Menu

Quarantaine Malwarebytes [Résolu]

Messages postés
16
Date d'inscription
vendredi 30 novembre 2018
Dernière intervention
6 décembre 2018
- - Dernière réponse : Malekal_morte-
Messages postés
159856
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur
Dernière intervention
7 décembre 2018
- 7 déc. 2018 à 10:14
Bonsoir.

Je viens d'utiliser Malwarebytes. Il m'a trouvé quelques menaces que j'ai mises en quarantaine. Y a-t-il un inconvénient à les supprimer ? Quel est le risque ?

Merci
Afficher la suite 

Votre réponse

4 réponses

Messages postés
159856
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur
Dernière intervention
7 décembre 2018
0
Merci
Salut,

Si ce sont bien des fichiers malveillants, normalement aucun.
Trofou
Messages postés
16
Date d'inscription
vendredi 30 novembre 2018
Dernière intervention
6 décembre 2018
-
C'est là, pour moi, toute la question. Ce sont des PUP.optional et un Adware. Côté PUP, l'essentiel est lié à "Advanced System Repair" que j'ai désinstallé. Pour le reste, il y en a deux liés à "Winzip Driver Updater" (désinstallé), 2 à "Rectoro" (chargé, non désinstallé et absent du Panneau de Configuration) et un de "PC Speed Cat" (???).
Il me parait clair que je peux virer ceux liés aux deux premiers, mais quid des deux derniers ?

Je te lirai avec le plus grand intérêt.
Commenter la réponse de Malekal_morte-
Messages postés
159856
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur
Dernière intervention
7 décembre 2018
0
Merci
Tu peux supprimer.

A lire et notamment le premier paragraphe : https://www.malekal.com/logiciels-nettoyage-windows/
Evite d'installer es logiciels de nettoyage complètement inutiles qui peuvent flinguer Windows.

Pour vérifier ton ordinateur, pour d'éventuels infections et avoir un état général du système :

Suis tutoriel FRST en cliquant sur ce lien bleu. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
  • FRST.txt
  • Shortcut.
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.


Trofou
Messages postés
16
Date d'inscription
vendredi 30 novembre 2018
Dernière intervention
6 décembre 2018
-
J'ai d'abord supprimé tout le contenu de la quarantaine, puis fait un scan FRST. Voici les liens :
https://pjjoint.malekal.com/files.php?id=20181206_h7z7z13d15r5
https://pjjoint.malekal.com/files.php?id=FRST_20181206_k13y10m11h7g5
https://pjjoint.malekal.com/files.php?id=20181206_z15x15d14q12n13

Je te lirai avec le plus grand intérêt.
Commenter la réponse de Malekal_morte-
Messages postés
159856
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur
Dernière intervention
7 décembre 2018
0
Merci
Tu as une infection amovible.

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

CreateRestorePoint:
CloseProcesses:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt [2018-12-05] ()
2018-12-05 12:05 - 2018-12-05 12:05 - 000000000 ____D C:\ProgramData\s2a8
2018-12-05 11:59 - 2018-12-05 11:59 - 000000000 ____D C:\ProgramData\serg
2018-12-05 11:59 - 2018-12-05 11:59 - 000000000 ____D C:\ProgramData\sb4o
2018-12-05 11:58 - 2018-12-05 11:58 - 000000000 ____D C:\ProgramData\s8i8
2018-12-05 11:51 - 2018-12-05 11:51 - 000000000 ____D C:\ProgramData\s9tg
2018-12-05 11:51 - 2018-12-05 11:51 - 000000000 ____D C:\ProgramData\s7eg
2018-12-05 11:34 - 2018-12-05 11:34 - 000000000 ____D C:\ProgramData\s1rg
2018-12-05 11:27 - 2018-12-05 11:27 - 000000000 ____D C:\ProgramData\sc8s
2018-12-05 11:27 - 2018-12-05 11:27 - 000000000 ____D C:\ProgramData\s9g8
2018-12-05 11:26 - 2018-12-05 11:26 - 000000000 ____D C:\ProgramData\seco
2018-12-05 11:26 - 2018-12-05 11:26 - 000000000 ____D C:\ProgramData\sarc
2018-12-05 11:26 - 2018-12-05 11:26 - 000000000 ____D C:\ProgramData\s9ak
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Enregistre le contenu par le menu fichier puis enregistrer.

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur


Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.

Pour nettoyer les disques amovibles des virus USB, suivre dans l'ordre les étapes du tutoriel : insère un à un tes clefs USB et disques durs externes que tu as pour les nettoyer. Envoie ensuite les rapports sur https://pjjoint.malekal.com/ et donne les liens menant à ces rapports pour que l'on puisse les consulter.

Brancher toutes les clefs USB et autres périphériques amovibles.
  • Télécharger Remediate VBS Worm
  • Lancer l'option B
  • Taper la lettre de la clef USB, par exemple, E et entrée

[color=red]ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR ![/color]
  • Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.

Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.

Trofou
Messages postés
16
Date d'inscription
vendredi 30 novembre 2018
Dernière intervention
6 décembre 2018
-
Voici Fixlog.
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 01.12.2018 01
Exécuté par bruno (06-12-2018 14:20:36) Run:1
Exécuté depuis C:\Users\bruno\Desktop
Profils chargés: bruno (Profils disponibles: bruno & Bruno bis)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt [2018-12-05] ()
2018-12-05 12:05 - 2018-12-05 12:05 - 000000000 ____D C:\ProgramData\s2a8
2018-12-05 11:59 - 2018-12-05 11:59 - 000000000 ____D C:\ProgramData\serg
2018-12-05 11:59 - 2018-12-05 11:59 - 000000000 ____D C:\ProgramData\sb4o
2018-12-05 11:58 - 2018-12-05 11:58 - 000000000 ____D C:\ProgramData\s8i8
2018-12-05 11:51 - 2018-12-05 11:51 - 000000000 ____D C:\ProgramData\s9tg
2018-12-05 11:51 - 2018-12-05 11:51 - 000000000 ____D C:\ProgramData\s7eg
2018-12-05 11:34 - 2018-12-05 11:34 - 000000000 ____D C:\ProgramData\s1rg
2018-12-05 11:27 - 2018-12-05 11:27 - 000000000 ____D C:\ProgramData\sc8s
2018-12-05 11:27 - 2018-12-05 11:27 - 000000000 ____D C:\ProgramData\s9g8
2018-12-05 11:26 - 2018-12-05 11:26 - 000000000 ____D C:\ProgramData\seco
2018-12-05 11:26 - 2018-12-05 11:26 - 000000000 ____D C:\ProgramData\sarc
2018-12-05 11:26 - 2018-12-05 11:26 - 000000000 ____D C:\ProgramData\s9ak
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Erreur: (0) Impossible de créer un point de restauration.
Processus fermé avec succès.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt => déplacé(es) avec succès
C:\ProgramData\s2a8 => déplacé(es) avec succès
C:\ProgramData\serg => déplacé(es) avec succès
C:\ProgramData\sb4o => déplacé(es) avec succès
C:\ProgramData\s8i8 => déplacé(es) avec succès
C:\ProgramData\s9tg => déplacé(es) avec succès
C:\ProgramData\s7eg => déplacé(es) avec succès
C:\ProgramData\s1rg => déplacé(es) avec succès
C:\ProgramData\sc8s => déplacé(es) avec succès
C:\ProgramData\s9g8 => déplacé(es) avec succès
C:\ProgramData\seco => déplacé(es) avec succès
C:\ProgramData\sarc => déplacé(es) avec succès
C:\ProgramData\s9ak => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3181160709-2763417745-2624207795-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3181160709-2763417745-2624207795-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 7364608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 77258732 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 398162 B
Edge => 1183389 B
Chrome => 0 B
Firefox => 1063170928 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 14316375 B
LocalService => 17314 B
LocalService => 0 B
NetworkService => 6086 B
NetworkService => 0 B
bruno => 21822878 B
Bruno bis => 26830 B

RecycleBin => 17591393 B
EmptyTemp: => 1.1 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

Fin de Fixlog 14:21:10

J'attends ta réponse pour passer à la suite.
Pour le nettoyage des disques amovibles, faut-il le faire en une tournée d'ensemble (clef USB + disque dur externe) ou en deux séparées, l'un puis l'autre.
Merci
Malekal_morte-
Messages postés
159856
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur
Dernière intervention
7 décembre 2018
> Trofou
Messages postés
16
Date d'inscription
vendredi 30 novembre 2018
Dernière intervention
6 décembre 2018
-
Ca n'a pas d'importance.
tant que tu nettoies bien tous avec l'option B.
Trofou
Messages postés
16
Date d'inscription
vendredi 30 novembre 2018
Dernière intervention
6 décembre 2018
-
Voici le rapport concernant la clef USB seule.

Rem-VBSworm v8.0

=========== - General info:

Running under: bruno on profile: C:\Users\bruno
Computer name: LAPTOP-M8SG49HT

Operating System:
Microsoft Windows 10 Famille

Boot Mode:
Normal boot

Antivirus software installed:
Windows Defender

Kaspersky Internet Security


Executed on: 06/12/2018 @ 15:02:00,52

=========== - Drive info:

Listing currently attached drives:
Caption Description VolumeName

C: Disque mont‚ local Acer

D: Disque mont‚ local Data

E: Disque amovible USB DISK




Physical drives information:
C: \Device\HarddiskVolume4 NTFS
D: \Device\HarddiskVolume1 NTFS
E: \Device\HarddiskVolume6 FAT

=========== - Disinfection info:


Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.

Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.

=========== - Shortcut info:


=========== - Scheduled tasks info:

Commentaire: Collecteur d'informations r‚seau

=========== - USB drive info:

E: selected

USB Device ID:
SCSI\DISK&VEN_WDC&PROD_WD10SPZX-21Z10T0\4&1D9C57F5&0&000100

USBSTOR\DISK&VEN_&PROD_USB_DISK_3.0&REV_PMAP\07073A8500D75F03&0

SCSI\DISK&VEN_HFS128G3&PROD_9TND-N210A\4&1D9C57F5&0&000200




WARNING... Possible Andromeda/Gamarue infection...
Listing root contents of E:
Le volume dans le lecteur E s'appelle USB DISK
Le num‚ro de s‚rie du volume est C4BC-6D19

R‚pertoire de E:\

02/12/2018 15:31 157ÿ582ÿ816 kis19.0.0.1088a_fr-fr_full.exe
03/12/2018 16:20 15ÿ870 Chgt ordinateur 2018 .docx
3 fichier(s) 157ÿ598ÿ998 octets
1 R‚p(s) 30ÿ835ÿ081ÿ216 octets libres

USB drive disinfected and files unhidden

Panda USB Vaccine was downloaded

=====================================================
Scan finished at: 15:06:36,38
Send this log only if requested by a helper.
=====================================================

Made by @bartblaze
Tool to delete VBS autorun worm and unhide files
Quarantine folder on: C:\Rem-VBSqt
Info: https://bartblaze.blogspot.com/2014/02/remediate-vbs-malware.html
Trofou
Messages postés
16
Date d'inscription
vendredi 30 novembre 2018
Dernière intervention
6 décembre 2018
-
Et voici celui du disque dur externe

Rem-VBSworm v8.0

=========== - General info:

Running under: bruno on profile: C:\Users\bruno
Computer name: LAPTOP-M8SG49HT

Operating System:
Microsoft Windows 10 Famille

Boot Mode:
Normal boot

Antivirus software installed:
Windows Defender

Kaspersky Internet Security


Executed on: 06/12/2018 @ 15:02:00,52

=========== - Drive info:

Listing currently attached drives:
Caption Description VolumeName

C: Disque mont‚ local Acer

D: Disque mont‚ local Data

E: Disque amovible USB DISK




Physical drives information:
C: \Device\HarddiskVolume4 NTFS
D: \Device\HarddiskVolume1 NTFS
E: \Device\HarddiskVolume6 FAT

=========== - Disinfection info:


Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.

Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.

=========== - Shortcut info:


=========== - Scheduled tasks info:

Commentaire: Collecteur d'informations r‚seau

=========== - USB drive info:

E: selected

USB Device ID:
SCSI\DISK&VEN_WDC&PROD_WD10SPZX-21Z10T0\4&1D9C57F5&0&000100

USBSTOR\DISK&VEN_&PROD_USB_DISK_3.0&REV_PMAP\07073A8500D75F03&0

SCSI\DISK&VEN_HFS128G3&PROD_9TND-N210A\4&1D9C57F5&0&000200




WARNING... Possible Andromeda/Gamarue infection...
Listing root contents of E:
Le volume dans le lecteur E s'appelle USB DISK
Le num‚ro de s‚rie du volume est C4BC-6D19

R‚pertoire de E:\

02/12/2018 15:31 157ÿ582ÿ816 kis19.0.0.1088a_fr-fr_full.exe
03/12/2018 16:20 15ÿ870 Chgt ordinateur 2018 .docx
3 fichier(s) 157ÿ598ÿ998 octets
1 R‚p(s) 30ÿ835ÿ081ÿ216 octets libres

USB drive disinfected and files unhidden

Panda USB Vaccine was downloaded

=====================================================
Scan finished at: 15:06:36,38
Send this log only if requested by a helper.
=====================================================

Made by @bartblaze
Tool to delete VBS autorun worm and unhide files
Quarantine folder on: C:\Rem-VBSqt
Info: https://bartblaze.blogspot.com/2014/02/remediate-vbs-malware.html

Désolé. C'est un peu galère, cette installation. Sans doute, grâce à ton aide, ferai-je mieux la prochaine fois. ;-)
Commenter la réponse de Malekal_morte-
Messages postés
159856
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur
Dernière intervention
7 décembre 2018
0
Merci
Ca semble correct.
Tu as des soucis particuliers ?
Trofou
Messages postés
16
Date d'inscription
vendredi 30 novembre 2018
Dernière intervention
6 décembre 2018
-
C'est terminé pour le grand ménage de l'installation. Avec mes remerciements émus.
Il ne me reste pus qu'à transférer mon carnet d'adresses Windows Live Mail vers Thunderbird. Pour l'heure, ça ne se passe pas trop bien. Il me faudrait transférer mes fichiers .vcf un par un. Si je sais faire, ça craint ... Ce sera long. Il doit y avoir une asrtuce pour transférer tout le dossier.
Malekal_morte-
Messages postés
159856
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur
Dernière intervention
7 décembre 2018
> Trofou
Messages postés
16
Date d'inscription
vendredi 30 novembre 2018
Dernière intervention
6 décembre 2018
-
ok :)

Regarde la doc officielle : https://support.mozilla.org/fr/kb/passer-thunderbird
Sinon faudrait créer un sujet dans la partie messagerie du forum.
Trofou
Messages postés
16
Date d'inscription
vendredi 30 novembre 2018
Dernière intervention
6 décembre 2018
-
Pas de chance. Je l'avais consulté. Mais l'additif MoreFunctionsForAddressBook ne fonctionne pas sur ma version de Thunderbird. Dommage, car il est supposé permettre à ce dernier de comprendre le langage archaïque de Windows Live Mail.

Encore merci pour tout. J'ai terminé. Pour l'heure :)))
Malekal_morte-
Messages postés
159856
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur
Dernière intervention
7 décembre 2018
> Trofou
Messages postés
16
Date d'inscription
vendredi 30 novembre 2018
Dernière intervention
6 décembre 2018
-
de rien :)
Commenter la réponse de Malekal_morte-