[RESOLU] Pas possible de mettre MBAM a jour

[alainj77]

Non MBAM ne me donne rien, simplement hier quand j'ai vu que McAfee était arrété, je l'ai relancé et j'ai voulu mettre MBAM à jour pour le lancer mais bouton grisé. Je l'ai retéléchargé et réinstallé. Il s'est mis à jour, j'ai fait une analyse il n'a rien trouvé. Ce matin j'ai regardé pour le remettre à jour puisque l'antivirus était encore arrêté, et à nouveau bouton de recherche de mise à jour grisé.

Auparavant je n'avais pas ce problème, il tournait bien avec McAfee et je pouvais faire les mises à jour.

Et en plus je ne comprends pas pourquoi en enregistrant ou en copiant le rapport de Gmer ça me plante le PC.

[Falkra]

Tu fais tourner MBAM avec les droits admin (exécuter en tant qu'administrateur) ?

[alainj77]

Je ne l'avais jamais fait, et ça marchait.

Je viens d'essayer et la ça marche, donc je le mettrais à jour et ferais l'analyse comme ça.

Un soucis de moins, mais maintenant il faut que je trouve pourquoi McAfee s'arrête et ne se relance pas sur ce PC alors que sur l'autre je n'ai pas ce problème.

Tu as une idée pour le rapport Gmer que je n'ai pas pu envoyer?

Et un grand merci pour ton idée et pour avoir passé du temps à l'analyse des rapports.

[Falkra]

Je viens d'essayer et la ça marche, donc je le mettrais à jour et ferais l'analyse comme ça.

Tu peux modifier les propriétés du raccourci (je connais mieux 7 que Vista mais ça doit aller), pour que l'UAC te le propose directement. Sinon en effet il faut les droits admin, pour mettre à jour, parmi d'autres choses.

 

Le rapport Gmer, je ne sais pas avec quels paramètres il a été demandé, cela dépend des paramètres, et il avait trouvé beaucoup de choses ?

[alainj77]

Oui effectivement quand je le lançais il me demandait le mot de passe administrateur, plus maintenant. J'ai du faire une manip à ne pas faire. Je vais rechercher.

Non le rapport Gmer il devait faire une quinzaine de lignes environ. Mais je ne sais pas ce qu'il avait trouvé puisque le PC se plantait de suite. Mais bon pas grave vu que je ne suis pas infecté.

Pour RSIT je supprime l'icône du bureau et le dossier dans C:, il n'y a rien d'autre à faire?

[Falkra]

On peut jeter un oeil à Gmer, mais selon les machines, une des fonctions plantera (sans nécessairement qu'il y ait de bestiole). On va regarder ça.

 

Télécharge GMER Rootkit Scanner du lien suivant :

 

http://www.gmer.net/#files

 

- Clique sur le bouton "Download EXE"

- Sauvegarde-le sur ton Bureau

- Colle et sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur.

- Ferme les fenêtres de navigateur ouvertes

- Lance le fichier téléchargé (le nom comporte 8 chiffres/lettres aléatoires) par double clic ;

- Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO"

- Dans la section de droite de la fenêtre de l'outil, décoche les options suivantes :

• Sections
  
• Modules
  
• IAT/EAT
  
• **Assure-toi que "Show All" est décoché**
  

- Clique maintenant sur le bouton "Scan" et patiente (cela peut prendre 10 minutes ou +)

- Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ;

- Nomme le fichier"Ark.txt" et sauvegarde-le sur le Bureau ;

- Copie/colle le contenu de ce rapport dans ta réponse.

[alainj77]

Bonjour Falkra

Différences avec ce que m'avait demandé Apollo : il ne m'avait pas fait décocher "Modules" et il me faisait faire "Copy" au lieu de "Save", à l'enregistrement sur le bureau j'avais un écran bleu avec dump de la mémoire.

J'ai utilisé ta méthode, et à la sélection du bureau pour l'enregistrement, même écran bleu.

Comme je suis têtu, j'ai redémarré et relancé Gmer comme tu me l'as demandé. Mais au lieu de sauver sur le bureau, je l'ai laissé sauver dans le dossier qu'il me proposait. Pas de problème pour sauver. Lorsque j'ai voulu ouvrir le dossier, à nouveau écran bleu. Mais au redémarrage j'ai pu ouvrir le dossier (ouf!!) et voici donc le rapport :

 

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit scan 2010-01-18 05:49:13

Windows 6.0.6002 Service Pack 2

Running: v4tsqidr.exe; Driver: C:\Users\Admin\AppData\Local\Temp\uglyypob.sys

 

 

---- System - GMER 1.0.15 ----

 

Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwCreateFile [0x8F66C79E]

Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwCreateProcess [0x8F66C738]

Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwCreateProcessEx [0x8F66C74C]

Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwMapViewOfSection [0x8F66C7DC]

Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwNotifyChangeKey [0x8F66C81F]

Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwOpenProcess [0x8F66C710]

Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwOpenThread [0x8F66C724]

Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwProtectVirtualMemory [0x8F66C7B2]

Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwReplaceKey [0x8F66C847]

Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwRestoreKey [0x8F66C833]

Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwSetContextThread [0x8F66C78A]

Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwSetInformationProcess [0x8F66C776]

Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwTerminateProcess [0x8F66C80B]

Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwUnmapViewOfSection [0x8F66C7F2]

Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwYieldExecution [0x8F66C7C8]

Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) ZwCreateUserProcess [0x8F66C762]

Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) NtCreateFile

Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) NtMapViewOfSection

Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) NtOpenProcess

Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) NtOpenThread

Code \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.) NtSetInformationProcess

 

---- Devices - GMER 1.0.15 ----

 

AttachedDevice \FileSystem\Ntfs \Ntfs mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)

AttachedDevice \Driver\tdx \Device\Tcp Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.)

AttachedDevice \Driver\tdx \Device\Udp Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.)

AttachedDevice \Driver\tdx \Device\RawIp Mpfp.sys (McAfee Personal Firewall Plus Driver/McAfee, Inc.)

 

---- EOF - GMER 1.0.15 ----

[Falkra]

Ce parcours du combattant (bien joué !) tient probablement à McAfee, qui en met... partout.

Le rapport ne révèle rien de nuisible, pas de malware là dedans, par contre.

[alainj77]

Bonjour

McAfee je n'en suis pas mécontent, je l'ai depuis 14 ans et jamais d'infection, mais c'est vrai qu'il en met un peu partout lol.

Bon je suis rassuré si je n'ai rien chopé de l'autre PC. Pour la suppression des outils, il suffit de supprimer les icônes du bureau ou il y a un logiiciel à utiliser?

[Falkra]

Télécharge OTC d'Old Timer :

http://oldtimer.geekstogo.com/OTC.exe

Double clique dessus, puis clique sur le gros bouton CleanUp ! pour supprimer les outils spéciaux.

 

Dis moi s'il en reste après.