[Résolu] Infection bloque antivirus et crée faux moteur de recherche

[OumHilal]

Bonsoir ,

 

Tu peux naviguer sans soucis avec ton pc maintenant

J'attendais ta confirmation pour fêter ça !

J'aime pas être dépendante des machines mais c'est dingue de voir les proportions que la panne d'un PC occupe dans notre ressenti. Je devrais faire une cure de désintox à internet, je crois !

 

Donne moi l'adresse du dossier récalcitrant de MBAM.

J'imagine que tu veux parler de l'emplacement. Le voici :

C:\ProgramFiles\Malwarebyte's antimalware

Ce dossier contient plusieurs fichiers, dont un dossier languages, puis :

la licence, un fichier (dont je ne connais pas l'extension et ne sais pas le contenu), mbamnet(2).dll et mbam(2).dll, le fichier d'aide,unins000 (élément outlook) et unins000.dt et un dossier étrange (contenu de ce dossier :

Malwarebytes' Anti-Malware 1.51.2.1300

 

Issues Fixed:

 

1. Fixed issue with users with { or } in user account names.

2. Internal bugfixes.

 

Ce serait pas dans celui-ci qu'il y aurait un souci ?

 

Je continuerai demain pour la suite (suppression Outost)car ce soir je suis trop

Bonne nuit

Modifié le 20 octobre 2011 par OumHilal

[satcoucou]

Bonsoir,

 

Depuis hier mon pc est lent, j'ai fait une analyse antivirus avec avast qui m'a pris 3-4 heures, je n'en reviens pas ! J'ai voulu défragmenté mon disque dur mais au bout d'une demi heure c'était à 4 % alors qu'il y a peine 20 Gb de mon disque utilisé. C'est la première fois que je vois mon pc aussi lent.

 

J'avais des virus avast les a supprimé mais il y a des fichiers qu'il n'a pas réussi à supprimer.

 

De plus quand je vais sur windows udapte impossible de récupérer les mises à jour ça me met une erreur...

 

Quelqu'un peut m'aider ?

 

A bientôt

-----------------------------

 

Plombier à domicile, Entreprise Gilbert, Devis gratuit, urgence plombier, plombier à paris, dépannage plombier

[bernard53]

Bonjour satcoucou

 

Il faut que tu ouvres ton propre post pour que l'on vienne te donner un coup de main s.t.p

Ce post appartiens a OumHilal

 

pour Malwaresbytes.

Vérifies ceci.

Démarrer << Exécuter << tapes msconfig puis onglet démarrage et la décoches tout ce que tu trouve concernant MalwaresBytes.

Redémarres le pc.

 

Si rien n'est dans cet onglet passe directement ceci.

 

 

Télécharge >>OTM<< (de Old_Timer) sur ton Bureau.

 

 

>> Pour VISTA : Clic-droit et choisis "Exécuter en tant qu'administrateur".

 

>> AVAST reconnait ce logiciel comme un intrus, donc le désactiver le temps des manipulations.

 

Double-clique sur OTM pour le lancer.

 

Copie la liste qui se trouve en citation ci-dessous:

:Files

C:\Program Files\Malwarebytes' Anti-Malware

:Commands

[emptytemp]

 

et colle-la dans le cadre de gauche de OTM sous ceci:

 

 

Clique sur pour lancer la suppression.

attendre la fin du travail de l'outil puis fermer OTM

 

Le résultat apparaitra dans le cadre Results.

Clique sur Exit pour fermer.

Poste le rapport situé dans C:\_OTM\MovedFiles\06092009_130526.log "Exemple"

 

NB: Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.

si c'est le cas accepte par Oui/Yes.

Modifié le 21 octobre 2011 par bernard53

[OumHilal]

Bonjour satcoucou

 

Il faut que tu ouvres ton propre post pour que l'on vienne te donner un coup de main s.t.p

Ce post appartiens a OumHilal

Ouah, j'ai un garde du corps perso ! En plus, les Mayennais sont pas des mauviettes, ce st des gars du terroir ; j'ai donc pas de souci à me faire !

Merci Bernard.

Modifié le 21 octobre 2011 par OumHilal

[OumHilal]

Bonsoir,

 

je viens de lancer la recherche avec SEAF.

D'après ce que j'ai lu, il reste donc des clés de registre d'Outpost, c'est bien ça ?

Même si le rapport affiche quels sont les éléments de cet ancien programme, je préfère ne pas toucher au registre ; ça c'est au-dessus de mes compétences et j'aurais peur de faire une bourde. Je préfère m'en remettre à toi pour savoir quoi supprimer.

Bonne nuit.

 

Ah j'allais oublier le rapport de SEAF.

J'ai fait un copier coller dans un doc word car cijoint refuse de prendre en charge le format log. Au fait, c'est vraiment pratique ce site (cijoint), merci à toi de me l'avoir fait connaître.

Cijoint.fr - Service gratuit de dépôt de fichiers

 

Et que dois-je faire pour MBAM ?

[bernard53]

Ok mets ceci dans OTM pour ce Pare Feu.

 

Copie la liste qui se trouve en citation ci-dessous:

 

:Reg

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Compatibility]

"OUTPOST"=-

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\ModuleCompatibility]

"OUTPOST"=-

[-HKLM\System\ControlSet001\Control\Session Manager\AppPatches\OUTPOST]

[HKLM\System\ControlSet001\Enum\Root\LEGACY_VFILT\0000]

"DeviceDesc"=-

[-HKLM\System\ControlSet001\Services\Eventlog\Application\Outpost Firewall Pro]

[-HKLM\System\ControlSet003\Control\Session Manager\AppPatches\OUTPOST]

[HKLM\System\ControlSet003\Enum\Root\LEGACY_VFILT\0000]

"DeviceDesc"=-

[-HKLM\System\ControlSet003\Services\Eventlog\Application\Outpost Firewall Pro]

[-HKLM\System\CurrentControlSet\Control\Session Manager\AppPatches\OUTPOST]

[HKLM\System\CurrentControlSet\Enum\Root\LEGACY_VFILT\0000]

"DeviceDesc"=-

[-HKLM\System\CurrentControlSet\Services\Eventlog\Application\Outpost Firewall Pro]

[-HKU\.DEFAULT\Software\Agnitum\Outpost Firewall Pro]

[HKU\.DEFAULT\Software\ODBC\ODBC.INI\ODBC Data Sources]

"Outpost Database"=-

[-HKU\.DEFAULT\Software\ODBC\ODBC.INI\Outpost Database]

[-HKU\S-1-5-21-343818398-583907252-725345543-1004\Software\Agnitum\Outpost Firewall Pro]

[HKU\S-1-5-21-343818398-583907252-725345543-1004\Software\Microsoft\Search Assistant\ACMru\5603]

"000"=-

[HKU\S-1-5-21-343818398-583907252-725345543-1004\Software\Microsoft\Search Assistant\ACMru\5603]

"001"=-

[HKU\S-1-5-21-343818398-583907252-725345543-1004\Software\ODBC\ODBC.INI\ODBC Data Sources]

"Outpost Database"=-

[-HKU\S-1-5-21-343818398-583907252-725345543-1004\Software\ODBC\ODBC.INI\Outpost Database]

[-HKU\S-1-5-18\Software\Agnitum\Outpost Firewall Pro]

[HKU\S-1-5-18\Software\ODBC\ODBC.INI\ODBC Data Sources]

"Outpost Database"=-

[-HKU\S-1-5-18\Software\ODBC\ODBC.INI\Outpost Database]

:Commands

 

et colle-la dans le cadre de gauche de OTM sous ceci:

 

 

Clique sur pour lancer la suppression.

attendre la fin du travail de l'outil puis fermer OTM

 

Le résultat apparaitra dans le cadre Results.

Clique sur Exit pour fermer.

Poste le rapport situé dans C:\_OTM\MovedFiles\06092009_130526.log "Exemple"

 

NB: Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.

si c'est le cas accepte par Oui/Yes.

 

 

Passe aussi ma demande concernant Malwaresbytes qui va supprimer le dossier et après tu feras un nouveau téléchargement de celui-ci.

[OumHilal]

Bonjour,

 

désolée j'ai un peu mis de côté la désinfection finale pour prendre des vacances.

Vraiment chapeau à ceux qui passent leur temps à faire du nettoyage et désinfection de PC, surtout à ceux qui font ça gratuitement comme toi ! Parce que c'est quand même prenant, et pourtant moi je me contente de suivre tes instructions.

 

Bon j'ai lancé OTM :

========== REGISTRY ==========

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Compatibility\\OUTPOST deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\ModuleCompatibility\\OUTPOST deleted successfully.

Registry key HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Session Manager\AppPatches\OUTPOST\ deleted successfully.

Registry value HKEY_LOCAL_MACHINE\System\ControlSet001\Enum\Root\LEGACY_VFILT\0000\\DeviceDesc deleted successfully.

Registry key HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Eventlog\Application\Outpost Firewall Pro\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\System\ControlSet003\Control\Session Manager\AppPatches\OUTPOST\ deleted successfully.

Registry value HKEY_LOCAL_MACHINE\System\ControlSet003\Enum\Root\LEGACY_VFILT\0000\\DeviceDesc deleted successfully.

Registry key HKEY_LOCAL_MACHINE\System\ControlSet003\Services\Eventlog\Application\Outpost Firewall Pro\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\AppPatches\OUTPOST\ not found.

Registry value HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_VFILT\0000\\DeviceDesc not found.

Registry key HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application\Outpost Firewall Pro\ not found.

Registry key HKEY_USERS\.DEFAULT\Software\Agnitum\Outpost Firewall Pro\ deleted successfully.

Registry value HKEY_USERS\.DEFAULT\Software\ODBC\ODBC.INI\ODBC Data Sources\\Outpost Database deleted successfully.

Registry key HKEY_USERS\.DEFAULT\Software\ODBC\ODBC.INI\Outpost Database\ deleted successfully.

Registry key HKEY_USERS\S-1-5-21-343818398-583907252-725345543-1004\Software\Agnitum\Outpost Firewall Pro\ deleted successfully.

Registry value HKEY_USERS\S-1-5-21-343818398-583907252-725345543-1004\Software\Microsoft\Search Assistant\ACMru\5603\\000 deleted successfully.

Registry value HKEY_USERS\S-1-5-21-343818398-583907252-725345543-1004\Software\Microsoft\Search Assistant\ACMru\5603\\001 deleted successfully.

Registry value HKEY_USERS\S-1-5-21-343818398-583907252-725345543-1004\Software\ODBC\ODBC.INI\ODBC Data Sources\\Outpost Database deleted successfully.

Registry key HKEY_USERS\S-1-5-21-343818398-583907252-725345543-1004\Software\ODBC\ODBC.INI\Outpost Database\ deleted successfully.

Registry key HKEY_USERS\S-1-5-18\Software\Agnitum\Outpost Firewall Pro\ not found.

Registry value HKEY_USERS\S-1-5-18\Software\ODBC\ODBC.INI\ODBC Data Sources\\Outpost Database not found.

Registry key HKEY_USERS\S-1-5-18\Software\ODBC\ODBC.INI\Outpost Database\ not found.

========== COMMANDS ==========

 

OTM by OldTimer - Version 3.1.19.0 log created on 10272011_134655

 

Merci encore à toi et bonne journée.

Modifié le 27 octobre 2011 par OumHilal

[OumHilal]

Voici la suite pour MBAM:

 

All processes killed

========== FILES ==========

File/Folder C:\Program Files\Malwarebytes' Anti-Malware not found.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Administrateur

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: User

->Temp folder emptied: 504892 bytes

->Temporary Internet Files folder emptied: 3435750 bytes

->Java cache emptied: 35710 bytes

->FireFox cache emptied: 467854602 bytes

->Google Chrome cache emptied: 0 bytes

->Flash cache emptied: 15163 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 5723 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes

RecycleBin emptied: 3049 bytes

 

Total Files Cleaned = 450,00 mb

 

 

OTM by OldTimer - Version 3.1.19.0 log created on 10272011_135145

 

Files moved on Reboot...

 

Registry entries deleted on Reboot...

 

Mais j'ai vérifié, le dossier est tjs présent ds

C:\ProgramFiles\MBAM

j'ai donc supprimé tous les éléments de ce dossier manuellement. Mais il reste un fichier nommé "fichier", je n'arrive pas à lire l'extension de ce fichier (il apparaît comme une icône) et il est impossible de l'ouvrir et de le supprimer.

Modifié le 27 octobre 2011 par OumHilal

[bernard53]

OK pour la pare feu tu dois être tranquille de ce coté.

 

Pour C:\ProgramFiles\MBAM peux être que tu l'as installé dan une autre adresse donc mais juste l'adresse exact du dossier dans OTLM et relance le comme indiqué plus haut.

 

PS: tu as passée de bonne vacances

[OumHilal]

Pour C:\ProgramFiles\MBAM peux être que tu l'as installé dan une autre adresse donc mais juste l'adresse exact du dossier dans OTLM et relance le comme indiqué plus haut.

Effectivement, j'avais renommé le dossier et avais complètement oublié (je lui avais rajouté un 2). Désolée de pas m'en être aperçu plus tôt.

Donc ça y est, j'ai réussi à le supprimer.

Voici le rapport :

All processes killed

========== FILES ==========

C:\Program Files\Malwarebytes' Anti-Malware folder moved successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Administrateur

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: User

->Temp folder emptied: 24153012 bytes

->Temporary Internet Files folder emptied: 31758173 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 46355329 bytes

->Google Chrome cache emptied: 0 bytes

->Flash cache emptied: 4303 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 17048 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 98,00 mb

 

 

OTM by OldTimer - Version 3.1.19.0 log created on 10312011_154452

 

Files moved on Reboot...

 

Registry entries deleted on Reboot...

 

Bon maintenant je vais réinstaller MBAM.

Quels autres outils de prévention et de sécurité me conseilles-tu ?

J'ai antivir, le pare-feu Windows XP et je scannerai régulièrement ma machine avec MBAM.

J'avais Spybot, mais je l'ai supprimé vu qu'il ne m'a pas détecté mes dernières infections et j'avais adware de lavasoft mais il buggait tt le tps dc je l'ai supprimé aussi.

 

Sinon, on m'a dit (c'était Ogu sur ce site Zebulon) qu'il valait mieux supprimer Incredimail. Qu'en dis-tu ?

 

Enfin, comment être sûre d'avoir bien tout désinstallé de IE pour le réinstaller proprement ? Parce qu'il y a des fichiers IE un peu partt que je n'arrive pas à supprimer.

 

Merci encore à toi et désolée pour ttes les questions.

 

Bon week end (ou plutôt bon début de semaine), profite bien si tu es en congé.

 

Ah, au fait, comment noter ce sujet comme résolu ?

Modifié le 31 octobre 2011 par OumHilal