encore malware defense (résolu)

[Falkra]

Désactive si tu peux le bouclier résident de ton antivirus. Sinon on fera sans.

[midgo]

Désactive si tu peux le bouclier résident de ton antivirus. Sinon on fera sans.

 

bon, j'ai fais sans...

voici le rapport mbam (il n'a pas réussi a tt virer):

 

Malwarebytes' Anti-Malware 1.42

Version de la base de données: 3443

Windows 5.1.2600 Service Pack 3

Internet Explorer 7.0.5730.11

 

28/12/2009 13:00:58

mbam-log-2009-12-28 (13-00-50).txt

 

Type de recherche: Examen rapide

Eléments examinés: 111481

Temps écoulé: 12 minute(s), 4 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 1

Clé(s) du Registre infectée(s): 3

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 2

Fichier(s) infecté(s): 19

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

\\?\globalroot\systemroot\system32\H8SRToeckfakaou.dll (Trojan.FakeAlert) -> No action taken.

 

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\malware defense (Rogue.MalwareDefense) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Malware Defense (Rogue.MalwareDefense) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> No action taken.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

C:\Program Files\malware Defense (Rogue.MalwareDefense) -> No action taken.

C:\Documents and Settings\ben\Menu Démarrer\Programmes\malware Defense (Rogue.MalwareDefense) -> No action taken.

 

Fichier(s) infecté(s):

\\?\globalroot\systemroot\system32\H8SRToeckfakaou.dll (Trojan.FakeAlert) -> No action taken.

C:\Documents and Settings\ben\Local Settings\Temp\settdebugx.exe (Rogue.Installer) -> No action taken.

C:\Documents and Settings\ben\Local Settings\Temp\Installer.exe (Trojan.FakeAlert) -> No action taken.

C:\Documents and Settings\ben\Local Settings\Temp\wscsvc32.exe (Trojan.FakeAlert) -> No action taken.

C:\Program Files\malware Defense\help.ico (Rogue.MalwareDefense) -> No action taken.

C:\Program Files\malware Defense\md.db (Rogue.MalwareDefense) -> No action taken.

C:\Program Files\malware Defense\mdefense.exe (Rogue.MalwareDefense) -> No action taken.

C:\Program Files\malware Defense\mdext.dll (Rogue.MalwareDefense) -> No action taken.

C:\Program Files\malware Defense\uninstall.exe (Rogue.MalwareDefense) -> No action taken.

C:\Documents and Settings\ben\Menu Démarrer\Programmes\malware Defense\Malware Defense Support.lnk (Rogue.MalwareDefense) -> No action taken.

C:\Documents and Settings\ben\Menu Démarrer\Programmes\malware Defense\Malware Defense.lnk (Rogue.MalwareDefense) -> No action taken.

C:\Documents and Settings\ben\Menu Démarrer\Programmes\malware Defense\Uninstall Malware Defense.lnk (Rogue.MalwareDefense) -> No action taken.

C:\WINDOWS\system32\krl32mainweq.dll (Trojan.DNSChanger) -> No action taken.

C:\Documents and Settings\ben\Bureau\Malware Defense.lnk (Rogue.MalwareDefense) -> No action taken.

C:\Documents and Settings\ben\Bureau\Malware Defense Support.lnk (Rogue.MalwareDefense) -> No action taken.

C:\Documents and Settings\ben\Application Data\Microsoft\Internet Explorer\Quick Launch\Malware Defense.lnk (Rogue.MalwareDefense) -> No action taken.

C:\Documents and Settings\All Users\Bureau\nudetube.com.lnk (Rogue.Link) -> No action taken.

C:\Documents and Settings\All Users\Bureau\pornotube.com.lnk (Rogue.Link) -> No action taken.

C:\Documents and Settings\All Users\Bureau\youporn.com.lnk (Rogue.Link) -> No action taken.

[midgo]

bon, j'ai refait une petite analyse mbam, il a trouvé des trucs et visiblement il a reussi à tt virer cette fois ci. voici le rapport:

 

Malwarebytes' Anti-Malware 1.42

Version de la base de données: 3443

Windows 5.1.2600 Service Pack 3

Internet Explorer 7.0.5730.11

 

28/12/2009 13:40:54

mbam-log-2009-12-28 (13-40-46).txt

 

Type de recherche: Examen rapide

Eléments examinés: 111924

Temps écoulé: 14 minute(s), 11 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 4

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\h8srtd.sys (Rootkit.TDSS) -> No action taken.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\WINDOWS\system32\H8SRTqvalytkuyk.dll (Trojan.FakeAlert) -> No action taken.

C:\WINDOWS\system32\drivers\H8SRToiyfgjywgx.sys (Malware.Packer) -> No action taken.

C:\WINDOWS\system32\H8SRTwredvtvwfn.dat (Rootkit.TDSS) -> No action taken.

C:\Documents and Settings\ben\Local Settings\Temp\H8SRTfba7.tmp (Rootkit.TDSS) -> No action taken.

 

J'AI VIDE LA QUARANTAINE SANS PROBLEMES CETTE FOIS. MAIS J'IMAGINE QUE C'EST ENCORE LOIN D'ETRE FINI...

[Falkra]

Ca marque "No action taken", tu n'as pas supprimé ce que MBAM avait trouvé, donc tout est encore là !

 

Il faut recommencer, en relançant sans doute d'abord rkill, puis MBAM, supprime ce qui est trouvé, n'oublie pas (partie "afficher les résultats" des infos).

[midgo]

Ca marque "No action taken", tu n'as pas supprimé ce que MBAM avait trouvé, donc tout est encore là !

 

Il faut recommencer, en relançant sans doute d'abord rkill, puis MBAM, supprime ce qui est trouvé, n'oublie pas (partie "afficher les résultats" des infos).

 

merci, je ne suis plus chez moi pour l'instant mais j'ai pourtant bien tout viré...meme que j'ai relancé une troisième et dernière analyse mbam et il n'a rien trouvé. Avant de partir j'ai meme pu faire les mises à jour sur norton et lancer une analyse ce qui était impossible avant. Je posterais les résulats de l'analyse norton dès que je serai chez moi. En tout cas, merci pour l'aide...

[Falkra]

Les rapports indiquent que rien n'a été effacé (no action taken = "pas d'action entreprise"). Ou alors, ce n'était pas le bon rapport.

 

Symantec/Norton ne détecte pas bien ça, ça ne sera pas significatif comme résultat.

[midgo]

ok, effectivement norton n'a rien trouvé. Je viens de relancer une analyse mbam. qu'est-ce qu'il faut que je t'envoie exactement ensuite?? (en gros, sur quel boutons appuyer...?)

[Falkra]

Relance rkill d'abord.

 

N'oublie pas la partie où il y a du rouge, sinon les fichiers nuisibles ne sont pas supprimés.

 

• Démarre MBAM
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen rapide"
  
• Clique sur "Rechercher"
  
• L'analyse démarre.
  
• A la fin de l'analyse (mais ce n'est pas fini), un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. N'oublie pas la suite.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

 

NB : Si MBAM te demande à redémarrer, fais-le.

[midgo]

Relance rkill d'abord.

 

N'oublie pas la partie où il y a du rouge, sinon les fichiers nuisibles ne sont pas supprimés.

 

Je ne comprends pas bien ce que tu veux dire par la "partie rouge". quand je lance rkill, y'a effectivement la fenetre noire qui apparait brievement, les icones de mon bureau disparaissent 3 secondes, la fenetre disparait et les icones réapparaissent...ca fait ca à chaques fois. a vrai dire j'ai pas encore bien compris a quoi ca servait

 

toujours est-il que j'ai un nouveau rapport mbam que je m'empresse de te communiquer:

 

 

 

Malwarebytes' Anti-Malware 1.42

Version de la base de données: 3444

Windows 5.1.2600 Service Pack 3

Internet Explorer 7.0.5730.11

 

28/12/2009 18:55:41

mbam-log-2009-12-28 (18-55-41).txt

 

Type de recherche: Examen rapide

Eléments examinés: 112498

Temps écoulé: 19 minute(s), 33 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 1

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\settdebugx.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

 

 

JE PARS DE CHEZ MOI MAIS SERAIT DE RETOUR VERS MINUIT/UNE HEURE...MERCI POUR TON AIDE

[midgo]

PS: à propos, qu'est ce que tu veux dire aussi par "ferme tes navigateurs"??

je sais, je sais...