Détection d anomalies par antimalwarebytes et windows defender [Résolu]

jcb2nl 109 Messages postés mardi 18 septembre 2007Date d'inscription 14 mai 2017 Dernière intervention - 13 mai 2017 à 09:07 - Dernière réponse : billmaxime 29814 Messages postés dimanche 20 novembre 2011Date d'inscriptionContributeurStatut 14 décembre 2017 Dernière intervention
- 14 mai 2017 à 15:32
Bonjour,

windows defender a détecté dans un premier temps un programme malveillant qu il a mis en quarantaine : exploit:SWF/Meadgive

j ai ensuite fait tourner malwarebytes qui a aussi donné sa petite liste d anomalies le 11/05/2017,

Malwarebytes Anti-Malware
www.malwarebytes.org

Date de l'analyse: 11/05/2017
Heure de l'analyse: 23:16
Fichier journal:
Administrateur: Oui

Version: 2.2.1.1043
Base de données de programmes malveillants: v2017.05.11.07
Base de données de rootkits: v2017.04.02.01
Licence: Gratuit
Protection contre les programmes malveillants: Désactivé
Protection contre les sites Web malveillants: Désactivé
Autoprotection: Désactivé

Système d'exploitation: Windows 10
Processeur: x64
Système de fichiers: NTFS
Utilisateur: Acer

Type d'analyse: Analyse des menaces
Résultat: Terminé
Objets analysés: 324784
Temps écoulé: 23 min, 25 s

Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Désactivé
Heuristique: Activé
PUP: Activé
PUM: Activé

Processus: 0
(Aucun élément malveillant détecté)

Modules: 0
(Aucun élément malveillant détecté)

Clés du Registre: 3
PUP.Optional.Vondos, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\Browser-Security, En quarantaine, [d31066b008a1de58f06ea77adc249e62],
PUP.Optional.InstallCore, HKU\S-1-5-21-2866558505-3491076961-2208257564-1001\SOFTWARE\csastats, En quarantaine, [5d860f071d8cf14578c5e90e5da59e62],
PUP.Optional.ProductSetup, HKU\S-1-5-21-2866558505-3491076961-2208257564-1001\SOFTWARE\PRODUCTSETUP, En quarantaine, [f8eb0f0730793afc3fc2704fcf33fb05],

Valeurs du Registre: 2
PUP.Optional.DownloadProtect, HKU\S-1-5-21-2866558505-3491076961-2208257564-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|safe_urls768, "C:\Users\Acer\AppData\Roaming\Browser-Security\s768.exe", En quarantaine, [bc27a67092174fe72230a6a1fd037888]
PUP.Optional.ProductSetup, HKU\S-1-5-21-2866558505-3491076961-2208257564-1001\SOFTWARE\PRODUCTSETUP|tb, 0K2Y1J1E2T1S2X0X0Z1S1N1C2S1G, En quarantaine, [f8eb0f0730793afc3fc2704fcf33fb05]

Données du Registre: 0
(Aucun élément malveillant détecté)

Dossiers: 3
PUP.Optional.BrowserSecurity, C:\Users\Acer\AppData\Roaming\Mozilla\Firefox\Profiles\uhmnr1ra.default\jetpack\firefox@browser-security.de, En quarantaine, [3aa954c2edbc72c47d1d9133d52b55ab],
PUP.Optional.BrowserSecurity, C:\Users\Acer\AppData\Roaming\Mozilla\Firefox\Profiles\uhmnr1ra.default\jetpack\firefox@browser-security.de\simple-storage, En quarantaine, [3aa954c2edbc72c47d1d9133d52b55ab],
PUP.Optional.BrowserSecurity, C:\Users\Acer\AppData\Roaming\Browser-Security, En quarantaine, [80632fe7f1b83ef86eb9df538c76ec14],

Fichiers: 8
PUP.Optional.Amonetize, C:\Users\Acer\AppData\Local\Temp\Windows Loader 3.1 TeamDaz.zip, En quarantaine, [f0f326f01495aa8ce253dda33cc539c7],
PUP.Optional.Vondos, C:\Users\Acer\AppData\Roaming\Browser-Security\uninstall.exe, En quarantaine, [d31066b008a1de58f06ea77adc249e62],
PUP.Optional.BrowserSecurity, C:\Users\Acer\AppData\Roaming\Mozilla\Firefox\Profiles\uhmnr1ra.default\extensions\firefox@browser-security.de.xpi, En quarantaine, [d11229ed4b5e3afc10b0daf4669c20e0],
PUP.Optional.DownloadProtect, C:\Users\Acer\AppData\Roaming\Browser-Security\s768.exe, En quarantaine, [bc27a67092174fe72230a6a1fd037888],
PUP.Optional.BrowserSecurity, C:\Users\Acer\AppData\Roaming\Browser-Security\data, En quarantaine, [80632fe7f1b83ef86eb9df538c76ec14],
PUP.Optional.BrowserSecurity, C:\Users\Acer\AppData\Roaming\Browser-Security\license.rtf, En quarantaine, [80632fe7f1b83ef86eb9df538c76ec14],
PUP.Optional.Trovi, C:\Users\Acer\AppData\Roaming\Mozilla\Firefox\Profiles\uhmnr1ra.default\prefs.js, Bon : (), Mauvais : (user_pref("browser.newtab.url", "http://www.trovi.com/?gd=&ctid=CT3333673&octid=EB_ORIGINAL_CTID&ISID=59C851D5-FDD4-4837-BAEB-9D2CB353B760&SearchSource=69&CUI=&SSPV=&Lay=1&UM=8&UP=SP6D63779B-AC88-4D7B-A903-46AADC88E190&D=091816");), Remplacé,[ecf77a9cd6d36fc7e7fa6bc0a55e5aa6]
PUM.Optional.FireFoxSecurityOverride, C:\Users\Acer\AppData\Roaming\Mozilla\Firefox\Profiles\uhmnr1ra.default\user.js, En quarantaine, [91524ccae7c22016fa36e24c877cbd43],

Secteurs physiques: 0
(Aucun élément malveillant détecté)


(end)

puis nouveau une signalisation ce matin 13/05/2017

Malwarebytes Anti-Malware
www.malwarebytes.org

Date de l'analyse: 13/05/2017
Heure de l'analyse: 06:43
Fichier journal:
Administrateur: Oui

Version: 2.2.1.1043
Base de données de programmes malveillants: v2017.05.13.02
Base de données de rootkits: v2017.04.02.01
Licence: Gratuit
Protection contre les programmes malveillants: Désactivé
Protection contre les sites Web malveillants: Désactivé
Autoprotection: Désactivé

Système d'exploitation: Windows 10
Processeur: x64
Système de fichiers: NTFS
Utilisateur: Acer

Type d'analyse: Analyse des menaces
Résultat: Terminé
Objets analysés: 324964
Temps écoulé: 19 min, 20 s

Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Désactivé
Heuristique: Activé
PUP: Activé
PUM: Activé

Processus: 0
(Aucun élément malveillant détecté)

Modules: 0
(Aucun élément malveillant détecté)

Clés du Registre: 0
(Aucun élément malveillant détecté)

Valeurs du Registre: 0
(Aucun élément malveillant détecté)

Données du Registre: 0
(Aucun élément malveillant détecté)

Dossiers: 0
(Aucun élément malveillant détecté)

Fichiers: 1
PUP.Optional.Trovi, C:\Users\Acer\AppData\Roaming\Mozilla\Firefox\Profiles\uhmnr1ra.default\prefs.js, Bon : (), Mauvais : (user_pref("browser.newtab.url", "http://www.trovi.com/?gd=&ctid=CT3333673&octid=EB_ORIGINAL_CTID&ISID=59C851D5-FDD4-4837-BAEB-9D2CB353B760&SearchSource=69&CUI=&SSPV=&Lay=1&UM=8&UP=SP6D63779B-AC88-4D7B-A903-46AADC88E190&D=091816");), Remplacé,[287e2ceb76330a2c24e8cf5e36cd53ad]

Secteurs physiques: 0
(Aucun élément malveillant détecté)


(end)

à la lecture rapide et imparfaite sans doute de ceux ci, j ai le sentiment qu un fichier javascript sous firefox pose probleme

j ai besoin d aide pour y voir plus clair

merci de m'éclairer pour remettre les choses à plat




Afficher la suite 

11 réponses

Répondre au sujet
billmaxime 29814 Messages postés dimanche 20 novembre 2011Date d'inscriptionContributeurStatut 14 décembre 2017 Dernière intervention - 13 mai 2017 à 09:42
0
Utile
salut

tu as 1 ancienne version de MBAM >> Version: 2.2.1.1043

on est à la 3.0.5

désinstalle MBAM avec son outil de désinstallation >> clique ici

met le sur ton bureau et exécute le en tant qu'administrateur (clic droit)

quand c'est fait, télécharge la dernière version depuis ce lien >> https://fr.malwarebytes.com/ (prend le free)

exécute le en tant qu'administrateur (clic droit)

quand l'installation est terminée, clique sur "mon compte" et désactive la protection résidente de MBAM (gratuite pendant 14 jours si je ne me trompe pas)

PS: crée 1 point de restauration avant de lancer 1 nouvelle analyse avec la dernière version de MBAM

il faudra aussi exécuter Adwcleaner sur ton pc

@+
Commenter la réponse de billmaxime
jcb2nl 109 Messages postés mardi 18 septembre 2007Date d'inscription 14 mai 2017 Dernière intervention - 13 mai 2017 à 11:21
0
Utile
merci de ton aide

j ai mis antimalwarebytes à jour

le compte rendu est le suivant

Malwarebytes
www.malwarebytes.com

-Détails du journal-
Date de l'analyse: 13/05/2017
Heure de l'analyse: 11:00
Fichier journal:
Administrateur: Oui

-Informations du logiciel-
Version: 3.1.2.1733
Version de composants: 1.0.122
Version de pack de mise à jour: 1.0.1930
Licence: Essai

-Informations système-
Système d'exploitation: Windows 10
Processeur: x64
Système de fichiers: NTFS
Utilisateur: DESKTOP-3BN57G3\Acer

-Résumé de l'analyse-
Type d'analyse: Analyse des menaces
Résultat: Terminé
Objets analysés: 423342
Menaces détectées: 1
Menaces mises en quarantaine: 1
Temps écoulé: 16 min, 4 s

-Options d'analyse-
Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Désactivé
Heuristique: Activé
PUP: Activé
PUM: Activé

-Détails de l'analyse-
Processus: 0
(Aucun élément malveillant détecté)

Module: 0
(Aucun élément malveillant détecté)

Clé du registre: 0
(Aucun élément malveillant détecté)

Valeur du registre: 0
(Aucun élément malveillant détecté)

Données du registre: 0
(Aucun élément malveillant détecté)

Flux de données: 0
(Aucun élément malveillant détecté)

Dossier: 0
(Aucun élément malveillant détecté)

Fichier: 1
PUP.Optional.Trovi, C:\USERS\ACER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\UHMNR1RA.DEFAULT\PREFS.JS, Remplacé, [5519], [301682],1.0.1930

Secteur physique: 0
(Aucun élément malveillant détecté)


(end)
Commenter la réponse de jcb2nl
billmaxime 29814 Messages postés dimanche 20 novembre 2011Date d'inscriptionContributeurStatut 14 décembre 2017 Dernière intervention - 13 mai 2017 à 11:25
0
Utile
re

tu as encore des soucis?

@+
Commenter la réponse de billmaxime
jcb2nl 109 Messages postés mardi 18 septembre 2007Date d'inscription 14 mai 2017 Dernière intervention - 13 mai 2017 à 12:43
0
Utile
a priori non

le redemarrage est correct

possible que ça revienne plus tard en utilisant ffox ou une extension ?
Commenter la réponse de jcb2nl
billmaxime 29814 Messages postés dimanche 20 novembre 2011Date d'inscriptionContributeurStatut 14 décembre 2017 Dernière intervention - 13 mai 2017 à 12:51
0
Utile
re

fait quand même 1 scan de recherche (analyse) avec Adwcleaner

télécharge Adwcleaner sur ton bureau

https://toolslib.net/downloads/viewdownload/1-adwcleaner/

exécute le en tant qu'administrateur (clic droit)

clique sur "analyser"

le rapport s'affichera sur ton bureau et dans C:\Adwcleaner\Adwcleaner S0

poste le rapport via cjoint dans ta prochaine réponse

http://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

@+
Commenter la réponse de billmaxime
jcb2nl 109 Messages postés mardi 18 septembre 2007Date d'inscription 14 mai 2017 Dernière intervention - 13 mai 2017 à 22:50
0
Utile
ok

j ai fait le nettoyage avec adwcleaner

le rapport est là

http://www.cjoint.com/c/GEnuXNidl7r
Commenter la réponse de jcb2nl
billmaxime 29814 Messages postés dimanche 20 novembre 2011Date d'inscriptionContributeurStatut 14 décembre 2017 Dernière intervention - 14 mai 2017 à 09:53
0
Utile
salut

ok, télécharge Delfix sur ton bureau

https://toolslib.net/downloads/viewdownload/2-delfix/

exécute le en tant qu'administrateur (clic droit)

coche les cases suivantes:

supprimer les outils de désinfection

purger la restauration système

clique sur Exécuter

le rappor s'affichera sur ton bureau et dans C:\Delfix.txt

poste le rapport via 1 copier/coller

@+
Commenter la réponse de billmaxime
jcb2nl 109 Messages postés mardi 18 septembre 2007Date d'inscription 14 mai 2017 Dernière intervention - 14 mai 2017 à 14:47
0
Utile
le rapport en question

# DelFix v1.013 - Rapport créé le 14/05/2017 à 14:41:05
# Mis à jour le 17/04/2016 par Xplode
# Nom d'utilisateur : Acer - DESKTOP-3BN57G3
# Système d'exploitation : Windows 10 Home (64 bits)

~ Suppression des outils de désinfection ...

Supprimé : C:\AdwCleaner
Supprimé : C:\Users\Acer\Desktop\JRT.txt
Supprimé : C:\Users\Acer\Downloads\AdwCleaner-5.007.exe
Supprimé : C:\Users\Acer\Downloads\adwcleaner_5.026.exe
Supprimé : C:\Users\Acer\Downloads\adwcleaner_6.046.exe
Supprimé : C:\Users\Acer\Downloads\JRT.exe
Supprimé : C:\Users\Acer\Downloads\HijackThis.exe
Supprimé : C:\Users\Acer\Downloads\hijackthis.log
Supprimé : C:\Users\Acer\Downloads\ZHPCleaner.exe
Supprimé : C:\Users\Acer\Downloads\ZHPDiag3.exe

~ Purge de la restauration système ...

Supprimé : RP #21 [Windows Update | 05/02/2017 20:42:17]
Supprimé : RP #22 [Windows Update | 05/06/2017 19:41:40]
Supprimé : RP #23 [Windows Update | 05/10/2017 05:02:51]
Supprimé : RP #24 [JRT Pre-Junkware Removal | 05/13/2017 10:31:11]

Nouveau point de restauration créé !

########## - EOF - ##########


par soucis de comprendre, ma session est une session administrateur, le clic droit "executer comme administrateur" a t il une importance ou est ce juste par prudence ?
Commenter la réponse de jcb2nl
billmaxime 29814 Messages postés dimanche 20 novembre 2011Date d'inscriptionContributeurStatut 14 décembre 2017 Dernière intervention - 14 mai 2017 à 15:02
0
Utile
salut

par soucis de comprendre, ma session est une session administrateur, le clic droit "executer comme administrateur" a t il une importance ou est ce juste par prudence ?

l'exécution "en tant qu'administrateur" te donne plus de possibilées d'action

exemple avec l'invite de commande



PS: tu peux supprimer le fichier de Delfix à la racine du DD >> C:\Delfix.txt

si tu n'as plus de soucis, tu peux mettre ton topic en résolu

http://www.commentcamarche.net/faq/11365-marquer-un-fil-de-discussion-comme-etant-resolu

merci

@+
Commenter la réponse de billmaxime
jcb2nl 109 Messages postés mardi 18 septembre 2007Date d'inscription 14 mai 2017 Dernière intervention - 14 mai 2017 à 15:29
0
Utile
merci de ton aide et de ta pedagogie

je paase le t en resolu
Commenter la réponse de jcb2nl
billmaxime 29814 Messages postés dimanche 20 novembre 2011Date d'inscriptionContributeurStatut 14 décembre 2017 Dernière intervention - 14 mai 2017 à 15:32
0
Utile
re

pas de soucis pour l'aide^^

bonne continuation

@+
Commenter la réponse de billmaxime