Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[RESOLU] Trojan.FakeAlert.H signalé à 2 endroits par MBAM

nanotek

Par nanotek
dans Analyses et éradication malwares

 Partager

Messages recommandés

nanotek Mega Power Member

nanotek

Posté(e)
Posté(e) (modifié)

Bonjour,

un scan MBAM m'a détecté les 2 éléments ci-dessous :

Rapport :

Malwarebytes' Anti-Malware 1.44

Version de la base de données: 3823

Windows 5.1.2600 Service Pack 3

Internet Explorer 7.0.5730.13

 

04/03/2010 05:03:37

mbam-log-2010-03-04 (05-03-37).txt

 

Type de recherche: Examen complet (C:\|E:\|)

Eléments examinés: 175080

Temps écoulé: 48 minute(s), 7 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 1

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\win-xp-7 (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\Program Files\Fichiers communs\windows\win-xp-7.exe (Trojan.FakeAlert.H) -> Delete on reboot.

 

Pensez-vous que c'est méchant ? sont-ils toujours dans mon pc ? Puis-je effacer ce qui est en quarantaine ?

 

C'est après avoir lu Micro Hebdo et téléchargé puis installé les logiciels ci-dessous que c'est arrivé :

setup-adsltv.exe et setup_TV_Orange_0.94.exe (plugin)

 

Merci pour vos réflexions et conseils

cordialement

Modifié par nanotek

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Bonjour Nanotek, :P

 

Je peux vérifier ces fichiers si tu veux, mais pour ça, ne supprime rien de la quarantaine. Voici comment faire :

 

Va dans :

C:\Documents and Settings\< ton compte >\Application Data\Malwarebytes\Malwarebytes' Anti-Malware

< ton comtpe > c'est le nom de ton compte utilisateur, celui que tu utilises habituellement.

 

Zippe (enfin RAR) le dossier Quarantaine et dis moi combien il pèse pour me l'envoyer.

nanotek Mega Power Member

nanotek

Posté(e)
  • Auteur
Posté(e) (modifié)

Bonjour Falkra,

 

Dans ce dossier que tu m'as notifié, il y a 3 fichiers : les 2 premiers sont lisibles par Notepad.

BACKUP1.82387 1 Ko 04/03/2010 05:03

0=Trojan.FakeAlert.H 1=04/03/2010 2=File 3=C:\Program Files\Fichiers communs\windows\win-xp-7.exe 4=82387

BACKUP1.88398 1 Ko 04/03/2010 05:03

0=Trojan.FakeAlert.H 1=04/03/2010 2=Registry Value 3=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 4=win-xp-7 5=C:\Program Files\Fichiers communs\windows\win-xp-7.exe 6=88398

 

QUAR1.82387 955 Ko 04/03/2010 05:03

Ce 3 ème fichier est illisible.

Le Rar (Quarantine.rar) pèse 955 Ko

 

Dois-je t'envoyer le Rar, et si oui, peux-tu me dire comment ?

J'ai vu un Topic sur Zebulon (janvier 2010) avec le même Trojan et qui a nécessité du RSIT, du HJT, etc...

Quel est ton conseil ?

cordialement

Robert (nanotek)

Modifié par nanotek
nanotek Mega Power Member

nanotek

Posté(e)
  • Auteur
Posté(e) (modifié)
Tu peux poster le rar ici (règle sur 1 jour) :

http://www.senduit.com/

 

Et passe moi par MP le lien pour que j'aille voir. :P

 

Voilà, c'est fait. Mais le Topic auquel j'ai fait allusion date du 24 février, et c'est pear qui s'en est occupé.

nanotek

Modifié par nanotek
Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Le fichier est clean sur VT :

https://www.virustotal.com/analisis/aa3711e...c315-1267698347

 

Mais n'a pas l'air clean, d'aspect et d'emplacement, a priori ce n'est pas un faux positif, en soi.

 

C'est après avoir installé ça ? setup-adsltv.exe et setup_TV_Orange_0.94.exe (plugin)

Et ces programmes fonctionnent ?

nanotek Mega Power Member

nanotek

Posté(e)
  • Auteur
Posté(e)

Non, je ne suis pas arrivé à faire fonctionner ces programmes chez moi, et je ne suis pas le seul.

Mais ça marche chez certains, qui ont comme moi le triple play 8 Mega de Orange.

Avant de supprimer ces 2 programmes, je voulais avoir ton avis, car si je les ré-installe, je vais encore récolter le même Trojan.FakeAlert.

 

adslTV installe une version 0.94 de VLC, alors que j'ai la 1.05 déjà installée. Il y a un petit schmilblic, là.

et on ne m'a pas dit où installer le plugin Orange (dans quel dossier, sur C:\ ou sur E:\Program Files où j'ai tous mes programmes NON-systèmes)

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Si tu n'as pas MBAM en version complète, juste la version gratuite, je te propose un test facile.

Sinon désactive le bouclier résident.

 

Réinstalle les programmes. Mets à jour MBAM (important).

Ferme MBAM (important).

 

Relance MBAM par menu démarrer, exécuter (ou Win+R), et la commande suivante :

mbam /developer

(tu valides avec entrée)

 

Et là tu fais une recherche rapide, sans corriger, et en postant le rapport.

 

Si c'est un FP on pourra le remonter, avec ce rapport spécial FP.

nanotek Mega Power Member

nanotek

Posté(e)
  • Auteur
Posté(e) (modifié)

Ok, je vais faire cette manip.

Mais auparavant, que dois-je faire des deux éléments qui sont actuellement en quarantaine chez MBAM ?

- Idem pour les fichiers que j'ai zippé pour te les adresser en MP ?

 

Cette nouvelle manip, si elle est opérante, va t-elle ajouter (dans la quarantaine) des éléments nouveaux aux éléments existants, ou plus simplement les écraser ?

- Idem pour les fichiers (ajout ou écrasement ?)

 

Je ne veux pas faire d'erreurs dans ce test et te faire perdre du temps, d'où mes questions.

Modifié par nanotek
Falkra Devil Member !

Falkra

Posté(e)
Posté(e)
Mais auparavant, que dois-je faire des deux éléments qui sont actuellement en quarantaine chez MBAM ?
Laisse pour le moment.

 

Idem pour les fichiers que j'ai zippé pour te les adresser en MP ?
Je les ai tu peux supprimer le zip, mais ne touche pas au dossier Quarantine bien sûr.

 

Cette nouvelle manip, si elle est opérante, va t-elle ajouter (dans la quarantaine) des éléments nouveaux aux éléments existants, ou plus simplement les écraser ?

- Idem pour les fichiers (ajout ou écrasement ?)

La manip va réinstaller les programmes avec tous les fichiers et scanner avec une base de données à jour. Tel que je t'ai décrit la procédure, tu n'effaces rien tu postes juste le rapport sans supprimer, mais même si tu le faisais, ça n'écraserait pas : ajout.

 

Pose toutes les questions nécessaires. :P

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...