> Tous les forums > Forum Sécurité
 Alerte Patrol sur BDR (.reg) MBAM dit Malware ?Sujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
Joekid33
  Posté le 25/06/2011 @ 10:49 
Aller en bas de la page 
Astucien

Bonjour,

Sous W7 - j'ai une alerte qui m'inquiète un peu ! Je suis adm. du

syst. et tout désactivé !

Les scans classiques tels que RSIT / ZHPDiag ne signalent rien de spécifique

hormis ceci, en fonction de ce que j'écris plus haut !

"EnableLUA"=0 => Désactive le contrôle de compte d'utilisateur
"EnableUIADesktopToggle"=0 => Disable Vista UIAccess applications (UAC)
"PromptOnSecureDesktop"=0 => Changement impossible de bureau quand on élève les privilèges
"NoActiveDesktop"=1 => Disable Active Desktop
"NoActiveDesktopChanges"=1 => Users can't enable, disable, and configure Active desktop

Info (5)

Voici l'alerte en question - en répondant OUI (j'ai pris le risque) -->> Mbam me trouve un malware -

en répondant NON (situation actuelle) le message revient régulièrement !

et le rapport détaché de Mbam :

Elément(s) de données du Registre infecté(s):
HKEY_CLASSES_ROOT\scrfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: (NOTEPAD.EXE %1) Good: ("%1" /S) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: (NOTEPAD.EXE %1) Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

Une idée sur l'action pour comprendre et entreprendre cette infection si toutefois elle existe.

Merci

ps - je suis du genre casse-cou et utilise des logiciels non recommandés (pas de P2P) mais des log. comme MsiAfterBurner, qui ne signifie

pas pour autant que le problème soit en rapport !




Modifié par Joekid33 le 25/06/2011 10:51
Publicité
Anonyme
 Posté le 25/06/2011 à 15:32 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien
Message original par Joekid33

> Les scans classiques tels que RSIT / ZHPDiag ne signalent rien de spécifique

Bonjour,

> Poste le rapport RSIT.

A+

Joekid33
 Posté le 25/06/2011 à 15:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Fichier joint : rsit 230611.txt

Bonjour et merci - s'agit d'un rapport du 230611- çà ira ? fredericx



Modifié par Joekid33 le 25/06/2011 15:37
Anonyme
 Posté le 25/06/2011 à 15:52 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien
Message original par Joekid33

> Elément(s) de données du Registre infecté(s):
HKEY_CLASSES_ROOT\scrfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: (NOTEPAD.EXE %1) Good: ("%1" /S) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: (NOTEPAD.EXE %1) Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

Re,

> Cela m' a fait penser rapidement à ça :

Télécharge UsbFix (merci El Desaparecido) : Ici

# Connecte tous tes périphériques externes (clé Usb, disque dur...), sans les ouvrir
# Double-clique sur le raccourci présent sur le Bureau
# Choisis l' option 1 (Recherche) et laisse-le travailler
# Poste le rapport (également sauvegardé à la racine de C:)

process.exe est détecté par certains antivirus (AntiVir, Dr. Web, Kaspersky Anti-Virus...) comme étant un RiskTool. Il ne s' agit pas d' un virus, mais d' un utilitaire destiné à mettre fin des processus. Mis entre de mauvaises mains il pourrait arrêter des logiciels de sécurité (antivirus, firewall...), d' où l' alerte émise.

Edit : Ortho



Modifié par Anonyme le 25/06/2011 16:02
Joekid33
 Posté le 25/06/2011 à 16:01 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

- ok fredericx - rapport usbfix

############################## | UsbFix 7.048 | [Recherche]

Utilisateur: user (Administrateur) # USER-PC [MSI MS-7592]
Mis à jour le 11/06/2011 par TeamXscript
Lancé à 15:58:39 | 25/06/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com

CPU: Pentium(R) Dual-Core CPU E6500 @ 2.93GHz
CPU 2: Pentium(R) Dual-Core CPU E6500 @ 2.93GHz
Microsoft Windows 7 Professionnel (6.1.7601 64-Bit) # Service Pack 1
Internet Explorer 9.0.8112.16421

Pare-feu Windows: Activé
RAM -> 4095 Mo
C:\ (%systemdrive%) -> Disque fixe # 82 Go (43 Go libre(s) - 53%) [] # NTFS
D:\ -> Disque fixe # 32 Go (11 Go libre(s) - 34%) [Nouveau nom] # NTFS
E:\ -> CD-ROM
F:\ -> Disque fixe # 184 Go (153 Go libre(s) - 83%) [Nouveau nom] # NTFS

################## | Éléments infectieux |


################## | Registre |


################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\E
Shell\AutoRun\Command = E:\DVDSetup.exe


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

Anonyme
 Posté le 25/06/2011 à 16:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

# Connecte tous tes périphériques externes, sans les ouvrir
# Double-clique sur le raccourci d' UsbFix
# Choisis l' option 2 (Suppression)
# Ton bureau va disparaître et le Pc redémarrer
# Laisse-le travailler
# Poste le rapport

Joekid33
 Posté le 25/06/2011 à 16:11 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

- suppression -

############################## | UsbFix 7.048 | [Suppression]

Utilisateur: user (Administrateur) # USER-PC [MSI MS-7592]
Mis à jour le 11/06/2011 par TeamXscript
Lancé à 16:06:34 | 25/06/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com

CPU: Pentium(R) Dual-Core CPU E6500 @ 2.93GHz
CPU 2: Pentium(R) Dual-Core CPU E6500 @ 2.93GHz
Microsoft Windows 7 Professionnel (6.1.7601 64-Bit) # Service Pack 1
Internet Explorer 9.0.8112.16421

Pare-feu Windows: Activé
RAM -> 4095 Mo
C:\ (%systemdrive%) -> Disque fixe # 82 Go (43 Go libre(s) - 53%) [] # NTFS
D:\ -> Disque fixe # 32 Go (11 Go libre(s) - 34%) [Nouveau nom] # NTFS
E:\ -> CD-ROM
F:\ -> Disque fixe # 184 Go (153 Go libre(s) - 83%) [Nouveau nom] # NTFS

################## | Éléments infectieux |

Supprimé! C:\$RECYCLE.BIN\S-1-5-21-3044232652-1423508079-845372532-1000
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-3044232652-1423508079-845372532-1000
Supprimé! F:\$RECYCLE.BIN\S-1-5-21-3044232652-1423508079-845372532-1000

################## | Registre |


################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\E

################## | Listing |

[25/06/2011 - 16:06:48 | SHD ] C:\$Recycle.Bin
[09/04/2011 - 16:27:44 | N | 14441] C:\Ad-Report-CLEAN[1].txt
[10/04/2011 - 15:36:54 | N | 8759] C:\Ad-Report-CLEAN[2].txt
[07/05/2011 - 10:50:09 | N | 6646] C:\Ad-Report-CLEAN[3].txt
[12/06/2011 - 17:23:50 | N | 9239] C:\Ad-Report-CLEAN[4].txt
[15/06/2011 - 21:05:47 | N | 5830] C:\Ad-Report-CLEAN[5].txt
[24/06/2011 - 07:02:05 | N | 5994] C:\Ad-Report-CLEAN[6].txt
[09/04/2011 - 16:26:16 | N | 14230] C:\Ad-Report-SCAN[1].txt
[10/04/2011 - 15:34:17 | N | 8685] C:\Ad-Report-SCAN[2].txt
[06/05/2011 - 23:54:04 | N | 3121] C:\Ad-Report-SCAN[3].txt
[07/05/2011 - 10:47:59 | N | 6672] C:\Ad-Report-SCAN[4].txt
[12/06/2011 - 17:21:03 | N | 9461] C:\Ad-Report-SCAN[5].txt
[15/06/2011 - 21:04:22 | N | 5799] C:\Ad-Report-SCAN[6].txt
[19/06/2011 - 19:01:09 | N | 5818] C:\Ad-Report-SCAN[7].txt
[24/06/2011 - 07:00:29 | N | 5883] C:\Ad-Report-SCAN[8].txt
[11/03/2011 - 16:09:19 | D ] C:\AMD
[04/06/2011 - 19:07:12 | D ] C:\ATI
[12/06/2011 - 17:46:41 | D ] C:\Boot
[20/11/2010 - 14:40:07 | RASH | 383786] C:\bootmgr
[11/03/2011 - 15:54:32 | N | 8192] C:\BOOTSECT.BAK
[14/07/2009 - 07:08:56 | SHD ] C:\Documents and Settings
[20/05/2011 - 20:35:15 | D ] C:\Downloads
[11/03/2011 - 16:04:25 | N | 204528] C:\grldr
[25/06/2011 - 11:02:07 | ASH | 3220627456] C:\hiberfil.sys
[28/05/2011 - 22:53:03 | D ] C:\iolo
[10/04/2011 - 18:24:32 | D ] C:\MoTemp
[12/03/2011 - 12:05:12 | RHD ] C:\MSOCache
[25/06/2011 - 11:02:08 | ASH | 4294172672] C:\pagefile.sys
[25/06/2011 - 11:01:29 | N | 13030] C:\PDOXUSRS.NET
[14/07/2009 - 05:20:08 | D ] C:\PerfLogs
[23/06/2011 - 21:45:43 | N | 512] C:\PhysicalDisk0_MBR.bin
[12/06/2011 - 17:36:30 | D ] C:\Program Files
[24/06/2011 - 07:29:39 | D ] C:\Program Files (x86)
[17/06/2011 - 15:46:07 | HD ] C:\ProgramData
[11/03/2011 - 16:02:28 | SHD ] C:\Recovery
[25/04/2011 - 16:52:41 | D ] C:\rsit
[24/06/2011 - 07:29:33 | SHD ] C:\System Volume Information
[25/06/2011 - 16:07:05 | D ] C:\UsbFix
[25/06/2011 - 16:06:35 | A | 3295] C:\UsbFix.txt
[27/05/2011 - 22:05:25 | D ] C:\Users
[25/06/2011 - 11:24:52 | D ] C:\Windows
[25/06/2011 - 16:06:48 | SHD ] D:\$RECYCLE.BIN
[02/04/2011 - 09:12:48 | N | 528] D:\MediaID.bin
[12/06/2011 - 15:30:22 | SHD ] D:\System Volume Information
[31/05/2011 - 22:00:37 | D ] D:\USER-PC
[02/04/2011 - 09:15:01 | D ] D:\WindowsImageBackup
[25/06/2011 - 16:06:48 | SHD ] F:\$RECYCLE.BIN
[13/04/2011 - 20:22:23 | N | 1520] F:\Cabrel CD1 Double tour.PLS
[07/05/2011 - 16:25:57 | N | 44558665] F:\Jumelle de Lynda Lemay.f4v
[13/04/2011 - 21:38:31 | N | 35150025] F:\Jumelle de Lynda Lemay.mp4
[12/06/2011 - 15:31:38 | N | 528] F:\MediaID.bin
[14/06/2011 - 22:10:39 | D ] F:\Sauvegarde OCSTER du vdi 27 mai 2011
[21/04/2011 - 20:27:05 | N | 13456333] F:\St. Germain - Rose Rouge (Taksu Remix - Rhadoo Edit) HD Audio.flv
[12/06/2011 - 16:30:49 | SHD ] F:\System Volume Information
[12/06/2011 - 15:32:03 | D ] F:\USER-PC

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
D:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
F:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_USER-PC.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.

################## | E.O.F |

_____________________________________________________________________



Modifié par Joekid33 le 25/06/2011 16:33
Anonyme
 Posté le 25/06/2011 à 18:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien
Joekid33
 Posté le 25/06/2011 à 19:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

fredericx a écrit :

Fais un scan antivirus avec Eset.
Tuto : https://forum.pcastuces.com/eset_online_scanner___nouvelle_version___tutoriel-f31s56.htm
Poste le rapport.

aïe ! même avec IE9 - + Antivir désactivé ! je n'ai pas choisi proxy dans la connexion ?

A suivre ! merci

Publicité
Morgane
 Posté le 25/06/2011 à 19:40 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Maîtresse astucienne

Bonjour Joekid, fredericx,

La case est décochée ?



Modifié par Morgane le 25/06/2011 19:42
Joekid33
 Posté le 25/06/2011 à 21:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Oui, Morgane, décoché par défaut ! Relancé fini en 0 seconde !!!

J'ai trouvé le pbl -- bloqué par le pare-feu W7 firewal Control - pas eu de msg au 1er essai

mais là oui - le scan tourne - Antivir désactivé - je reviens quand c'est fini

A de suite !

Joekid33
 Posté le 25/06/2011 à 22:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

toujours en cours de scan ! 54 % -

1 menace découverte ! --Win32 Adware ADON -

à suivre !

Joekid33
 Posté le 26/06/2011 à 00:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Terminé à 0 h 02 ! - Impossible de mettre la main sur le fichier texte !

Anonyme
 Posté le 26/06/2011 à 10:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien
Joekid33 a écrit :

> Impossible de mettre la main sur le fichier texte !

Bonjour,

> C:\Program Files\ESET Online Scanner\log.txt ou C:\Program Files (x86) \ESET Online Scanner\log.txt

A+

Joekid33
 Posté le 26/06/2011 à 10:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

fredericx,

Oui bien vu le tuto de Morgane, mais pas de rapport - J'ai relancé la manip Eset ce matin,

toujours pas de rapport sur les .txt - J'ai juste ce rapport :

C:\Users\user\Downloads\Unlocker1.9.1.exe Win32/Adware.ADON application

soit la capture suivante - le programme est tjrs ouvert ...

merci - à suivre

Anonyme
 Posté le 26/06/2011 à 11:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien
Joekid33 a écrit :

> C:\Users\user\Downloads\Unlocker1.9.1.exe Win32/Adware.ADON application

Re,

> C' est certainement un faux-positif.

1) Télécharge :
CCleaner : Ici
Lance-le puis clique sur Options>Avancé et décoche Effacer uniquement les fichiers Temp de Windows datant de plus de 24 heures. Ferme le programme.

2) Lance CCleaner :
Dans le menu Nettoyeur, clique sur Analyse (laisse-le travailler) puis sur le bouton Lancer le nettoyage.
Fais cela plusieurs fois.

Joekid33
 Posté le 26/06/2011 à 11:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Ok fait pour Ccleaner que je possède bien évidemment - ok,lancé 4 fois ... très rapide chez moi !

Voilà, je pense que c'est fini - merci à toi et à Morgane pour votre aide

Bon Dimanche

Publicité
Anonyme
 Posté le 26/06/2011 à 13:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Si tout est ok :

  • Je te conseille de défragmenter ton Pc.
  • Tu peux supprimer ceux que nous avons utilisés (RSIT, UsbFix...) traitant d' infections spécifiques.

----------------------------------------------------------------------------------------------

Maintenant que ta machine n' est plus infectée, désactive/réactive la Restauration du système : http://www.infos-du-net.com/forum/297053-11-tuto-desactiver-activer-restauration-systeme

----------------------------------------------------------------------------------------------

Pour la Sécurité de ton Pc, prends quelques minutes pour lire : Prévention et protection - Comment vous prémunir

----------------------------------------------------------------------------------------------

Dénonce stv ton infection en postant sur Malware-Complaints :

- Règles du forum : http://www.malwarecomplaints.info/viewtopic.php?t=5
- Enregistre-toi à l' aide du bouton Register
- Choisis I Agree to these terms and am over or exactly 13 years of age

Indique aussi le nom du forum qui t' a aidé

Ps : Bon dimanche également

Joekid33
 Posté le 26/06/2011 à 14:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

fredericx - ok

- défragm. en cours

- logiciels à jour :

rest/ arrêt/reprise

logs de contrôles supprimés usbfix, rsit, eset

reste dernière action que je n'ai pas faite, je verrai + tard si d'autres infections

encore merci



Modifié par Joekid33 le 26/06/2011 14:17
Page : [1] 
Page 1 sur 1

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
76,49 €Chaise de bureau ergonomique Songmics à 76,49 €
Valable jusqu'au 26 Septembre

Amazon fait une promotion sur la chaise de bureau Songmics OBN37WT qui passe à 76,49 € livrée gratuitement, au lieu de 90 €. Cette chaise en tissu maillé est ajustable en hauteur, possède une assise rembourrée, un support lombaire et des accoudoirs rabattables. Existe également en noire.

  • Accoudoirs rabattables. Faites glisser la chaise sous votre bureau pour économiser de l'espace.
  • Pied en acier robuste avec roulettes en nylon pour assurer une excellente stabilité jusqu'à 120 kg
  • Fonction d'inclinaison jusqu’à 15°. Force de résistance réglable.
  • Toile respirante


> Voir l'offre
173,90 €Casque sans fil à réduction de bruit Sony WH-1000XM3 (Hi-Res Audio, Bluetooth/NFC) à 173,90 € livré
Valable jusqu'au 25 Septembre

Amazon Italie propose actuellement le casque sans fil à réduction de bruit et Hi-Res Audio Sony WH-1000XM3 à 168,19 €. Comptez 5,71 € pour la livraison en France soit un total de 173,90 € livré. On le trouve ailleurs à partir de 260 €. Jusqu'à 30h d'autonomie avec la fonction de réduction de bruit activée et fonction Quick Attention pour réduire instantanément le volume de votre musique et pouvoir suivre une conversation. Une superbe affaire !

Vous pouvez utiliser le compte Amazon FR sur Amazon IT et il n'y a pas de douane.


> Voir l'offre
205,67 €Ecran 27 pouces LG Ultragear 27GN650-B (FHD, IPS, 1 ms, 144 Hz) à 205,67 € livré
Valable jusqu'au 25 Septembre

Amazon Italie fait une promotion sur l'écran LG Ultragear 27GN650-B qui passe à 196,71 € (avec la TVA ajustée). Comptez 8,96  € pour la livraison en France soit un total de 205,67 € livré. On le trouve à 280 € ailleurs. Cet écran possède une dalle 27 pouces FHD (1920x1080) IPS à 144 Hz, un temps de réponse de 1 ms. Il est compatible FreeSync et GSync.

Vous pouvez utiliser votre compte Amazon FR sur Amazon IT et il n'y a pas de douane.


> Voir l'offre

Sujets relatifs
Alerte freeMakeVideoConverter sur PCAstuces : Malware
alerte MBAM
alerte malware sur windows ?
alerte avec malware bytes sur PC tout neuf
Erreur de mise à jour MBAM
problème MAJ de MBAM
Bilan MBAM/ZHPDiag
Nouveauté : Emsisoft Emergency Kit 10 : Anti-Malware gratuit.....
comment supprimer un malware coriace
Alerte AVAST - URL:Mal svchost.exe
Plus de sujets relatifs à Alerte Patrol sur BDR (.reg) MBAM dit Malware ?
 > Tous les forums > Forum Sécurité