[Résolu] Éléments nuisibles trouvés par MBAM

[modetoel1]

Bonsoir à tous,

 

Mon pc étant devenu lent à démarrer, j'ai lancé une examen complet avec Malware et il m'a trouvé 4 éléments nuisibles, dont 3 trojan fake et un autre élément qui n'était pas coché.

 

J'ai donc supprimé les 3 trojan.

 

Comment être sûre que les trojan ont été supprimé, et comment savoir si le 4ème élément est une menace ?

 

Merci pour votre aide,

 

Voici le rapport:

 

Malwarebytes Anti-Malware 1.61.0.1400

www.malwarebytes.org

 

Version de la base de données: v2012.04.11.02

 

Windows Vista Service Pack 2 x86 NTFS

Internet Explorer 9.0.8112.16421

Les Tritons :: PC-DE-LESTRITON [administrateur]

 

11/04/2012 16:31:09

mbam-log-2012-04-11 (16-31-09).txt

 

Type d'examen: Examen complet

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 433213

Temps écoulé: 4 heure(s), 3 minute(s), 5 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 4

C:\Users\Les Tritons\Documents\SoftonicDownloader_pour_mixvibes-cross-dj.exe (PUP.BundleOffer.Downloader.S) -> Aucune action effectuée.

C:\Qoobox\Quarantine\C\ProgramData\BHMmHjYKMAcfJ.exe.vir (Trojan.FakeAlert) -> Mis en quarantaine et supprimé avec succès.

C:\Qoobox\Quarantine\C\ProgramData\glpji3UTjFM7PA.exe.vir (Trojan.FakeAlert) -> Mis en quarantaine et supprimé avec succès.

C:\Qoobox\Quarantine\C\Users\Les Tritons\Documents\Desktop\Setup.exe.vir (Trojan.FakeVLC) -> Mis en quarantaine et supprimé avec succès.

 

(fin)

 

 

Merci d'avance

[tomtom95]

Bonsoir modetoel1

 

• 
  Quelques conseils avant de commencer
  Pendant la désinfection: n'utilise pas d'autre outils ou ne désinstalle pas des programmes
  seulement ceux qui te sont notifier pour éviter tout problème .
  Enregistre :toujours les outils sur ton bureau
  Bien lire les indications: et si tu rencontre des problèmes n'hésiter pas à me le signaler avant d'effectuer une manip.
  
• Ne laisse pas ton sujet, Va jusqu'au bout avant d'être informé(e) que tout est OK.
  
• Sans réponse dans les 7 jours, le sujet sera supprimé de mes suivis.
   
  IMPORTANT héberger les fichiers contenant les rapports sur http://cjoint.com/
  
• Sur la page du site Clique sur parcourir va jusqu'au rapport
  
• Puis Clique sur ouvrir ce qui va te ramène sur le site cjoint
  
• Ensuite en bas Clique sur Créer le lien Cjoint
  
• Une nouvelle fenêtre apparait avec un lien en bleu
  
• Surligne le lien pour le Copier et colle le lien sur le Forum pour que je puisse le télécharger et analyser.

 

• Télécharge Sur cette page AdwCleaner de Xplode
  clique sur Télécharger et enregistre le fichier sur ton Bureau
   
  
• Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation
  Sous Vista et Windows 7 lancer le fichier par clique-droit -> Exécuter en tant qu'administrateur
  
• Sur le menu principal
  
• clique sur SUPPRESSION et patiente le temps de l'analyse
   
  
  
• A la fin du scan
  un rapport AdwCleaner.txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\AdwCleaner.txt

 

 

• 
  Télécharge

ZHPDiag de Nicolas Coolman sur ton Bureau
Sur la page du site
en bas du message d'avertissement
Clique sur continuer pour télécharger l'outil.
 
Double-cliquer sur ZHPDiag.exe pour installer l'outil
Aprés sur ton bureau tu auras 3 icônes

Lance l'outil : double-clique sur ZHPDiag pour XP
Pour Vista et seven fais un clique droit sur l'icône et exécute en tant qu'administrateur.
A Droite en haut
clique sur le bouton option
 
Puis a gauche le bouton TOUS
 
Clique sur la Loupe En haut
à gauche pour débuter l'analyse
Le rapport généré par l'outil se nomme ZHPDiag.txt
Poste le rapport ZhpDiag.txt qui apparait sur le bureau.

 

A+

[modetoel1]

par ailleurs, je constate que le centre de sécurité windows m'indique que la protection contre les programmes malveillants est inactive et il indique qu'AVG est inactif, alors que quand je vais vérifier tout en bien coché pour AVG...

 

Cela a t-il un lien ???

 

Merci

[tomtom95]

RE

 

Tu as utiliser l'outil Combofix seul ,dans ce cas tu fait prendre des risques a ton ordinateur.

Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

 

Suppression de combofix

Clique sur démarrer >> Exécuter ou tape sur les touches (windows+R)

Puis dans la fenêtre tape Combofix /uninstall valide avec OK

Cela va désinstaller proprement Combofix

 

Post les deux rapports stp

[modetoel1]

Bonsoir Tomtom 95,

 

Tout d'abord merci pour ton aide,

 

Voici le 1er rapport :

 

Lien CJoint.com 0Dlv1KKvfdf

 

et le 2ème :

 

Lien CJoint.com 0Dlv3Xc3kD1

 

Pour combofix, quelqu'un m'avait aidé avec, et je l'avais gardé, mais par la suite, on m'avait déconseillé de l'utiliser seule, et il me semblait bien l'avoir supprimé depuis un petit moment, mais je vais suivre tes instructions.

[modetoel1]

oui, effectivement, j'ai un message qui me dit que windows ne trouve pas combofix

 

le problème d'anti virus vient de là ?

Modifié le 11 avril 2012 par modetoel1

[tomtom95]

Le problème viens sur tout des logiciels, que tu as télécharger (Atomix Virtual DJ Pro 7.0+ Crack )

 

Oui j'ai vu le sujet où tu as passé seule combofix.

nardino te l'avais déjà déconseiller a l'époque.

 

Ta version AVG8,n'est pas recente tu as une licence ou la version gratuite ?

Actuellement on est à la version AVG 2012

http://free.avg.com/fr-fr/free-downloads

 

D'abord avant fait cette procédure prend le temps de bien lire les indications stp

 

• Télécharger

TDSSkiller de Kaspersky sur le Bureau
 
Ferme toutes les applications ouvertes
Désactive tes défenses (anti-virus et anti-spyware)
 
Faire un double clique sur TDSSkiller pour le lancer.(clique droit -> lancer en tant qu'adminstrateur sous Vista et seven )
Pour les options >> l'onglet "change parameter"
ou "report"
Coche les 2 options supplémentaires:
Vérifiy driver digital signatures
Detect TDLFS file system
Cliquer sur Start scan pour lancer l'analyse
 
 

 
Lorsque l'outil a terminé son travail d'inspection
si des nuisibles ("Malicious objects") ont été trouvés
vérifier que l'option (Cure) est sélectionnée
 

 
Si des objects suspects ("Suspicious objects") ont été détectés
sur l'écran de demande de confirmation
modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip)
 
Puis cliquer sur le bouton (Continue) puis sur [Reboot Now]
 
 
Attendre l'affichage du fichier rapport.
 
Si l'outil a besoin d'un redémarrage pour finaliser le nettoyage
cliquer sur le bouton (Reboot computer).
 
Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
Si Rootkit Win32.ZAccess est détecté assure toi que Cure est bien cochée.
 
Si Suspicious file est indiqué laisse l'option cochée sur Skip
 
Clique sur Continue puis sur Reboot now pour redémarrer le PC.
 
Copie-colle le rapport généré dans ta prochaine réponse (Il est aussi sauvegardé à la racine de ta partition système sous le nom C:\TDSSKiller_Quarantine\JJ.MM.AA_HH.MM.SS. (JJ.MM.AA date du passage de l'outil HH.MM.SS heure de passage).

 

 

Ensuite

 

• Ferme toutes les applications ouvertes
  
• Désactive tes défenses (anti-virus -anti-spyware)
  
• Double-clique sur ZHPFix
  
  Un raccourci installé par ZHPDiag sur le Bureau
   
  Sélectionne et surligne correctement avec la souris et "Clique droit > "Copier" ou "Ctrl+C"
  ces lignes ci dessous :

  G2 - GCE: Preference [user Data\Default] [kkejacdnegffabffbjebeloagdhmjoln] AT_Tibi v.2 (Activé)
  O4 - Global Startup: C:\Users\Les Tritons\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\System Check.lnk . (...) -- C:\ProgramData\glpji3UTjFM7PA.exe (.not file.)
  O4 - Global Startup: C:\Users\Les Tritons\Desktop\Cross DJ Demo 1.2.9.lnk . (...) -- C:\Program Files\MixVibes\Cross DJ Demo 1.2.9\Cross-DJ-demo.exe
  [MD5.00000000000000000000000000000000] [APT] [Ad-Aware Update (Weekly)] (...) -- C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe (.not file.)
  [MD5.9371ED7178FF216C2E88E0D3DE109A8A] [APT] [{219CD9B1-3D3A-423F-9334-DCBDBF6F5B4B}] (...) -- C:\Users\Les Tritons\Documents\Desktop\Atomix Virtual DJ Pro 7.0+ Crack [FR]\install_virtualdj_pro_v7.0.exe
  [MD5.00000000000000000000000000000000] [APT] [{70A50AA9-79F2-48A3-B53A-39D8D88D843A}] (...) -- C:\Users\Les Tritons\Desktop\IE7Setup.exe (.not file.)
  [MD5.00000000000000000000000000000000] [APT] [{B56DBB8B-E740-4D50-A4A2-3351C520D3A7}] (...) -- C:\Users\Les Tritons\Desktop\Installation viCompte.exe (.not file.)
  [MD5.00000000000000000000000000000000] [APT] [{BE6647C1-BCB0-4742-A7BC-CB7B58B3CBB0}] (...) -- C:\Users\Les Tritons\Desktop\Downloads\G300_installation_vista(2).exe (.not file.)
  [MD5.00000000000000000000000000000000] [APT] [{C3E622A6-C263-4301-B1E2-5AB525B623CB}] (...) -- C:\Users\Les Tritons\Documents\test\2ksetup.exe (.not file.)
  [MD5.00000000000000000000000000000000] [APT] [{D1EDCA36-473D-4413-A94C-0C5B2066084C}] (...) -- C:\Users\Les Tritons\Desktop\WII\7-zip_7-zip_4.65_francais_11161.exe (.not file.)
  O42 - Logiciel: Cross DJ Demo 1.2.9 - (.MixVibes.) [HKLM] -- MixVibes Cross DJ Demo 1.2.9
  O42 - Logiciel: Cross DJ LE 1.5.1 - (.MixVibes.) [HKLM] -- MixVibes Cross DJ LE 1.5.1
  O42 - Logiciel: Cross DJ LE 1.7.1 - (.MixVibes.) [HKLM] -- MixVibes Cross DJ LE 1.7.1
  O42 - Logiciel: Norton Internet Security - (.Symantec Corporation.) [HKLM] -- {7B15D70E-9449-4CFB-B9BC-798465B2BD5C}
  [HKCU\Software\BitTorrent]
  [HKCU\Software\Norton]
  [HKLM\Software\KasperskyLab]
  [HKLM\Software\Lavasoft]
  [HKLM\Software\Norton]
  [HKLM\Software\Symantec]
  [HKLM\Software\mcafeeupdater]
  O43 - CFD: 14/10/2010 - 17:39:19 - [0,795] ----D C:\Program Files\BitTorrent
  O43 - CFD: 19/10/2011 - 16:56:27 - [1,106] ----D C:\Program Files\Lavasoft
  O43 - CFD: 24/01/2012 - 17:02:50 - [69,875] ----D C:\Program Files\MixVibes
  O43 - CFD: 23/01/2012 - 10:52:49 - [4,597] ----D C:\Users\Les Tritons\AppData\Roaming\MixVibes
  O43 - CFD: 24/01/2012 - 17:02:53 - [0,008] ----D C:\Users\Les Tritons\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MixVibes
  O43 - CFD: 09/02/2010 - 12:56:31 - [0] ----D C:\ProgramData\Kaspersky Lab
  O43 - CFD: 09/01/2010 - 21:12:36 - [65,097] ----D C:\ProgramData\Kaspersky Lab Setup Files
  O43 - CFD: 21/10/2011 - 20:31:08 - [0,000] ----D C:\ProgramData\Lavasoft
  O43 - CFD: 24/01/2010 - 20:43:18 - [0,020] ----D C:\ProgramData\McAfee
  O43 - CFD: 10/12/2009 - 10:18:05 - [0,015] ----D C:\ProgramData\Norton => Symantec Norton
  O43 - CFD: 22/07/2009 - 07:58:25 - [5,731] ----D C:\ProgramData\NortonInstaller
  O43 - CFD: 09/09/2009 - 14:31:56 - [0,000] ----D C:\ProgramData\Symantec
  O43 - CFD: 05/12/2010 - 11:02:44 - [0,032] ----D C:\Users\Les Tritons\AppData\Roaming\BitTorrent
  O67 - Shell Spawning: <.bat> <batfile>[HKCU\..\open\Command] (.Not Key.)
  O67 - Shell Spawning: <.com> <ComFile>[HKCU\..\open\Command] (.Not Key.)
  O67 - Shell Spawning: <.com> <>[HKU\..\open\Command] (.Not Key.)
  O67 - Shell Spawning: <.exe> <>[HKU\..\open\Command] (.Not Key.)
   
   
  FirewallRAZ
  EmptyTemp
  EmptyFlash

• Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la "malette cachée par la feuille" .
   
  
• Vérifie que toutes les lignes que je t'ai demandé de copier sont dans la fenêtre.
  
• Et seulement ces lignes
  
• Puis clique sur le bouton [OK]
  
• A ce moment apparaîtra au début de chaque ligne
  une petite case vide. [ ]
  
• Ensuite clique sur Tous puis sur Nettoyer
  
• Valide par Oui la désinstallation des programmes si demandé
  
• Laisse l'outil travailler. Si un redémarrage est demandé accepte et redémarre le PC
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
   
  Le rapport ZHPFixReport.txt est enregistré sur le bureau[/b]

 

A+

Modifié le 11 avril 2012 par tomtom95

[modetoel1]

Bonjour,

 

Oui, pour combofix, je l'avais supprimé sur les conseils de Nardino.

 

Sinon, pour TDSKILLER, après avoir selectionné "quarantine", et fait continue, je n'ai pas "reboot now", dois-je refaire un scan ???

 

Merci, je te met un copie de la page :

 

Lien CJoint.com 0DmsfTtCEaV

[modetoel1]

Bonjour,

 

Oui, pour combofix, je l'avais supprimé sur les conseils de Nardino.

 

Sinon, pour TDSKILLER, après avoir selectionné "quarantine", et fait continue, je n'ai pas "reboot now", dois-je refaire un scan ???

 

Merci, je te met un copie de la page :

 

Lien CJoint.com 0DmsfTtCEaV

[tomtom95]

Bonsoir modetoel1

 

Ce n'est pas le rapport TDSSkiller.mais une capture que tu as poster

 

Le rapport est sauvegardé à la racine de ta partition système

sous le nom C:\TDSSKiller_Quarantine\JJ.MM.AA_HH.MM.SS.

 

Clique sur démarrer >> ordinateur >> lecteur C:\ tu va trouver le rapport TDSSkiller.

 

Post aussi Le rapport ZHPFixReport.txt ,la suppression fait avec ZHPFix.

 

A+