Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Malveillants détectés par MBAM

dsm11

Par dsm11
dans Analyses et éradication malwares

 Partager

Messages recommandés

dsm11 Power Member

dsm11

Posté(e)
Posté(e) (modifié)

Bonjour,

 

Pouvez-vous m'aider SVP ?

J'ai mis en quarantaine puis fait suppression, mais est-ce suffisant ? Voici le rapport de MBAM ouillch il était incomplet, je modifie donc en ajoutant ce qui manquait) :

 

 

 

Malwarebytes Anti-Malware
www.malwarebytes.org

Date de l'examen: 28/05/2014
Heure de l'examen: 09:13:17
Fichier journal: MBAM-log-2014-05-28 (09-13-17).txt
Administrateur: Oui

Version: 2.00.1.1004
Base de données Malveillants: v2014.05.27.05
Base de données Rootkits: v2014.05.21.01
Licence: Gratuite
Protection contre les malveillants: Désactivé(e)
Protection contre les sites Web malveillants: Désactivé(e)
Chameleon: Désactivé(e)

Système d'exploitation: Windows XP Service Pack 3
Processeur: x86
Système de fichiers: NTFS
Utilisateur: Dominique

Type d'examen: Examen "Menaces"
Résultat: Terminé
Objets analysés: 272580
Temps écoulé: 18 h, 25 min, 7 sec

Mémoire: Activé(e)
Démarrage: Activé(e)
Système de fichiers: Activé(e)
Archives: Activé(e)
Rootkits: Désactivé(e)
Shuriken: Activé(e)
PUP: Activé(e)
PUM: Activé(e)

 

Processus: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Clés du Registre: 0
(No malicious items detected)

Valeurs du Registre: 0
(No malicious items detected)

Données du Registre: 0
(No malicious items detected)

Dossiers: 0
(No malicious items detected)

Fichiers: 3
PUP.Optional.Conduit.A, C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Storage\http_search.conduit.com_0.localstorage, Mis en quarantaine, [6df46beb97e43bfbfc773857b151916f],
PUP.Optional.Conduit.A, C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Storage\http_search.conduit.com_0.localstorage-journal, Mis en quarantaine, [a6bbeb6bcdae41f586ed3b5400029769],
PUP.Optional.PCPerformer.A, C:\WINDOWS\system32\roboot.exe, Mis en quarantaine, [a1c0bd99c7b483b38ae5269893700ff1],

Secteurs physiques: 0
(No malicious items detected)


(end)

 

 

 

@+

Modifié par dsm11

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonjour

Lancez cet outil de diagnostic:

Téchargement de Zhpdiag
Autre lien en cas de défaiillance du précédent

Double-cliquer sur ZHPDiag.exe pour installer l'outil
Il devrait y avoir 2 icônes sur le bureau ou dans le fichier d'installation de Zhpdiag.
34038020130908194213.jpg

633672AshampooSnap2014032608h35m23s001.p
Sous XP, double clic sur l'icône ZhpDiag
Sous Vista et +, faire un clic droit et Exécuter en tant qu'administrateur

Cliquez sur le bouton Complet

Patientez quelques instants
Le rapport ZhpDiag.txt apparaitra sur le bureau


Comment poster les rapports
Aller sur le site :Ci-Jointicne2cjoint.png
Appuyez sur Parcourir et chercher les rapports sur le bureau
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

pear Devil Member !

pear

Posté(e)
Posté(e)

C'est presque propre.

Seulement quelques lignes superflues.

 


Vous devez trouver les 2 icônes Zhpdiag, Zhpfix. sur le bureau
ou sinon dans le dossier où vous avez installé Zhpdiag (Program files ->Zhpdiag ->Zhpfix)
Cliquer sur l'icône Zhpfix
Sous Vistaet + clic-droit, "Exécuter En tant qu'Administrateur
Copiez/Collez les lignes vertes dans le cadre ci dessous:
pour cela;
Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas
Ctrl+c mettre le tout en mémoire
Cliquer Importer
pour inscrire le texte dans la fenêtre vide qui s'ouvre

Script Zhpfix
[MD5.2A3FB4C98F139038E23330D2439DB8A4] [APT] [FacebookUpdateTaskUserS-1-5-21-3179445871-3081290530-2578148428-1006Core] (.Facebook Inc..) -- C:\Documents and Settings\Dominique\Local Settings\Application Data\Facebook\Update\FacebookUpdate.exe [138096]
[MD5.2A3FB4C98F139038E23330D2439DB8A4] [APT] [FacebookUpdateTaskUserS-1-5-21-3179445871-3081290530-2578148428-1006UA] (.Facebook Inc..) -- C:\Documents and Settings\Dominique\Local Settings\Application Data\Facebook\Update\FacebookUpdate.exe [138096]
O39 - APT: FacebookUpdateTaskUserS-1-5-21-3179445871-3081290530-2578148428-1006Core - (.Facebook Inc..) -- C:\WINDOWS\Tasks\FacebookUpdateTaskUserS-1-5-21-3179445871-3081290530-2578148428-1006Core.job [992]
O39 - APT: FacebookUpdateTaskUserS-1-5-21-3179445871-3081290530-2578148428-1006UA - (.Facebook Inc..) -- C:\WINDOWS\Tasks\FacebookUpdateTaskUserS-1-5-21-3179445871-3081290530-2578148428-1006UA.job [1014]
[HKLM\Software\Systweak]
O43 - CFD: 26/04/2014 - 19:18:43 - [0] ----D C:\Documents and Settings\Dominique\Application Data\Systweak


EmptyClsid
Emptyflash
EmptyPrefetch
Emptytemp
FirewallRaz
HostFix
Ifeofix
Proxyfix
ShortcutFix
Sysrestore


Cliquer sur "Go" en bas, à gauche

Redémarrer pour achever le nettoyage.

Copier-coller,dans la réponse, le contenu du rapport ZHPFixReport.txt qui s'affiche .
Si besoin; il est enregistré sous C:\ZHP\ZHPFixReport.txt



Télécharger SFTGC.exe
sur le Bureau, impérativement sous peine de risquer un plantage

Il peut être nécessaire de fermer ou désactiver tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil
Certains outils sont parfois detectés par votre Anti-virus ou votre Anti-Malware comme étant un "RiskTool", un virus ou un "Trojan", or ce n'est pas le cas.
Comment désactiver les protections résidentes
Bien évidemment, vous les rétablirez ensuite.

Sous XP, double cliquer sur le fichier.
Sous Vista/7/8, clic droit sur le fichier pour Exécuter en tant qu'administrateur.

Après l'initialisation, cliquer sur Gopour lancer le nettoyage.

Un rapport va s'ouvrir à la fin.
Ce rapport est sur le bureau (SFT.txt)


  • Upvote 1
dsm11 Power Member

dsm11

Posté(e)
  • Auteur
Posté(e)

Bonjour

 

Voici les rapports

 

- rapport Zhpfix

 

celui d'hier soir, disait "Le fichier Hosts n'est pas réparé, veuillez désactiver votre antivirus"

 

http://cjoint.com/14mi/DEDtyXNSWcw.htm

 

ensuite j'ai eu d'autres soucis ailleurs, je viens seulement de repasser Zhpfix en ayant désactivé mon anti-virus

 

http://cjoint.com/14mi/DEDtHCfzbzF.htm

 

 

- et le rapport SFTGC

 

http://cjoint.com/14mi/DEDtTl0mX82.htm

 

 

Au redémarrage après le passage de Zhpfix

- j'ai eu un message de HOSTS Anti-Adware "fichier host manquant", avec plusieurs choix : j'ai choisi "installer le fichier host personnalisé de HOSTSAnti-Adware" : ai-je bien fait ?

- et le dossier prefetch dans la corbeille (ensuite vidée par SFTGC)

 

 

Est-ce que tout est bon à présent ?

pear Devil Member !

pear

Posté(e)
Posté(e)

Ca me semble propre.

 

Ce n'est pas moi qui vous ai prescrit Hosts Anti-adware.

Le lien n'en est plus accessible.

Si ce n'est déjà fait:
Il faut Réinitialiser votre Navigateur
en cliquant ici

Cela désinstallera plugins et extensions que vous pourrez réinstaller avec la prudence nécessaire


A)Pubs intempestives ?
Un PUP (Potentially Unwanted Programs) est un programme indésirable.
par exemple: 01NetToolbar ,Conduit, Babylone,Delta Search , Wajam Kiwee etc..
C'est ainsi que 01net depuis quelques temps repack des logiciels pour y ajouter des programmes parasites qui sont d'ailleurs précochés.
Alors .ATTENTION
Le but est de gagner de l'argent à chaque installation réussie.


Pour vous éviter cela ou, au moins ,limiter ce genre de problèmes:

Cliquez sur le lien suivant
Comment se protéger des Pups Indésirables

Et ,si ce n'est déjà fait,installez ces 2 extensions pour Firefox:

Adblock+ 2.2.1
Ghostery 2.8.4


B)Ce logiciel va désinstaller les outils utilisés pour la désinfection:

Télécharger DelFix de Xplode

Lancez-le.

Cochez [suppression des outils]
et Cliquez [Exécuter]


C)Si vous pensez que votre problème a trouvé une solution, et afin que ceux qui la cherchent en profitent,
éditez votre premier message (Edition complète)et, dans le titre, inscrivez Résolu.
resolu.jpg
[1] En bas de votre premier message, cliquer sur Modifier
[2] En bas de l'éditeur qui s'ouvre, cliquer sur Utiliser l'éditeur complet
[3] En haut de l'éditeur complet, ajouter Résolu au début du titre de votre sujet.
[4] Enregistrer les modifications

  • Upvote 1
dsm11 Power Member

dsm11

Posté(e)
  • Auteur
Posté(e)

Bonsoir,

 

 

 

Ce n'est pas moi qui vous ai prescrit Hosts Anti-adware.

 

Non, ce n'est pas vous, mais un autre "devil member" qui m'a secourue, en novembre dernier.

 

 

Le lien n'en est plus accessible.

 

- est-il devenu obsolète ou est-ce déconseillé de l'installer à présent ?

- ai-je intérêt à débarasser mon pc d'Hosts Anti-adware ?

 

@+

dsm11 Power Member

dsm11

Posté(e)
  • Auteur
Posté(e)

Bonjour,

 

un grand Merci d’abord pour ce que vous avez déjà fait pour moi.... hélas, il faut que je vous appelle encore au secours pour la suite, s’il vous plaît

 

 

Si ce n'est déjà fait:
Il faut Réinitialiser votre Navigateur
en cliquant ici

Cela désinstallera plugins et extensions que vous pourrez réinstaller avec la prudence nécessaire

 

 

Après avoir bien lu tout ce que j’ai pu, ça reste obscur et problématique pour moi, cette affaire de réinitialisation

 

S’il faut que je m’y risque, allez-vous pouvoir m’aider, svp?

Sinon, vaut-il mieux que j’ évite de le faire ?

 

Voilà où j’en suis et les points qui m'arrêtent :

  • j’ai créé un fichier de sauvegarde des marque-pages pour pouvoir les récupérer, mais ce fichier « .json » mon pc ne peut pas le lire…. Est-ce que ça va marcher quand même pour la récupération ? sinon j’ai fait aussi un fichier de sauvegarde html.... mais ça ne me rassure pas vraiment…un fichier qui ouvre une page de firefox, que je ne peux pas avoir concrètement sur mon pc. Est-ce que je vais les récupérer dans l'ordre où je les avais classés ?

 

  • ensuite les plugins : il y en a actuellement 13

j’avoue, même après mes lectures, je reste incapable de faire le tri…

 

comme il y en a un qui est signalé vulnérable, - Java Deployment Toolkit 7.0.550.14 (NO_UPDATE) celui-là, je l’ai désactivé pour voir ce qui se passerait et pour l’instant, ça ne pose pas de problème : est-ce qu’il faut le supprimer ? pour le supprimer il semble qu’il faille aller toucher à un fichier « .dll »…je n’ai jamais fait ça…

 

en ai-je d’autres sur les 13 qui pourraient ne servir à rien, et dont il faudrait débarrasser mon navigateur Firefox ?

 

Voilà la liste sous ces deux liens

le 1er en txt

http://cjoint.com/14mi/DEFnjEzeuW8.htm

 

le 2eme, sous word, parce que ça me paraît plus lisible (mais j’ai l’impression que j’ai fait cela inutilement, car il vous faudrait telecharcher comme pièce jointe mon fichier word, pour le lire)

http://cjoint.com/14mi/DEFnpy4Yhsh.htm

 

 

  • pour les extensions, je n’ai que

Adblock+ 2.6

Ghostery 5.2.1

 

Vérification faite, c’est à ces deux versions que renvoient les liens de votre message, donc mes deux extensions sont à jour.

 

 

 

 

Pour vous éviter cela ou, au moins ,limiter ce genre de problèmes:

Cliquez sur le lien suivant
Comment se protéger des Pups Indésirables

 

 

J’ai lu cela plusieurs fois, je fais très attention : malgré tout, voilà deux fois, à seulement un mois d’intervalle que MBAM trouve des malveillants sur mon pc

 

Alors, je voudrais vous faire part de quelque chose

  • Ces fichiers malveillants Pour le 1er et le 2ème, d’après leur chemin , ne serait-ce pas sous Google chrome, et non sous Firefox, qu’ils sont arrivés sur ce pc ?

si c'était le cas, est-ce qu’il ne faudrait pas réinitialiser Google chrome ?

En plus de ou au lieu de réinitialiser Firefox ?

  • Pour le 3ème, le chemin ne paraît lié à aucun navigateur… comment est-il arrivé celui-là ? ça m’inquiète presque plus, ce chemin direct sur system32 de windows...

Voilà l’extrait du rapport MBAM (que je vous ai envoyé il y a 2 jours) avec ces chemins

 

Fichiers: 3

PUP.Optional.Conduit.A, C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Storage\http_search.conduit.com_0.localstorage, Mis en quarantaine, [6df46beb97e43bfbfc773857b151916f],

PUP.Optional.Conduit.A, C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Storage\http_search.conduit.com_0.localstorage-journal, Mis en quarantaine, [a6bbeb6bcdae41f586ed3b5400029769],

PUP.Optional.PCPerformer.A, C:\WINDOWS\system32\roboot.exe, Mis en quarantaine, [a1c0bd99c7b483b38ae5269893700ff1]

 

 

@+

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...