[RESOLU] MBAM 1.45 trouve un malware = ACLUI.DLL et se bloque

[nanotek]

Bonjour,

 

J'ai déjà eu des problèmes avec MBAM 1.45 depuis la MàJ.

(moins de fichiers scannés, et plus de temps pour le scan)

 

Aujourd'hui, un scan (examen complet) me signale un fichier infecté :

Malware.Packer.Gen (File) dans E:\Program Files\ZEB_Protect\aclui.dll

 

Puis MBAM se bloque :

- Impossible de faire apparaître le rapport à la fin de l'examen

- Impossible de sauvegarder le log.

Les deux cases dans "Paramètres" sont bien cochées

 

Mais un scan (examen rapide) ne me décèle aucun fichier infecté.

 

Peut-être ai-je des compagnons d'infortune ?

Merci pour vos suggestions pour :

1 - Réparer MBAM

2 - Eradiquer le malware

Modifié le 7 août 2010 par nanotek

[Falkra]

Salut Nanotek,

 

(moins de fichiers scannés, et plus de temps pour le scan)

Ca ce n'est pas un problème, c'est la fonctionnement normal. Moins d'objets scannés (ça ne scanne pas que des fichiers), c'est grâce à des optimisations, et une réécriture interne, qui impose pour le moment un temps plus important sur certaines configurations utilisateur.

 

Si ça vient de Zeb Protect, il faut faire un rapport dev (en démarrant le programme par ligne de commande mbam /developer)

Et il faut m'uploader le fichier :

E:\Program Files\ZEB_Protect\aclui.dll

 

Sinon pour aller plus vite, décompresse Zeb Protect dans c:\program files ou sur le bureau pour qu'un scan rapide le trouve, vois si ça plante quand même.

[nanotek]

Bonsoir Falkra,

 

J'ai exécuté MBAM /developer (Démarrer\Exécuter etc... )

Il y a les chiffres 5553203 inscrits dans la barre de menus : c'est normal ?

A la fin de l'examen, MBAM me montre comme dans mon 1er post, le fichier infecté :

Malware.Packer.Gen (File) dans E:\Program Files\ZEB_Protect\aclui.dll

 

Le rapport étant apparu à la fin de l'examen (cette fois ci), je me suis dépêché de le sauvegarder dans E:\Mes documents.

MBAM est bloqué : Les onglets du menu MBAM sont gelés.

- Je ne peux donc pas accéder à Rapports/Logs (heureusement que j'ai pu le sauvegarder ...!)

- Je ne peux donc pas faire une mise en quarantaine.

- Si je veux quitter MBAM, j'ai le message : "Un examen est en cours. Voulez-vous vraiment fermer MBAM"

Alors qu'avant, ce message n'apparaîssait pas.

 

Ci-dessous le rapport :

 

Malwarebytes' Anti-Malware 1.45

www.malwarebytes.org

 

Version de la base de données: 3982

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 7.0.5730.13

 

12/04/2010 22:29:03

mbam-log-2010-04-12 (22-29-03).txt

 

Type d'examen: Examen complet (C:\|E:\|)

Elément(s) analysé(s): 156950

Temps écoulé: 23 minute(s), 14 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

E:\Program Files\ZEB_Protect\aclui.dll (Malware.Packer.Gen) -> No action taken. [E3008781B4F7B111BC01B71C7C3DB9F5]

Fin du rapport

 

A :

Et il faut m'uploader le fichier : E:\Program Files\ZEB_Protect\aclui.dll

Comment fait-on ?

B :

Sinon pour aller plus vite, décompresse Zeb Protect dans c:\program files ou sur le bureau pour qu'un scan rapide le trouve, vois si ça plante quand même.

ZEB_Protect est déjà décompressé dans le dossier E:\Program Files\ZEB_Protect. Que dois-je faire exactement ? Démarrer\Exécuter\MBAM /developer puis option "Scan rapide" ?

Il y a sûrement quelque chose que je n'ai pas bien capté. Mais à toutes fins utiles, je te poste le résultat du "Scan rapide"

 

Malwarebytes' Anti-Malware 1.45

www.malwarebytes.org

 

Version de la base de données: 3983

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 7.0.5730.13

 

13/04/2010 01:07:51

mbam-log-2010-04-13 (01-07-51).txt

 

Type d'examen: Examen rapide

Elément(s) analysé(s): 111449

Temps écoulé: 3 minute(s), 47 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fin du rapport

 

Le "Scan rapide" ne trouve donc rien, et MBAM plante comme précédemment

KIS 2010 n'a rien décelé

 

Merci pour tes réflexions

Modifié le 13 avril 2010 par nanotek

[Falkra]

Je te MP de quoi m'envoyer le fichier, car je n'arrive pas à avoir un Zeb-protect décompressé comme ça sur ma config XP.

[nanotek]

Bonsoir Falkra,

Je viens à peine de t'envoyer aclui.dll -> aclui.rar.

La dll est toute petite (70 Ko), je n'ai pas compris pourquoi il fallait la zipper.

je n'arrive pas à avoir un Zeb-protect décompressé comme ça sur ma config XP

. Ca non plus, je n'ai pas compris. Je n'ai fait qu'installer le logiciel.

 

J'ai dans C:\Windows\system32\dllcache un aclui.dll (118 Ko) de 2008. Ca peut servir à quelque chose ?

 

Merci pour tes bons soins.

Modifié le 13 avril 2010 par nanotek

[Falkra]

C'est bizarre, moi je double clique sur Zeb Protect, ça se lance, mais il n'y a pas de fichiers créés dans program files, du moins pour la version actuelle.

 

J'ai fait suivre ta demande en postant tous les détails, de toute façon il y a faux positif. Par contre chez moi ça ne plante pas, mais je ne peux sans doute pas reproduire toutes les conditions.

 

As-tu placé les fichiers de MBAM en liste d'exclusion pour Kaspersky ?

[nanotek]

Bonjour Falkra,

As-tu placé les fichiers de MBAM en liste d'exclusion pour Kaspersky ?

Oui, depuis belle lurette

J'ai téléchargé Zeb_Protect le 14 janvier 2010 sur Zebulon, et je l'ai installé.

Mais ce jour, je l'ai à nouveau téléchargé, et en faisant la même manip que toi, (double-Click) pour installer, j'ai eu le même résultat que toi : apparition d'une fenêtre de configuration avec dans le menu les 2 choix suivants : Outils et "?"

Je n'ai pas d'explication.

J'attends de plus amples informations, mais serait t-il possible que j'aie installé un faux Zeb_Protect ? (pourtant téléchargé sur Zebulon ?)

Faut-il supprimer Zeb_Protect de mon pc, et supprimer / ré-installer proprement MBAM 1.45 ?

Je ne bouge pas pour le moment, en attendant tes instructions.

Comment as-tu décelé que c'était un FP ? (qui me plante quand même MBAM ... !)

Modifié le 14 avril 2010 par nanotek

[Falkra]

Ca pouvait être une ancienne version de Zeb Protect.

 

On en discute là, je crois que tu as un compte :

http://forums.malwarebytes.org/index.php?showtopic=46926

[Falkra]

Ha, ça semble en voie d'être réglé, par contre je n'explique pas l''installation de Zeb-Protect, puisque la dernière mise à jour du programme est de 2004.

[nanotek]

Oui, je suis vos échanges avec nosirrah.

A toutes fins utiles :

La version de aclui.dll dans mon dossier Zeb_Protect est la 4.0.1381.100 (70 Ko) créée le 02-09-1998

Celle dans C:\Windows\system32\dllcache est la 5.1.2600.5512 (118 Ko) créée le 18-04-2008

Modifié le 14 avril 2010 par nanotek