Signaler

Détection d anomalies par antimalwarebytes et windows defender [Résolu]

Posez votre question jcb2nl 109Messages postés mardi 18 septembre 2007Date d'inscription 14 mai 2017 Dernière intervention - Dernière réponse le 14 mai 2017 à 15:32 par billmaxime
Bonjour,

windows defender a détecté dans un premier temps un programme malveillant qu il a mis en quarantaine : exploit:SWF/Meadgive

j ai ensuite fait tourner malwarebytes qui a aussi donné sa petite liste d anomalies le 11/05/2017,

Malwarebytes Anti-Malware
www.malwarebytes.org

Date de l'analyse: 11/05/2017
Heure de l'analyse: 23:16
Fichier journal:
Administrateur: Oui

Version: 2.2.1.1043
Base de données de programmes malveillants: v2017.05.11.07
Base de données de rootkits: v2017.04.02.01
Licence: Gratuit
Protection contre les programmes malveillants: Désactivé
Protection contre les sites Web malveillants: Désactivé
Autoprotection: Désactivé

Système d'exploitation: Windows 10
Processeur: x64
Système de fichiers: NTFS
Utilisateur: Acer

Type d'analyse: Analyse des menaces
Résultat: Terminé
Objets analysés: 324784
Temps écoulé: 23 min, 25 s

Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Désactivé
Heuristique: Activé
PUP: Activé
PUM: Activé

Processus: 0
(Aucun élément malveillant détecté)

Modules: 0
(Aucun élément malveillant détecté)

Clés du Registre: 3
PUP.Optional.Vondos, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\Browser-Security, En quarantaine, [d31066b008a1de58f06ea77adc249e62],
PUP.Optional.InstallCore, HKU\S-1-5-21-2866558505-3491076961-2208257564-1001\SOFTWARE\csastats, En quarantaine, [5d860f071d8cf14578c5e90e5da59e62],
PUP.Optional.ProductSetup, HKU\S-1-5-21-2866558505-3491076961-2208257564-1001\SOFTWARE\PRODUCTSETUP, En quarantaine, [f8eb0f0730793afc3fc2704fcf33fb05],

Valeurs du Registre: 2
PUP.Optional.DownloadProtect, HKU\S-1-5-21-2866558505-3491076961-2208257564-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|safe_urls768, "C:\Users\Acer\AppData\Roaming\Browser-Security\s768.exe", En quarantaine, [bc27a67092174fe72230a6a1fd037888]
PUP.Optional.ProductSetup, HKU\S-1-5-21-2866558505-3491076961-2208257564-1001\SOFTWARE\PRODUCTSETUP|tb, 0K2Y1J1E2T1S2X0X0Z1S1N1C2S1G, En quarantaine, [f8eb0f0730793afc3fc2704fcf33fb05]

Données du Registre: 0
(Aucun élément malveillant détecté)

Dossiers: 3
PUP.Optional.BrowserSecurity, C:\Users\Acer\AppData\Roaming\Mozilla\Firefox\Profiles\uhmnr1ra.default\jetpack\firefox@browser-security.de, En quarantaine, [3aa954c2edbc72c47d1d9133d52b55ab],
PUP.Optional.BrowserSecurity, C:\Users\Acer\AppData\Roaming\Mozilla\Firefox\Profiles\uhmnr1ra.default\jetpack\firefox@browser-security.de\simple-storage, En quarantaine, [3aa954c2edbc72c47d1d9133d52b55ab],
PUP.Optional.BrowserSecurity, C:\Users\Acer\AppData\Roaming\Browser-Security, En quarantaine, [80632fe7f1b83ef86eb9df538c76ec14],

Fichiers: 8
PUP.Optional.Amonetize, C:\Users\Acer\AppData\Local\Temp\Windows Loader 3.1 TeamDaz.zip, En quarantaine, [f0f326f01495aa8ce253dda33cc539c7],
PUP.Optional.Vondos, C:\Users\Acer\AppData\Roaming\Browser-Security\uninstall.exe, En quarantaine, [d31066b008a1de58f06ea77adc249e62],
PUP.Optional.BrowserSecurity, C:\Users\Acer\AppData\Roaming\Mozilla\Firefox\Profiles\uhmnr1ra.default\extensions\firefox@browser-security.de.xpi, En quarantaine, [d11229ed4b5e3afc10b0daf4669c20e0],
PUP.Optional.DownloadProtect, C:\Users\Acer\AppData\Roaming\Browser-Security\s768.exe, En quarantaine, [bc27a67092174fe72230a6a1fd037888],
PUP.Optional.BrowserSecurity, C:\Users\Acer\AppData\Roaming\Browser-Security\data, En quarantaine, [80632fe7f1b83ef86eb9df538c76ec14],
PUP.Optional.BrowserSecurity, C:\Users\Acer\AppData\Roaming\Browser-Security\license.rtf, En quarantaine, [80632fe7f1b83ef86eb9df538c76ec14],
PUP.Optional.Trovi, C:\Users\Acer\AppData\Roaming\Mozilla\Firefox\Profiles\uhmnr1ra.default\prefs.js, Bon : (), Mauvais : (user_pref("browser.newtab.url", "http://www.trovi.com/?gd=&ctid=CT3333673&octid=EB_ORIGINAL_CTID&ISID=59C851D5-FDD4-4837-BAEB-9D2CB353B760&SearchSource=69&CUI=&SSPV=&Lay=1&UM=8&UP=SP6D63779B-AC88-4D7B-A903-46AADC88E190&D=091816");), Remplacé,[ecf77a9cd6d36fc7e7fa6bc0a55e5aa6]
PUM.Optional.FireFoxSecurityOverride, C:\Users\Acer\AppData\Roaming\Mozilla\Firefox\Profiles\uhmnr1ra.default\user.js, En quarantaine, [91524ccae7c22016fa36e24c877cbd43],

Secteurs physiques: 0
(Aucun élément malveillant détecté)


(end)

puis nouveau une signalisation ce matin 13/05/2017

Malwarebytes Anti-Malware
www.malwarebytes.org

Date de l'analyse: 13/05/2017
Heure de l'analyse: 06:43
Fichier journal:
Administrateur: Oui

Version: 2.2.1.1043
Base de données de programmes malveillants: v2017.05.13.02
Base de données de rootkits: v2017.04.02.01
Licence: Gratuit
Protection contre les programmes malveillants: Désactivé
Protection contre les sites Web malveillants: Désactivé
Autoprotection: Désactivé

Système d'exploitation: Windows 10
Processeur: x64
Système de fichiers: NTFS
Utilisateur: Acer

Type d'analyse: Analyse des menaces
Résultat: Terminé
Objets analysés: 324964
Temps écoulé: 19 min, 20 s

Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Désactivé
Heuristique: Activé
PUP: Activé
PUM: Activé

Processus: 0
(Aucun élément malveillant détecté)

Modules: 0
(Aucun élément malveillant détecté)

Clés du Registre: 0
(Aucun élément malveillant détecté)

Valeurs du Registre: 0
(Aucun élément malveillant détecté)

Données du Registre: 0
(Aucun élément malveillant détecté)

Dossiers: 0
(Aucun élément malveillant détecté)

Fichiers: 1
PUP.Optional.Trovi, C:\Users\Acer\AppData\Roaming\Mozilla\Firefox\Profiles\uhmnr1ra.default\prefs.js, Bon : (), Mauvais : (user_pref("browser.newtab.url", "http://www.trovi.com/?gd=&ctid=CT3333673&octid=EB_ORIGINAL_CTID&ISID=59C851D5-FDD4-4837-BAEB-9D2CB353B760&SearchSource=69&CUI=&SSPV=&Lay=1&UM=8&UP=SP6D63779B-AC88-4D7B-A903-46AADC88E190&D=091816");), Remplacé,[287e2ceb76330a2c24e8cf5e36cd53ad]

Secteurs physiques: 0
(Aucun élément malveillant détecté)


(end)

à la lecture rapide et imparfaite sans doute de ceux ci, j ai le sentiment qu un fichier javascript sous firefox pose probleme

j ai besoin d aide pour y voir plus clair

merci de m'éclairer pour remettre les choses à plat




Utile
+0
plus moins
salut

tu as 1 ancienne version de MBAM >> Version: 2.2.1.1043

on est à la 3.0.5

désinstalle MBAM avec son outil de désinstallation >> clique ici

met le sur ton bureau et exécute le en tant qu'administrateur (clic droit)

quand c'est fait, télécharge la dernière version depuis ce lien >> https://fr.malwarebytes.com/ (prend le free)

exécute le en tant qu'administrateur (clic droit)

quand l'installation est terminée, clique sur "mon compte" et désactive la protection résidente de MBAM (gratuite pendant 14 jours si je ne me trompe pas)

PS: crée 1 point de restauration avant de lancer 1 nouvelle analyse avec la dernière version de MBAM

il faudra aussi exécuter Adwcleaner sur ton pc

@+
Donnez votre avis
Utile
+0
plus moins
merci de ton aide

j ai mis antimalwarebytes à jour

le compte rendu est le suivant

Malwarebytes
www.malwarebytes.com

-Détails du journal-
Date de l'analyse: 13/05/2017
Heure de l'analyse: 11:00
Fichier journal:
Administrateur: Oui

-Informations du logiciel-
Version: 3.1.2.1733
Version de composants: 1.0.122
Version de pack de mise à jour: 1.0.1930
Licence: Essai

-Informations système-
Système d'exploitation: Windows 10
Processeur: x64
Système de fichiers: NTFS
Utilisateur: DESKTOP-3BN57G3\Acer

-Résumé de l'analyse-
Type d'analyse: Analyse des menaces
Résultat: Terminé
Objets analysés: 423342
Menaces détectées: 1
Menaces mises en quarantaine: 1
Temps écoulé: 16 min, 4 s

-Options d'analyse-
Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Désactivé
Heuristique: Activé
PUP: Activé
PUM: Activé

-Détails de l'analyse-
Processus: 0
(Aucun élément malveillant détecté)

Module: 0
(Aucun élément malveillant détecté)

Clé du registre: 0
(Aucun élément malveillant détecté)

Valeur du registre: 0
(Aucun élément malveillant détecté)

Données du registre: 0
(Aucun élément malveillant détecté)

Flux de données: 0
(Aucun élément malveillant détecté)

Dossier: 0
(Aucun élément malveillant détecté)

Fichier: 1
PUP.Optional.Trovi, C:\USERS\ACER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\UHMNR1RA.DEFAULT\PREFS.JS, Remplacé, [5519], [301682],1.0.1930

Secteur physique: 0
(Aucun élément malveillant détecté)


(end)
Donnez votre avis
Utile
+0
plus moins
re

tu as encore des soucis?

@+
Donnez votre avis
Utile
+0
plus moins
a priori non

le redemarrage est correct

possible que ça revienne plus tard en utilisant ffox ou une extension ?
Donnez votre avis
Utile
+0
plus moins
re

fait quand même 1 scan de recherche (analyse) avec Adwcleaner

télécharge Adwcleaner sur ton bureau

https://toolslib.net/downloads/viewdownload/1-adwcleaner/

exécute le en tant qu'administrateur (clic droit)

clique sur "analyser"

le rapport s'affichera sur ton bureau et dans C:\Adwcleaner\Adwcleaner S0

poste le rapport via cjoint dans ta prochaine réponse

http://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

@+
Donnez votre avis
Utile
+0
plus moins
ok

j ai fait le nettoyage avec adwcleaner

le rapport est là

http://www.cjoint.com/c/GEnuXNidl7r
Donnez votre avis
Utile
+0
plus moins
salut

ok, télécharge Delfix sur ton bureau

https://toolslib.net/downloads/viewdownload/2-delfix/

exécute le en tant qu'administrateur (clic droit)

coche les cases suivantes:

supprimer les outils de désinfection

purger la restauration système

clique sur Exécuter

le rappor s'affichera sur ton bureau et dans C:\Delfix.txt

poste le rapport via 1 copier/coller

@+
Donnez votre avis
Utile
+0
plus moins
le rapport en question

# DelFix v1.013 - Rapport créé le 14/05/2017 à 14:41:05
# Mis à jour le 17/04/2016 par Xplode
# Nom d'utilisateur : Acer - DESKTOP-3BN57G3
# Système d'exploitation : Windows 10 Home (64 bits)

~ Suppression des outils de désinfection ...

Supprimé : C:\AdwCleaner
Supprimé : C:\Users\Acer\Desktop\JRT.txt
Supprimé : C:\Users\Acer\Downloads\AdwCleaner-5.007.exe
Supprimé : C:\Users\Acer\Downloads\adwcleaner_5.026.exe
Supprimé : C:\Users\Acer\Downloads\adwcleaner_6.046.exe
Supprimé : C:\Users\Acer\Downloads\JRT.exe
Supprimé : C:\Users\Acer\Downloads\HijackThis.exe
Supprimé : C:\Users\Acer\Downloads\hijackthis.log
Supprimé : C:\Users\Acer\Downloads\ZHPCleaner.exe
Supprimé : C:\Users\Acer\Downloads\ZHPDiag3.exe

~ Purge de la restauration système ...

Supprimé : RP #21 [Windows Update | 05/02/2017 20:42:17]
Supprimé : RP #22 [Windows Update | 05/06/2017 19:41:40]
Supprimé : RP #23 [Windows Update | 05/10/2017 05:02:51]
Supprimé : RP #24 [JRT Pre-Junkware Removal | 05/13/2017 10:31:11]

Nouveau point de restauration créé !

########## - EOF - ##########


par soucis de comprendre, ma session est une session administrateur, le clic droit "executer comme administrateur" a t il une importance ou est ce juste par prudence ?
Donnez votre avis
Utile
+0
plus moins
salut

par soucis de comprendre, ma session est une session administrateur, le clic droit "executer comme administrateur" a t il une importance ou est ce juste par prudence ?

l'exécution "en tant qu'administrateur" te donne plus de possibilées d'action

exemple avec l'invite de commande



PS: tu peux supprimer le fichier de Delfix à la racine du DD >> C:\Delfix.txt

si tu n'as plus de soucis, tu peux mettre ton topic en résolu

http://www.commentcamarche.net/faq/11365-marquer-un-fil-de-discussion-comme-etant-resolu

merci

@+
Donnez votre avis
Utile
+0
plus moins
merci de ton aide et de ta pedagogie

je paase le t en resolu
Donnez votre avis
Utile
+0
plus moins
re

pas de soucis pour l'aide^^

bonne continuation

@+
Donnez votre avis

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes.

Le fait d'être membre vous permet d'avoir des options supplémentaires.

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !