Quarantaine Malwarebytes

Résolu

Trofou Messages postés 124 Date d'inscription Statut Membre Dernière intervention -
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention - 7 déc. 2018 à 10:14

Bonsoir.

Je viens d'utiliser Malwarebytes. Il m'a trouvé quelques menaces que j'ai mises en quarantaine. Y a-t-il un inconvénient à les supprimer ? Quel est le risque ?

Merci

A voir également:

Malwarebytes quarantaine ou supprimer
Supprimer rond bleu whatsapp - Guide
Malwarebytes gratuit - Télécharger - Antivirus & Antimalwares
Supprimer une page word - Guide
Supprimer pub youtube - Accueil - Streaming
Supprimer compte instagram - Guide

4 réponses

Réponse 1 / 4

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 676

Salut,

Si ce sont bien des fichiers malveillants, normalement aucun.

Trofou Messages postés 124 Date d'inscription Statut Membre Dernière intervention

C'est là, pour moi, toute la question. Ce sont des PUP.optional et un Adware. Côté PUP, l'essentiel est lié à "Advanced System Repair" que j'ai désinstallé. Pour le reste, il y en a deux liés à "Winzip Driver Updater" (désinstallé), 2 à "Rectoro" (chargé, non désinstallé et absent du Panneau de Configuration) et un de "PC Speed Cat" (???).
Il me parait clair que je peux virer ceux liés aux deux premiers, mais quid des deux derniers ?

Je te lirai avec le plus grand intérêt.

Réponse 2 / 4

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 676

Tu peux supprimer.

A lire et notamment le premier paragraphe : https://www.malekal.com/logiciels-nettoyage-windows/
Evite d'installer es logiciels de nettoyage complètement inutiles qui peuvent flinguer Windows.

Pour vérifier ton ordinateur, pour d'éventuels infections et avoir un état général du système :

Suis tutoriel FRST en cliquant sur ce lien bleu. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :

FRST.txt
Shortcut.
Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

Trofou Messages postés 124 Date d'inscription Statut Membre Dernière intervention

J'ai d'abord supprimé tout le contenu de la quarantaine, puis fait un scan FRST. Voici les liens :
https://pjjoint.malekal.com/files.php?id=20181206_h7z7z13d15r5
https://pjjoint.malekal.com/files.php?id=FRST_20181206_k13y10m11h7g5
https://pjjoint.malekal.com/files.php?id=20181206_z15x15d14q12n13

Je te lirai avec le plus grand intérêt.

Réponse 3 / 4

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 676

Tu as une infection amovible.

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

CreateRestorePoint:
CloseProcesses:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt [2018-12-05] () 
 2018-12-05 12:05 - 2018-12-05 12:05 - 000000000 ____D C:\ProgramData\s2a8
2018-12-05 11:59 - 2018-12-05 11:59 - 000000000 ____D C:\ProgramData\serg
2018-12-05 11:59 - 2018-12-05 11:59 - 000000000 ____D C:\ProgramData\sb4o
2018-12-05 11:58 - 2018-12-05 11:58 - 000000000 ____D C:\ProgramData\s8i8
2018-12-05 11:51 - 2018-12-05 11:51 - 000000000 ____D C:\ProgramData\s9tg
2018-12-05 11:51 - 2018-12-05 11:51 - 000000000 ____D C:\ProgramData\s7eg
2018-12-05 11:34 - 2018-12-05 11:34 - 000000000 ____D C:\ProgramData\s1rg
2018-12-05 11:27 - 2018-12-05 11:27 - 000000000 ____D C:\ProgramData\sc8s
2018-12-05 11:27 - 2018-12-05 11:27 - 000000000 ____D C:\ProgramData\s9g8
2018-12-05 11:26 - 2018-12-05 11:26 - 000000000 ____D C:\ProgramData\seco
2018-12-05 11:26 - 2018-12-05 11:26 - 000000000 ____D C:\ProgramData\sarc
2018-12-05 11:26 - 2018-12-05 11:26 - 000000000 ____D C:\ProgramData\s9ak 
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:

Enregistre le contenu par le menu fichier puis enregistrer.

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur

Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.

Pour nettoyer les disques amovibles des virus USB, suivre dans l'ordre les étapes du tutoriel : insère un à un tes clefs USB et disques durs externes que tu as pour les nettoyer. Envoie ensuite les rapports sur https://pjjoint.malekal.com/ et donne les liens menant à ces rapports pour que l'on puisse les consulter.

Brancher toutes les clefs USB et autres périphériques amovibles.

Télécharger Remediate VBS Worm
Lancer l'option B
Taper la lettre de la clef USB, par exemple, E et entrée

[color=red]ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR ![/color]

Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.

Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.

Trofou Messages postés 124 Date d'inscription Statut Membre Dernière intervention

Voici Fixlog.
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 01.12.2018 01
Exécuté par bruno (06-12-2018 14:20:36) Run:1
Exécuté depuis C:\Users\bruno\Desktop
Profils chargés: bruno (Profils disponibles: bruno & Bruno bis)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt [2018-12-05] ()
2018-12-05 12:05 - 2018-12-05 12:05 - 000000000 ____D C:\ProgramData\s2a8
2018-12-05 11:59 - 2018-12-05 11:59 - 000000000 ____D C:\ProgramData\serg
2018-12-05 11:59 - 2018-12-05 11:59 - 000000000 ____D C:\ProgramData\sb4o
2018-12-05 11:58 - 2018-12-05 11:58 - 000000000 ____D C:\ProgramData\s8i8
2018-12-05 11:51 - 2018-12-05 11:51 - 000000000 ____D C:\ProgramData\s9tg
2018-12-05 11:51 - 2018-12-05 11:51 - 000000000 ____D C:\ProgramData\s7eg
2018-12-05 11:34 - 2018-12-05 11:34 - 000000000 ____D C:\ProgramData\s1rg
2018-12-05 11:27 - 2018-12-05 11:27 - 000000000 ____D C:\ProgramData\sc8s
2018-12-05 11:27 - 2018-12-05 11:27 - 000000000 ____D C:\ProgramData\s9g8
2018-12-05 11:26 - 2018-12-05 11:26 - 000000000 ____D C:\ProgramData\seco
2018-12-05 11:26 - 2018-12-05 11:26 - 000000000 ____D C:\ProgramData\sarc
2018-12-05 11:26 - 2018-12-05 11:26 - 000000000 ____D C:\ProgramData\s9ak
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:

Erreur: (0) Impossible de créer un point de restauration.
Processus fermé avec succès.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt => déplacé(es) avec succès
C:\ProgramData\s2a8 => déplacé(es) avec succès
C:\ProgramData\serg => déplacé(es) avec succès
C:\ProgramData\sb4o => déplacé(es) avec succès
C:\ProgramData\s8i8 => déplacé(es) avec succès
C:\ProgramData\s9tg => déplacé(es) avec succès
C:\ProgramData\s7eg => déplacé(es) avec succès
C:\ProgramData\s1rg => déplacé(es) avec succès
C:\ProgramData\sc8s => déplacé(es) avec succès
C:\ProgramData\s9g8 => déplacé(es) avec succès
C:\ProgramData\seco => déplacé(es) avec succès
C:\ProgramData\sarc => déplacé(es) avec succès
C:\ProgramData\s9ak => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3181160709-2763417745-2624207795-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3181160709-2763417745-2624207795-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès

========= Fin de RemoveProxy: =========

=========== EmptyTemp: ==========

BITS transfer queue => 7364608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 77258732 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 398162 B
Edge => 1183389 B
Chrome => 0 B
Firefox => 1063170928 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 14316375 B
LocalService => 17314 B
LocalService => 0 B
NetworkService => 6086 B
NetworkService => 0 B
bruno => 21822878 B
Bruno bis => 26830 B

RecycleBin => 17591393 B
EmptyTemp: => 1.1 GB données temporaires supprimées.

================================

Le système a dû redémarrer.

Fin de Fixlog 14:21:10

J'attends ta réponse pour passer à la suite.
Pour le nettoyage des disques amovibles, faut-il le faire en une tournée d'ensemble (clef USB + disque dur externe) ou en deux séparées, l'un puis l'autre.
Merci

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 676 > Trofou Messages postés 124 Date d'inscription Statut Membre Dernière intervention

Ca n'a pas d'importance.
tant que tu nettoies bien tous avec l'option B.

Trofou Messages postés 124 Date d'inscription Statut Membre Dernière intervention

Voici le rapport concernant la clef USB seule.

Rem-VBSworm v8.0

=========== - General info:

Running under: bruno on profile: C:\Users\bruno
Computer name: LAPTOP-M8SG49HT

Operating System:
Microsoft Windows 10 Famille

Boot Mode:
Normal boot

Antivirus software installed:
Windows Defender

Kaspersky Internet Security

Executed on: 06/12/2018 @ 15:02:00,52

=========== - Drive info:

Listing currently attached drives:
Caption Description VolumeName

C: Disque mont‚ local Acer

D: Disque mont‚ local Data

E: Disque amovible USB DISK

Physical drives information:
C: \Device\HarddiskVolume4 NTFS
D: \Device\HarddiskVolume1 NTFS
E: \Device\HarddiskVolume6 FAT

=========== - Disinfection info:

Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.

Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.

=========== - Shortcut info:

=========== - Scheduled tasks info:

Commentaire: Collecteur d'informations r‚seau

=========== - USB drive info:

E: selected

USB Device ID:
SCSI\DISK&VEN_WDC&PROD_WD10SPZX-21Z10T0\4&1D9C57F5&0&000100

USBSTOR\DISK&VEN_&PROD_USB_DISK_3.0&REV_PMAP\07073A8500D75F03&0

SCSI\DISK&VEN_HFS128G3&PROD_9TND-N210A\4&1D9C57F5&0&000200

WARNING... Possible Andromeda/Gamarue infection...
Listing root contents of E:
Le volume dans le lecteur E s'appelle USB DISK
Le num‚ro de s‚rie du volume est C4BC-6D19

R‚pertoire de E:\

02/12/2018 15:31 157ÿ582ÿ816 kis19.0.0.1088a_fr-fr_full.exe
03/12/2018 16:20 15ÿ870 Chgt ordinateur 2018 .docx
3 fichier(s) 157ÿ598ÿ998 octets
1 R‚p(s) 30ÿ835ÿ081ÿ216 octets libres

USB drive disinfected and files unhidden

Panda USB Vaccine was downloaded

=====================================================
Scan finished at: 15:06:36,38
Send this log only if requested by a helper.
=====================================================

Made by @bartblaze
Tool to delete VBS autorun worm and unhide files
Quarantine folder on: C:\Rem-VBSqt
Info: https://bartblaze.blogspot.com/2014/02/remediate-vbs-malware.html

Trofou Messages postés 124 Date d'inscription Statut Membre Dernière intervention

Et voici celui du disque dur externe

Rem-VBSworm v8.0

=========== - General info:

Running under: bruno on profile: C:\Users\bruno
Computer name: LAPTOP-M8SG49HT

Operating System:
Microsoft Windows 10 Famille

Boot Mode:
Normal boot

Antivirus software installed:
Windows Defender

Kaspersky Internet Security

Executed on: 06/12/2018 @ 15:02:00,52

=========== - Drive info:

Listing currently attached drives:
Caption Description VolumeName

C: Disque mont‚ local Acer

D: Disque mont‚ local Data

E: Disque amovible USB DISK

Physical drives information:
C: \Device\HarddiskVolume4 NTFS
D: \Device\HarddiskVolume1 NTFS
E: \Device\HarddiskVolume6 FAT

=========== - Disinfection info:

Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.

Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.

=========== - Shortcut info:

=========== - Scheduled tasks info:

Commentaire: Collecteur d'informations r‚seau

=========== - USB drive info:

E: selected

USB Device ID:
SCSI\DISK&VEN_WDC&PROD_WD10SPZX-21Z10T0\4&1D9C57F5&0&000100

USBSTOR\DISK&VEN_&PROD_USB_DISK_3.0&REV_PMAP\07073A8500D75F03&0

SCSI\DISK&VEN_HFS128G3&PROD_9TND-N210A\4&1D9C57F5&0&000200

WARNING... Possible Andromeda/Gamarue infection...
Listing root contents of E:
Le volume dans le lecteur E s'appelle USB DISK
Le num‚ro de s‚rie du volume est C4BC-6D19

R‚pertoire de E:\

02/12/2018 15:31 157ÿ582ÿ816 kis19.0.0.1088a_fr-fr_full.exe
03/12/2018 16:20 15ÿ870 Chgt ordinateur 2018 .docx
3 fichier(s) 157ÿ598ÿ998 octets
1 R‚p(s) 30ÿ835ÿ081ÿ216 octets libres

USB drive disinfected and files unhidden

Panda USB Vaccine was downloaded

=====================================================
Scan finished at: 15:06:36,38
Send this log only if requested by a helper.
=====================================================

Made by @bartblaze
Tool to delete VBS autorun worm and unhide files
Quarantine folder on: C:\Rem-VBSqt
Info: https://bartblaze.blogspot.com/2014/02/remediate-vbs-malware.html

Désolé. C'est un peu galère, cette installation. Sans doute, grâce à ton aide, ferai-je mieux la prochaine fois. ;-)

Réponse 4 / 4

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 676

Ca semble correct.
Tu as des soucis particuliers ?

Trofou Messages postés 124 Date d'inscription Statut Membre Dernière intervention

C'est terminé pour le grand ménage de l'installation. Avec mes remerciements émus.
Il ne me reste pus qu'à transférer mon carnet d'adresses Windows Live Mail vers Thunderbird. Pour l'heure, ça ne se passe pas trop bien. Il me faudrait transférer mes fichiers .vcf un par un. Si je sais faire, ça craint ... Ce sera long. Il doit y avoir une asrtuce pour transférer tout le dossier.

ok :)

Regarde la doc officielle : https://support.mozilla.org/fr/kb/passer-thunderbird
Sinon faudrait créer un sujet dans la partie messagerie du forum.

Trofou Messages postés 124 Date d'inscription Statut Membre Dernière intervention

Pas de chance. Je l'avais consulté. Mais l'additif MoreFunctionsForAddressBook ne fonctionne pas sur ma version de Thunderbird. Dommage, car il est supposé permettre à ce dernier de comprendre le langage archaïque de Windows Live Mail.

Encore merci pour tout. J'ai terminé. Pour l'heure :)))

de rien :)

Discussions similaires

mettre en quarantaine!!!

quarantaine avast saturée

Que faire des fichiers infectés mis en quarantaine ?

Mise en quarantaine et élimination des virus

Fin de Fixlog 14:21:10

Votre réponse

Discussions similaires