Se connecter avec
S'enregistrer | Connectez-vous
Votre question

Virus ou Rootkit "Malware.Trace"

Dernière réponse : dans Sécurité et virus
Partagez
12 Septembre 2012 11:56:18

Bonjour,

Depuis quelques temps, certaines pages web ne s'affichent plus et à chaque fois que je veux faire un accent circonflexe, voilà ce qui se passe : ^^e (deux accents suivis de la lettre sur laquelle je voulais l'accent).
J'ai fait un scan rapide puis un scan complet avec Avast. Il n'a rien détecté.
J'ai fait une analyse Spybot Search& Destroy. Ce dernier a trouvé quelques spams qui ont été supprimés.
Malgré cela mes problèmes n'étaient toujours pas résolus alors j'ai lu diverses réactions sur des forums tels que celui-ci et j'ai pu voir qu'il s'agissait bien d'un virus ou d'un rootkit.
J'ai donc installé Malwarebytes et fait un scan. Il a détecté un virus ou rootkit nommé "Malware.Trace". J'arrive à le supprimer mais il revient toujours.
J'ai déjà essayé une analyse/suppression en mode sans échec avec Malwarebytes, rien à faire.
J'ai aussi fait une analyse avast au démarrage, tout est redevenu normal pendant dix minutes (malwarebytes ne détectait plus aucune menace) et puis de nouveau....

Je ne sais plus que faire. Mon pc est neuf (acheté il y a moins d'une semaine), c'est un Asus. J'ai désinstallé McFee antivirus pour remettre Avast (que je connais bien et qui ne m'envahit pas de messages en permanence).
Je suis sous windows seven.

Merci de votre aide.

Autres pages sur : virus rootkit malware trace

12 Septembre 2012 12:03:40

Si ça peut ^^etre utile, voici l'analyse Malwarebytes avant suppression du rootkit (car pour moi, c'est plut^^ot un rootkit) qui revient :

Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Version de la base de données: v2012.09.07.13

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Marc :: MARC-PC [administrateur]

12/09/2012 12:00:50
mbam-log-2012-09-12 (12-01-47).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 215592
Temps écoulé: 45 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1
HKCU\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> Aucune action effectuée.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)


a b 8 Sécurité
12 Septembre 2012 15:49:45

Bonjour,

Citation :
HKCU\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> Aucune action effectuée.

Tu es certain de bien le supprimer ?

Après ça te dit quelque chose "VB and VBA Program Settings" ? si tu relances ce programme à chaque fois, normal que ça revienne.
Contenus similaires
12 Septembre 2012 22:10:21

Merci de vous intéresser à mon problème.

Oui je suis certain de bien le supprimer à chaque fois. Dans mon message précédent c'est le bilan MBAM avant suppression que j'ai collé.

J'ai toujours des problème d'affichages de page web (les images ne s'affichent pas, parfois des sites complets ne s'affichent pas alors qu'ils fonctionnent sur un autre pc), le problème du ^^ (double accent circonflexe).
Je n'arrivais m^^eme pas à poster une réponse ici. Je viens d'installer firefox et gr^^ace à ça, j'ai pu posté cette réponse.

Sinon, voici le bilan MBAM après suppression :

Malwarebytes Anti-Malware (Essai) 1.65.0.1400
www.malwarebytes.org

Version de la base de données: v2012.09.07.13

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Marc :: MARC-PC [administrateur]

Protection: Activé

12/09/2012 22:14:32
mbam-log-2012-09-12 (22-14-32).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 215890
Temps écoulé: 46 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1
HKCU\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

a b 8 Sécurité
13 Septembre 2012 11:05:13

On peut toujours vérifier alors.

  • Télécharge OTL (de Old Timer) sur ton Bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche Avec liste blanche sous Registre: approfondi.
  • Fais de même pour celle devant Tous les utilisateurs.

  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut :
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Rq : Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse. En ças de problème, voir cette aide à l'utilisation ici.
    13 Septembre 2012 18:50:15

    Voici les liens vers les fichiers résultants de cette analyse OST :

    Le premier (Extras) : http://pjjoint.malekal.com/files.php?id=20120913_d10b12...

    Le second (OST) : http://pjjoint.malekal.com/files.php?id=20120913_g11p12...

    Mes problèmes d'affichage de pages web (images ou sites complets) semblent résolus et j'arrive de nouveau à faire des ê, des â, ô, û âââ mais MBAM détecte toujours le malware. Je pense donc que cette résolution n'est que temporaire.

    En tout cas merci pour la clarté de vos instructions.
    16 Septembre 2012 01:16:03

    marc page a dit :
    Voici les liens vers les fichiers résultants de cette analyse OST :

    Le premier (Extras) : http://pjjoint.malekal.com/files.php?id=20120913_d10b12...

    Le second (OST) : http://pjjoint.malekal.com/files.php?id=20120913_g11p12...

    Mes problèmes d'affichage de pages web (images ou sites complets) semblent résolus et j'arrive de nouveau à faire des ê, des â, ô, û âââ mais MBAM détecte toujours le malware. Je pense donc que cette résolution n'est que temporaire.

    En tout cas merci pour la clarté de vos instructions.


    Que dois-je faire maintenant s'il vous pla^^it ? Le malware est toujours présent, il m'est toujours impossible de le supprimr définitivement et le probleme des ^^^^ est revenu.

    a b 8 Sécurité
    16 Septembre 2012 16:33:09

    J'ai des prob de connexion dsl.
    Tu devrais lire : http://forum.malekal.com/les-toolbars-est-pas-obligatoi...

    • Relance OTL.exe
    • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
      /!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\
    • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche :

      :OTL
      O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
      O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
      O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {977AE9CC-AF83-45E8-9E03-E2798216E2D5} - No CLSID value found.
      O4 - HKLM..\Run: [Tutorials] File not found
      O4 - HKCU..\Run: [iap] C:\Users\Marc\AppData\Roaming\iaa\ias.exe (esquimaux tisent)
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoControlPanel = 0
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
      O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 0
      O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

      :Files
      C:\Users\Marc\AppData\Roaming\iaa

      :Commands
      [emptytemp]
      [resethosts]

    • Puis clique sur le bouton Correction en haut à gauche.
    • Le pc va redémarrer (si ce n'est pas le cas, fais-le manuellement).
    • Poste le rapport de suppression s'il apparait.

  • Note : le rapport est enregistré sous format .log, il convient de changer cette extension en .txt si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure.
    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter