Se connecter / S'enregistrer
Votre question

Infection impossible a enlever

Tags :
  • Anti malware
  • Sécurité
Dernière réponse : dans Sécurité et virus
17 Avril 2011 16:34:36

Bonjour, depuis un certain temps, Malwarebytes Anty malwares détecte les mêmes infections malgré les suppressions et redémarrage. J'ai enregistrer le rapport afin que vous puissiez avoir un aperçu du problème:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6384

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

17/04/2011 16:29:26
mbam-log-2011-04-17 (16-29-22).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 184325
Temps écoulé: 8 minute(s), 32 seconde(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
c:\Windows\Temp\svhost.exe (Heuristics.Reserved.Word.Exploit) -> 2928 -> No action taken.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\DC3_FEXEC (Malware.Trace) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (PUM.Hijack.Regedit) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Windows\Temp\svhost.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
c:\Users\TRINITAS\AppData\Local\Temp\dclogs.sys (Stolen.Data) -> No action taken.


Y a t'il un moyen de s'en débarrasser définitivement? Merci

Autres pages sur : infection impossible enlever

a c 548 8 Sécurité
18 Avril 2011 15:32:10

Bonjour,

Le rapport indique que tu n'as pas supprimé les menace, tu le fait normalement ?


Pour voir :

1) Télécharge TDSSKiller de Kaspersky sur ton bureau.

  • Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)
  • Double clique sur "TDSSKiller.exe" pour lancer l'outil.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Clique alors sur le bouton "Start Scan".
  • Laisse le scan s'effectuer.

  • Dans la fenêtre de résultat :
  • Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
  • Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
  • Pour la partie "Suspicious object" laisse sur "Skip"
  • Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
  • Clique enfin sur "Continue"

  • Il te sera surement demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"

  • Au redémarrage va chercher le rapport de suppression, il se trouve ici :
    C:\ TDSSKiller.x.x.x.x_date_heure_log.txt

    Poste son contenu dans ta prochaine réponse.


    Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt. Copie/colle ici l'ensemble des rapports.
    PS : Les rapports sont aussi enregistrés sur le bureau

    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    19 Avril 2011 00:27:02

    Bonjour, merci pour la réponse. Avec TDSSKiller, il a rien trouvé. Donc j'imagine que Avast les a supprimé étant donné qu'il a fait un scan complet au démarrage de Windows.
    Contenus similaires
    a c 548 8 Sécurité
    19 Avril 2011 09:16:29

    Re,

    Je veux le rapport de scan de TDSSKiller quand même.

    Il me manque aussi les rapports OTL.txt et Extra.txt

    Sans cela, je ne peux rien dire ou faire.

    De plus tu n'as pas répondu à ma question :
    Citation :
    Le rapport indique que tu n'as pas supprimé les menace, tu le fait normalement ?


    [:_tom_:7]
    a c 548 8 Sécurité
    19 Avril 2011 16:08:47

    Re,

    Il est dangereux de désactiver l'UAC :
    Citation :
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
    O7 - HKU\S-1-5-21-18257868-767603174-3221412929-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0


    à lire :
    http://forum.malekal.com/uac-pourquoi-pas-desactiver-t2...


    Pour finir le ménage :

    Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Copie/colle ce qui suit dans le cadre Personnalisation en bas à gauche.
    :OTL
    MsConfig:64bit - StartUpFolder: C:^Users^TRINITAS^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^rundll32 .exe - - File not found
    MsConfig:64bit - StartUpReg: rundll32 - hkey= - key= - C:\Users\TRINITAS\AppData\Roaming\rundll32 .exe ()
    [2 C:\Windows\SysWow64\*.tmp files -> C:\Windows\SysWow64\*.tmp -> ]
    [2 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
    [1 C:\Users\TRINITAS\Desktop\*.tmp files -> C:\Users\TRINITAS\Desktop\*.tmp -> ]
    [1 C:\Users\TRINITAS\*.tmp files -> C:\Users\TRINITAS\*.tmp -> ]
    [2011/03/23 19:01:10 | 000,000,000 | ---D | C] -- C:\Users\TRINITAS\AppData\Local\{AB77EECB-723F-41EE-BCA8-3D56FC4A3244}
    [2011/03/22 21:23:05 | 000,000,000 | ---D | C] -- C:\Users\TRINITAS\AppData\Local\{E3787D29-1D6D-492F-A19F-57B6BD11A821}
    [2011/03/21 21:31:25 | 000,000,000 | ---D | C] -- C:\Users\TRINITAS\AppData\Local\{7E40EC55-C4E5-4015-8476-07B7E49AF60B}
    [2011/03/20 19:58:48 | 000,000,000 | ---D | C] -- C:\Users\TRINITAS\AppData\Local\{BE4A608E-66E0-4F39-A21E-EE307EDDE377}
    [2011/03/26 13:50:21 | 000,000,000 | ---D | C] -- C:\Users\TRINITAS\AppData\Local\{9AB3F4F3-901E-45AF-A6D2-33B4B8B3C281}
    [2011/03/25 22:23:14 | 000,000,000 | ---D | C] -- C:\Users\TRINITAS\AppData\Local\{779420CE-1C31-4AF2-987D-940C22865ACD}
    [2011/03/24 19:27:19 | 000,000,000 | ---D | C] -- C:\Users\TRINITAS\AppData\Local\{FE82C7C8-D098-4B17-94ED-B83C5D5D0B24}
    [2011/04/01 18:54:19 | 000,000,000 | ---D | C] -- C:\Users\TRINITAS\AppData\Local\{F82FDFEF-8036-4AF5-9B76-7C03A8EA6470}
    [2011/03/31 20:18:11 | 000,000,000 | ---D | C] -- C:\Users\TRINITAS\AppData\Local\{22560343-AEED-4E07-A9F5-54249622CF32}
    [2011/03/30 17:32:12 | 000,000,000 | ---D | C] -- C:\Users\TRINITAS\AppData\Local\{26365C4E-87F3-4BFD-B9FC-FA85419F346B}
    [2011/03/29 19:17:22 | 000,000,000 | ---D | C] -- C:\Users\TRINITAS\AppData\Local\{582EA590-B921-482A-BDB0-9DE663D09A92}
    [2011/03/28 17:04:32 | 000,000,000 | ---D | C] -- C:\Users\TRINITAS\AppData\Local\{A5D249C9-C845-4BFE-801F-AC98473FD5F9}
    [2011/03/27 13:51:22 | 000,000,000 | ---D | C] -- C:\Users\TRINITAS\AppData\Local\{B126F4A0-6695-4F98-9268-C6C6B5DDC055}
    [2011/03/27 01:50:46 | 000,000,000 | ---D | C] -- C:\Users\TRINITAS\AppData\Local\{6E1CF81A-8412-4991-9065-5133DF142506}
    [2011/04/03 13:42:29 | 000,000,000 | ---D | C] -- C:\Users\TRINITAS\AppData\Local\{4592E621-9F30-4C47-86A2-95A4FB84D901}
    [2011/04/02 15:52:17 | 000,000,000 | ---D | C] -- C:\Users\TRINITAS\AppData\Local\{6B0370B0-1089-4CA4-93C7-8B48183A0F9B}
    [2011/04/07 18:17:08 | 000,000,000 | ---D | C] -- C:\Users\TRINITAS\AppData\Local\{80CD9F6C-2377-4D59-A29B-9FD623BA9DB1}
    [2011/04/06 15:34:33 | 000,000,000 | ---D | C] -- C:\Users\TRINITAS\AppData\Local\{31B4EE9D-ECAB-4C95-AE7D-D0A9ACE48A03}
    [2011/04/05 20:29:01 | 000,000,000 | ---D | C] -- C:\Users\TRINITAS\AppData\Local\{CEF401C8-1FC1-428F-BC0B-7A2CADC1A714}
    [2011/04/04 20:29:40 | 000,000,000 | ---D | C] -- C:\Users\TRINITAS\AppData\Local\{A2AD3EE0-3907-4D88-8485-87F595E0A655}
    [2011/04/14 17:36:49 | 000,000,000 | ---D | C] -- C:\Users\TRINITAS\AppData\Local\{6932AA00-7229-4C85-8A52-51E28D85EA35}
    [2011/04/08 18:09:01 | 000,000,000 | ---D | C] -- C:\Users\TRINITAS\AppData\Local\{6DC5097E-2F26-49DA-83D8-D6F407FF02F2}
    [2011/04/15 12:59:43 | 000,000,000 | ---D | C] -- C:\Users\TRINITAS\AppData\Local\{6034B9D7-C2FB-40F5-AD2E-71A976541056}
    [2011/04/17 15:52:58 | 000,000,000 | ---D | C] -- C:\Users\TRINITAS\AppData\Local\{B87C59E2-C847-4396-961B-C20080599257}
    [2011/04/16 13:38:04 | 000,000,000 | ---D | C] -- C:\Users\TRINITAS\AppData\Local\{5D837CEB-1D82-4C49-A408-4A5A0EEB546B}
    [2011/04/19 12:31:55 | 000,000,000 | ---D | C] -- C:\Users\TRINITAS\AppData\Local\{54A61B61-66F2-49E8-90A0-2185E476DA8F}
    [2011/04/18 12:40:20 | 000,000,000 | ---D | C] -- C:\Users\TRINITAS\AppData\Local\{74A97A5A-5E67-4708-890A-7E0BB1D06EEE}
    [2011/04/03 17:34:58 | 000,073,728 | ---- | M] () -- C:\Users\TRINITAS\AppData\Roaming\chrtmp
    [2011/04/02 21:01:04 | 001,198,080 | -HS- | M] () -- C:\Users\TRINITAS\AppData\Roaming\rundll32 .exe
    @Alternate Data Stream - 1238 bytes -> C:\Program Files\Common Files\Microsoft Shared:AAQhdwHHduq3itI3EiVOWlMC
    @Alternate Data Stream - 1152 bytes -> C:\ProgramData\Microsoft:9dvXWZnS3VdpkXPB6X7No
    @Alternate Data Stream - 1078 bytes -> C:\ProgramData\Microsoft:crmX6buUmhqE7jaeFNTn

    :Commands
    [emptytemp]
    [emptyflash]
    [CREATERESTOREPOINT]


  • Puis clique sur le bouton Correction en haut à gauche
  • Si le pc demande à redémarrer accepte.
  • Poste le rapport de suppression.


    Tu peux refaire une passe de Malwarebyte's ensuite, en passant à la mettre à jour avant, voir s'il redétecte quelque chose.

    [:_tom_:7]
    a c 548 8 Sécurité
    19 Avril 2011 22:28:25

    Re,

    Ok,

    Tu as refait un scan MBAM comme demandé ?
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS