: 06:43
Fichier journal:
Administrateur: Oui

Version: 2.2.1.1043
Base de données de programmes malveillants: v2017.05.13.02
Base de données de rootkits: v2017.04.02.01
Licence: Gratuit
Protection contre les programmes malveillants: Désactivé
Protection contre les sites Web malveillants: Désactivé
Autoprotection: Désactivé

Système d'exploitation: Windows 10
Processeur: x64
Système de fichiers: NTFS
Utilisateur: Acer

Type d'analyse: Analyse des menaces
Résultat: Terminé
Objets analysés: 324964
Temps écoulé: 19 min, 20 s

Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Désactivé
Heuristique: Activé
PUP: Activé
PUM: Activé

Processus: 0
(Aucun élément malveillant détecté)

Modules: 0
(Aucun élément malveillant détecté)

Clés du Registre: 0
(Aucun élément malveillant détecté)

Valeurs du Registre: 0
(Aucun élément malveillant détecté)

Données du Registre: 0
(Aucun élément malveillant détecté)

Dossiers: 0
(Aucun élément malveillant détecté)

Fichiers: 1
PUP.Optional.Trovi, C:\Users\Acer\AppData\Roaming\Mozilla\Firefox\Profiles\uhmnr1ra.default\prefs.js, Bon : (), Mauvais : (user_pref("browser.newtab.url", "http://www.trovi.com/?gd=&ctid=CT3333673&octid=EB_ORIGINAL_CTID&ISID=59C851D5-FDD4-4837-BAEB-9D2CB353B760&SearchSource=69&CUI=&SSPV=&Lay=1&UM=8&UP=SP6D63779B-AC88-4D7B-A903-46AADC88E190&D=091816");), Remplacé,[287e2ceb76330a2c24e8cf5e36cd53ad]

Secteurs physiques: 0
(Aucun élément malveillant détecté)


(end)

à la lecture rapide et imparfaite sans doute de ceux ci, j ai le sentiment qu un fichier javascript sous firefox pose probleme

j ai besoin d aide pour y voir plus clair

merci de m'éclairer pour remettre les choses à plat




A voir également:
  • Détection d anomalies par antimalwarebytes et windows defender
  • Antimalwarebytes - Télécharger - Antivirus & Antimalwares

11 réponses

billmaxime Messages postés 50273 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 5 octobre 2024 5 990
13 mai 2017 à 09:42
salut

tu as 1 ancienne version de MBAM >> Version: 2.2.1.1043

on est à la 3.0.5

désinstalle MBAM avec son outil de désinstallation >> clique ici

met le sur ton bureau et exécute le en tant qu'administrateur (clic droit)

quand c'est fait, télécharge la dernière version depuis ce lien >> https://fr.malwarebytes.com/ (prend le free)

exécute le en tant qu'administrateur (clic droit)

quand l'installation est terminée, clique sur "mon compte" et désactive la protection résidente de MBAM (gratuite pendant 14 jours si je ne me trompe pas)

PS: crée 1 point de restauration avant de lancer 1 nouvelle analyse avec la dernière version de MBAM

il faudra aussi exécuter Adwcleaner sur ton pc

@+
0
jcb2nl Messages postés 114 Date d'inscription mardi 18 septembre 2007 Statut Membre Dernière intervention 7 novembre 2020
13 mai 2017 à 11:21
merci de ton aide

j ai mis antimalwarebytes à jour

le compte rendu est le suivant

Malwarebytes
www.malwarebytes.com

-Détails du journal-
Date de l'analyse: 13/05/2017
Heure de l'analyse: 11:00
Fichier journal:
Administrateur: Oui

-Informations du logiciel-
Version: 3.1.2.1733
Version de composants: 1.0.122
Version de pack de mise à jour: 1.0.1930
Licence: Essai

-Informations système-
Système d'exploitation: Windows 10
Processeur: x64
Système de fichiers: NTFS
Utilisateur: DESKTOP-3BN57G3\Acer

-Résumé de l'analyse-
Type d'analyse: Analyse des menaces
Résultat: Terminé
Objets analysés: 423342
Menaces détectées: 1
Menaces mises en quarantaine: 1
Temps écoulé: 16 min, 4 s

-Options d'analyse-
Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Désactivé
Heuristique: Activé
PUP: Activé
PUM: Activé

-Détails de l'analyse-
Processus: 0
(Aucun élément malveillant détecté)

Module: 0
(Aucun élément malveillant détecté)

Clé du registre: 0
(Aucun élément malveillant détecté)

Valeur du registre: 0
(Aucun élément malveillant détecté)

Données du registre: 0
(Aucun élément malveillant détecté)

Flux de données: 0
(Aucun élément malveillant détecté)

Dossier: 0
(Aucun élément malveillant détecté)

Fichier: 1
PUP.Optional.Trovi, C:\USERS\ACER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\UHMNR1RA.DEFAULT\PREFS.JS, Remplacé, [5519], [301682],1.0.1930

Secteur physique: 0
(Aucun élément malveillant détecté)


(end)
0
billmaxime Messages postés 50273 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 5 octobre 2024 5 990
13 mai 2017 à 11:25
re

tu as encore des soucis?

@+
0
jcb2nl Messages postés 114 Date d'inscription mardi 18 septembre 2007 Statut Membre Dernière intervention 7 novembre 2020
13 mai 2017 à 12:43
a priori non

le redemarrage est correct

possible que ça revienne plus tard en utilisant ffox ou une extension ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
billmaxime Messages postés 50273 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 5 octobre 2024 5 990
13 mai 2017 à 12:51
re

fait quand même 1 scan de recherche (analyse) avec Adwcleaner

télécharge Adwcleaner sur ton bureau

https://toolslib.net/downloads/viewdownload/1-adwcleaner/

exécute le en tant qu'administrateur (clic droit)

clique sur "analyser"

le rapport s'affichera sur ton bureau et dans C:\Adwcleaner\Adwcleaner S0

poste le rapport via cjoint dans ta prochaine réponse

https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

@+
0
jcb2nl Messages postés 114 Date d'inscription mardi 18 septembre 2007 Statut Membre Dernière intervention 7 novembre 2020
13 mai 2017 à 22:50
ok

j ai fait le nettoyage avec adwcleaner

le rapport est là

https://www.cjoint.com/c/GEnuXNidl7r
0
billmaxime Messages postés 50273 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 5 octobre 2024 5 990
14 mai 2017 à 09:53
salut

ok, télécharge Delfix sur ton bureau

https://toolslib.net/downloads/viewdownload/2-delfix/

exécute le en tant qu'administrateur (clic droit)

coche les cases suivantes:

supprimer les outils de désinfection

purger la restauration système

clique sur Exécuter

le rappor s'affichera sur ton bureau et dans C:\Delfix.txt

poste le rapport via 1 copier/coller

@+
0
jcb2nl Messages postés 114 Date d'inscription mardi 18 septembre 2007 Statut Membre Dernière intervention 7 novembre 2020
14 mai 2017 à 14:47
le rapport en question

# DelFix v1.013 - Rapport créé le 14/05/2017 à 14:41:05
# Mis à jour le 17/04/2016 par Xplode
# Nom d'utilisateur : Acer - DESKTOP-3BN57G3
# Système d'exploitation : Windows 10 Home (64 bits)

~ Suppression des outils de désinfection ...

Supprimé : C:\AdwCleaner
Supprimé : C:\Users\Acer\Desktop\JRT.txt
Supprimé : C:\Users\Acer\Downloads\AdwCleaner-5.007.exe
Supprimé : C:\Users\Acer\Downloads\adwcleaner_5.026.exe
Supprimé : C:\Users\Acer\Downloads\adwcleaner_6.046.exe
Supprimé : C:\Users\Acer\Downloads\JRT.exe
Supprimé : C:\Users\Acer\Downloads\HijackThis.exe
Supprimé : C:\Users\Acer\Downloads\hijackthis.log
Supprimé : C:\Users\Acer\Downloads\ZHPCleaner.exe
Supprimé : C:\Users\Acer\Downloads\ZHPDiag3.exe

~ Purge de la restauration système ...

Supprimé : RP #21 [Windows Update | 05/02/2017 20:42:17]
Supprimé : RP #22 [Windows Update | 05/06/2017 19:41:40]
Supprimé : RP #23 [Windows Update | 05/10/2017 05:02:51]
Supprimé : RP #24 [JRT Pre-Junkware Removal | 05/13/2017 10:31:11]

Nouveau point de restauration créé !

########## - EOF - ##########


par soucis de comprendre, ma session est une session administrateur, le clic droit "executer comme administrateur" a t il une importance ou est ce juste par prudence ?
0
billmaxime Messages postés 50273 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 5 octobre 2024 5 990
14 mai 2017 à 15:02
salut

par soucis de comprendre, ma session est une session administrateur, le clic droit "executer comme administrateur" a t il une importance ou est ce juste par prudence ?

l'exécution "en tant qu'administrateur" te donne plus de possibilées d'action

exemple avec l'invite de commande



PS: tu peux supprimer le fichier de Delfix à la racine du DD >> C:\Delfix.txt

si tu n'as plus de soucis, tu peux mettre ton topic en résolu

https://www.commentcamarche.net/infos/25917-marquer-un-fil-de-discussion-comme-etant-resolu/

merci

@+
0
jcb2nl Messages postés 114 Date d'inscription mardi 18 septembre 2007 Statut Membre Dernière intervention 7 novembre 2020
14 mai 2017 à 15:29
merci de ton aide et de ta pedagogie

je paase le t en resolu
0
billmaxime Messages postés 50273 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 5 octobre 2024 5 990
14 mai 2017 à 15:32
re

pas de soucis pour l'aide^^

bonne continuation

@+
0