[Résolu] Détection de malveillants par MBAM

[ziec]

Bonjour,

 

J'ai ouvert un sujet dans Software concernant un problème de non-détection de mon imprimante par Windows 10 alors même qu'elle était reconnue précédemment :

 

http://forum.zebulon.fr/imprimante-plus-reconnue-du-pc-t214485.html

 

Du coup, j'ai fait une analyse via MBAM et j'ai eu cette détection de malveillants même si je ne sais pas si elle a un rapport avec mon problème d'imprimante:

 

Système d'exploitation: Windows 10 Processeur: x64 Système de fichiers: NTFS Rootkits: Désactivé

Clés du Registre: 2
RiskWare.CompromisedCert, HKLM\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\ROOT\CERTIFICATES\98A04E4163357790C4A79E6D713FF0AF51FE6927, , [c77649597318f541abc40eec0ef5ab55],
RiskWare.CompromisedCert, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\SYSTEMCERTIFICATES\ROOT\CERTIFICATES\98A04E4163357790C4A79E6D713FF0AF51FE6927, , [f6474a58b2d948ee620dcf2bf70cbe42],

Valeurs du Registre: 0
(Aucun élément malveillant détecté) Données du Registre: 0 (Aucun élément malveillant détecté) Dossiers: 0 (Aucun élément malveillant détecté)

Fichiers: 3
RiskWare.CompromisedCert, C:\Windows\Installer\5e85a.msi, , [92ab970bbdce03337366a40f748d6b95],
RiskWare.CompromisedCert, C:\Program Files\Dell\Dell Foundation Services\Dell.Foundation.Agent.Plugins.eDell.dll, , [ff3e247e0a81c274a534e3d0da277a86],
RiskWare.CompromisedCert, C:\Program Files\Dell\Dell Foundation Services\Dell.Foundation.eDell.Common.dll, , [89b4b1f1e5a68fa77466437057aae21e],

Secteurs physiques: 0
(Aucun élément malveillant détecté)

Il me semble que mon Antivirus Avira n'a pas autorisé la suppression des clés de registre.

 

Merci d'avance pour votre aide.

 

 

Modifié le 17 décembre 2015 par ziec

[pear]

Bonsoir,

 

Postez le rapport de Mbam complet, svp.

 

Téléchargez Malwarebytes Anti-Malware
Sur ce lien

ou celui là
et enregistrez-le sur le Bureau.
Cliquer Setting pour le mettre en Français
vérifiez que cette cases Lancer Malwarebytes Anti-Malware est bien cochée.
Un essai gratuit de 14 jours des fonctions de la version Premium(payante) est pré-sélectionné, décochez le.
Cela ne diminuera pas les capacités d'analyse et de suppression du programme.
Cliquez sur Terminer.


Sur le Tableau de bord, cliquez sur le lien Mettre à jour .
Si , par la suite, vos bases de données sont obsolètes vous en serez averti et invtié à Corriger maintenant.
Dans l'onglet Paramètres > Sous-onglet Détection et Protection, Options de détection, cochez la case située devant Recherche de Rootkits

Après la mise à jour,Connecter les supports amovibles (USB) et cliquer sur Examen-> Examen personnalisé
Cochez tout
cliquez sur le bouton Examiner maintenant .

Si Malewarebytes ne se lançait pas utilisez Chameleon
et
Si Mbam renacle ou plante, lancez Lancer Mbam-clean.exe
et réinstallez le

Si des éléments sont détectés, cliquez sur Appliquer les actions pour que MBAM nettoye ce qu'il a détecté.
Dans la plupart des cas, un redémarrage sera nécessaire.
Attendez l'affichage du message vous invitant à faire redémarrer le PC, puis cliquez sur Oui

(Copier dans le Presse-papiers pour coller dans une réponse sur le forum)
Après le redémarrage, quand vous êtes de retour sur le Bureau, ouvrez de nouveau MBAM.
Cliquez sur l'onglet Historique > Journaux de l'application.
Faites un double clic sur le Journal d'examen dont les date et heure correspondent à l'analyse qui vient d'être effectuée.
Cliquez sur Afficher puis Copier dans le Presse-papiers
les rapports sont également stockés dans l'emplacement suivant par défaut:
pour Vista/Win7/8 : C:\ProgramData\Malwarebytes\Malwarebytes Anti-Malware\Logs
pour Windows XP : C:\Documents et Settings\All Users\Application Malwarebytes Malwarebytes Anti-Malware\Logs
Collez le contenu du Presse-papiers dans votre prochaine réponse.

[ziec]

Bonjour Pear,

 

J'ai suivi tes recommandations pour le lancement de MBAM.

Pendant le Scan, j'ai eu une détection de virus par Avira que j'ai mis en quarantaine Adware.bryte.Bxor dans F:/System Volum Information

 

Je te communique le résultat de MBAM :

Type d'analyse: Analyse personnalisée
Résultat: Terminé
Objets analysés: 640347
Temps écoulé: 1 h, 49 min, 18 s

Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Activé
Heuristique: Activé
PUP: Activé
PUM: Activé

Processus: 0
(Aucun élément malveillant détecté)
Modules: 0
(Aucun élément malveillant détecté)
Clés du Registre: 0
(Aucun élément malveillant détecté)
Valeurs du Registre: 0
(Aucun élément malveillant détecté)
Données du Registre: 0
(Aucun élément malveillant détecté)
Dossiers: 0
(Aucun élément malveillant détecté)

Fichiers: 2
PUP.Optional.APNToolBar, F:\Program Files\Avira\AntiVir Desktop\offercast_avirav7_.exe, En quarantaine, [6964b3f0dfac3df9311a7eadea178878],
PUP.Optional.OptimumInstaller, F:\System Volume Information\_restore{BACC32C6-C160-4EFA-ACBB-96E6458DC9E8}\RP206\A0120785.exe, En quarantaine, [03ca772cfe8d3ef8e01ee94655acb050],

Secteurs physiques: 0
(Aucun élément malveillant détecté)

A noter que quand j'ai redémarré le PC, le parapluie d'Avira ne s'est pas lancé et mon PC ramait tellement que je n'avais plus la main...

Après redémarrage du PC, le PC semble pour l'instant refonctionner normalement!!!

 

Merci pour ton aide,

Ziec

Modifié le 11 décembre 2015 par ziec

[pear]

Certains outils sont parfois détectés par votre Anti-virus ou votre Anti-Malware comme étant un "RiskTool", un virus ou un "Trojan"
Dans ce cas:
Autorisez l'outil dans les exceptions de votre antivirus ou antimalware.
ou
Comment désactiver les protections résidentes
Bien évidemment, vous les rétablirez ensuite.

De même,votre navigateur peut bloquer un programme parce qu'il le croit dangereux.
Il faut donc décocher le blocage provisoirement
Sous Firefox ,
Options->Sécurité
Décocher : "Bloquer les sites signalés comme site d'attaque" .

Sous Chrome
Appuyer sur Ctrl+J (Downloads) -> "Récupérer le fichier malveillant" -> "Récupérer malgré tout"

Sous IED
Désactiver le filtre Smart Screen

Fermez toutes les applications en cours (notamment votre navigateur)
Téléchargez sur le bureau ZhpCleaner

Double cliquer sur Scanner pour lancer l'application
clic droit > Exécuter en tant qu'administrateur
Accepter "les conditions d'utilisation"

Cliquer sur Nettoyer
En cas de présence d'un proxy, un message apparaît avec cette question suivie de l'adresse IP du proxy.:
Avez-vous installé ce proxy ?
Si vous n'avez pas installé de Proxy, cliquer sur Non pour en accepter la réparation.


Télécharger Junkware Removal Tool de thisisu
Utilisable sur systèmes 32-bits et 64-bits

Clilquez sur Jrt.exe avec droits administrateur.
Si votre antvirus râle,Vous le signalez comme acceptable dans les exceptions de votre antivirus
Une fenêtre noire s'ouvre qui vous dit de cliquer une touche pour lancer le scan.

L'outil va prendre quelques minutes pour fouiller votre machine.
Patientez jusqu'à l'apparition de Jrt.txt dont vous posterez le contenu.

ResetBrowser a pour objectif de réinitialiser les navigateurs internet Chrome, Firefox ou Internet Explorer.
Toutes vos données sont conservées comme vos mots de passes et vos favoris.
Dans certains cas, resetBrowser peut supprimer les navigateurs de votre ordinateur et les réinstaller avec leur paramètres initiaux
Télécharger ResetBrowser
Ici
ou là



Comment poster les rapports
Aller sur le site Cijoint
Appuyer sur Parcourir et chercher les rapports sur le disque,
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

Noter que le copier/coller de l'adresse ne fonctionne pas sous Firefox.
Dans ce cas, clic droit sur l'URL et, dans le menu contextuel qui s'ouvre, choisir « Copier l'adresse du lien »

[ziec]

Bonsoir Pear,

 

Merci pour tes indications concernant la façon de désactiver les divers blocages ou protections pour l'antivirus ou le navigateur. A priori, je n'en ai plus besoin vu que je pense que le suppression ont bien été faites.

 

1)ZHPCleaner:

 

A priori pas de souci particulier j'ai nettoyé le dossier qui comportait 348 fichiers. Je te communique le rapport.

http://www.cjoint.com/c/ELlruY4wD78

 

2)JRT.exe:

 

Idem pas de souci particulier. Je te communique le rapport en direct vu qu'il est assez petit.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Malwarebytes
Version: 8.0.1 (11.24.2015)
Operating System: Windows 10 Home x64
Ran by P* (Administrator) on 11/12/2015 at 18:02:36,61
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
File System: 2
Successfully deleted: C:\WINDOWS\system32\Tasks\PCDEventLauncherTask (Task)
Successfully deleted: C:\WINDOWS\system32\Tasks\PCDoctorBackgroundMonitorTask (Task)
Registry: 1
Successfully deleted: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{664A06DC-1BAB-4D01-8AD9-F610DA855BB4} (Registry Key)

3)ResetBrowser:

 

Idem pas de souci particulier. Nettoyage de Firefox (mon navigateur par défaut) et IE mais pas Google Chrome que je n'ai pas installé.

 

N.B:

Dis moi comment je peux faire pour désinstaller ces 3 programmes + ZHPDiag si je n'en ai plus l'utilité.(A priori pas présent dans la liste des applications de Windows10)

 

Encore merci pour ton aide.

Ziec

[pear]

Ca me semble propre.

Si ce n'est déjà fait:
1)Il faut Réinitialiser votre Navigateur

ResetBrowser a pour objectif de réinitialiser les navigateurs internet Chrome, Firefox ou Internet Explorer.
Toutes vos données sont conservées comme vos mots de passes et vos favoris.
Dans certains cas, resetBrowser peut supprimer les navigateurs de votre ordinateur et les réinstaller avec leur paramètres initiaux
Si vous utilisez plusieurs navigateurs,réinititialisez les tous

Télécharger ResetBrowser
Ici

ou là




2)
Désinstaller la Restauration Système.
Sous Xp
Poste de Travai(Ordinateur)->Propriétés->Restauration Système.
Cocher la case "Désactiver la Restauration sur tous les lecteurs".
Redémarrez
Décochez la case pour rétablir la Restauration
Redémarrerez

Sous Vista:
Sous Windows 7
Sous Windows 8
Un nouveau point de restauration sera créé au redémarrage.



3)
A)Pubs intempestives ?
Un PUP (Potentially Unwanted Programs) est un programme indésirable.
Le but est de gagner de l'argent à chaque installation réussie.
Le PuP s'installe généralement à votre insu via le téléchargement de logiciels gratuits.
Il se propage via les sites 01net, CNET, BrotherSoft ou Softonic et maintenant Clubic
par exemple: 01NetToolbar,Conduit, Babylone,Delta Search ,LavasoftSecureSearch, Wajam Kiwee etc..
C'est ainsi que depuis quelque temp des téléchargements de logiciels sont repackés pour y ajouter des programmes parasites qui sont d'ailleurs précochés.
Alors .ATTENTION

Les mises à jour Flash et Java sont à éviter lorsqu’elles sont proposées par un site WEB (Surtout si celui-ci prétend qu’il faut les faire pour visualiser ses vidéos: c'est à coup sûr une arnaque).
Il faut faire les mises à jour depuis les sites officiels :

Flash : http://get.adobe.com/fr/flashplayer/ (penser à décocher McAfee Security Scan qui ne sert strictement à rien).
Java : http://www.java.com/fr/download/ (mais il est conseillé de le désactiver) Pourquoi et comment Désactiver Java

Pour vous éviter cela ou, au moins ,limiter ce genre de problèmes:

Cliquez sur le lien suivant Comment se protéger des Pups Indésirables
Eviter un navigateur propriétaire, pour des raisons de fiabilité, de sécurité
et surtout empècher qu'il transmette des données que vous utilisez ou visualisez : c’est le cas de Chrome avec Google.
Il est donc fortement recommandé d’utiliser plutot Firefox




Si ce n'est déjà fait,installez ces extensions

pour Firefox:
Adblock
Ghostery
Noscript
Blockulicious

et ,si vous utilisez Chrome:
Adblock pour Chrome
Ghostery pour Chrome
Script No
Blockulicious pour Chrome


Pour les perfectionnistes, Malwarebytes Antiexploit

Un outil pour vous apprendre à vous protéger de ces adwares intempestifs
Super Téléchargeur de sécurity-x



B)Ce logiciel va désinstaller les outils utilisés pour la désinfection

Télécharger DelFix de Xplode

Lancez-le.

Cochez
[supprimer les outils]
[Purger la Restauration]
et Cliquez [Exécuter]
Un nouveau point de restauration sera créé



C)Si vous pensez que votre problème a trouvé une solution, et afin que ceux qui la cherchent en profitent,
éditez votre premier message (Edition complète)et, dans le titre, inscrivez Résolu.

[1] En bas de votre premier message, cliquer sur Modifier
[2] En bas de l'éditeur qui s'ouvre, cliquer sur Utiliser l'éditeur complet
[3] En haut de l'éditeur complet, ajouter Résolu au début du titre de votre sujet.
[4] Enregistrer les modifications

[ziec]

Bonsoir Pear,

 

Avant tout merci pour toutes ces infos.

 

1) J'avais déjà réinitialiser Firefox mon navigateur (cf Post #5)

 

2) J'ai procédé comme tu me l'as indiqué en désactivant la restauration sytème puis avec A/M du PC. Puis j'ai remis la restauration système et un A/M du PC.

 

3)J'ai procédé à la mise d'Adobe Flash Player via ton lien.

J'ai choisi de na pas mettre la maj automatique mais plutôt qu'il me previenne avant de la faire.

 

J'ai téléchargé via ton lien Java (il a du être supprimer par le Reset du Navigateur).

J'ai dans le Plugs in du navigateur une indication de faire attention pour le Java Deployment Toolkit (en mode demande pour être activer) et un java TM Platform en mode demande également pour être activer. C'est bon?

 

4) j'ai procédé aux téléchargements de Adblock Ghostery Noscript et Blockulicious qui apparaissent du coup dans les extensions !

Par contre via ton lien Comment se protéger des Pups Indésirables qui m'a fait pointer sous http://www.cnetfrance.fr/news/wot-securite-navigateurs-internet-39753390.htm

pour télécharger WOT que j'avais auparavant mais je n'ai rien vu dans les téléchargements ???

 

5) J'ai téléchargé Delfix qui a supprimé les programmes liés à l'infection et les points de restauration.

Par contre, il me reste toujours ResetBrowser, comment fais je pour le supprimer?? Ainsi que Delfix???

 

Voilà merci de répondre à ces dernières questions et je pourrai clore le sujet en te remerciant sincèrement pour ton aide.

 

Ziec

Modifié le 12 décembre 2015 par ziec

[pear]

Normalement Dejfix s'autodétruit après avoir tout supprimé des autres outils.

 

Dans votre cas, qui est exceptionnel, reste le solution de suppression classique.

[ziec]

Re Pear,

 

En fait, en y regardant de plus près, Delfix s'est bien autodétruit...

 

Reste la présence de ResetBrowser que je ne trouve pas dans les programmes à désinstaller... et l'absence d'installation de WOT via le lien (cf Post #7).

 

Merci pour ton aide.

[pear]

WOT:

https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/

 

ResetBrowser:

ResetBrowser a pour objectif de réinitialiser les navigateurs internet Chrome, Firefox ou Internet Explorer.
Toutes vos données sont conservées comme vos mots de passes et vos favoris.
Dans certains cas, resetBrowser peut supprimer les navigateurs de votre ordinateur et les réinstaller avec leur paramètres initiaux
Télécharger ResetBrowser
Ici

ou là