demandes d'analyse

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

demandes d'analyse

Messagepar bof2 » 29 Oct 2009 13:46

Bonjour à toutes et à tous.
Malwarebytes' Anti-Malware m'a trouvé ceci :

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3051
Windows 6.0.6002 Service Pack 2 (Safe Mode)

29/10/2009 11:37:32
mbam-log-2009-10-29 (11-37-30).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 180778
Temps écoulé: 22 minute(s), 38 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\firefox.exe (Security.Hijack) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
C'est pouquoi je vous met le log de HijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:07:28, on 29/10/2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18828)
Boot mode: Safe mode

Running processes:
C:\Windows\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVGLS\Toolbar\IEToolbar.dll
O1 - Hosts: ::1 localhost
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVGLS\Toolbar\IEToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.3.4501.1418\swg.dll
O2 - BHO: PDF-XChange Viewer IE-Plugin - {C5D07EB6-BBCE-4DAE-ACBB-D13A8D28CB1F} - C:\Program Files\Tracker Software\PDF Viewer\PDFXCviewIEPlugin.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_C5284CC30AB3000E.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Program Files\AVG\AVGLS\Toolbar\IEToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [MSSE] "c:\Program Files\Microsoft Security Essentials\msseces.exe" -hide
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVGLS\avgtray.exe
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [Windows7FirewallControl] C:\Program Files\Windows7FirewallControl\Windows7FirewallControl.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: MRU-Blaster Scheduler.lnk = C:\Program Files\MRU-Blaster\scheduler.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_C5284CC30AB3000E.dll
O23 - Service: AVG LinkScanner® WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVGLS\avgwdsvc.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PrismXL - New Boundary Technologies, Inc. - C:\Program Files\Common Files\New Boundary\PrismXL\PRISMXL.SYS
O23 - Service: Windows7FirewallService - Sphinx Software - C:\Program Files\Windows7FirewallControl\Windows7FirewallService.exe

--
End of file - 4962 bytes
J'ai supprimer ce que malware m'a dit , mais je ne sais pas si je suis plus ou moins sécuriser mais bon on ne peut pas être à 100 % comme vous dite c'est pour cela que je vous demande une anlyse en vous remerciant pour la patiente que vous prendrez
Property Value
Name Windows Vista Home Basic Service Pack 2
Features Terminal Services in Remote Admin Mode, Multiprocessor Free, OEM-Version
Avatar de l’utilisateur
bof2
 
Messages: 8
Inscription: 30 Sep 2009 09:41
Localisation: AIN

Re: demandes d'analyse

Messagepar Ogu » 29 Oct 2009 18:56

Salut àtoi!

Ce n'est pas un virus mais une erreur de Malwarebytes: cette clé a été créée par tes soins afin d'activer StripMYRights pour Firefox: si tu as encore l'exécutable StripMYRights,tu ne dois donc plus pouvoir utiliser Firefox. Peux-tu me confirmer?

J'ai déjà prévenu les services de MBAM de ce faux-positif il y a plusieurs jours, mais je n'ai eu aucun retour (Falkra, si tu passes par ce topic...).

Et ton log HijackThis est propre (à l'exception des toolbars, mais ce ne sont pas des virus) ;) !

A+
Image
Avatar de l’utilisateur
Ogu
Modérateur
Modérateur
 
Messages: 1372
Inscription: 27 Avr 2006 13:40
Localisation: 93

Re: demandes d'analyse

Messagepar Falkra » 29 Oct 2009 19:46

J'ai déjà prévenu les services de MBAM de ce faux-positif il y a plusieurs jours, mais je n'ai eu aucun retour (Falkra, si tu passes par ce topic...).
Je l'ai signalé, mais c'est passé à la trappe, car rien de légitime n'est connu pour ça (sauf justement SMR, dont je leur ai parlé, mais comme très peu l'utilisent ils ont laissé).

Solution pour MBAM : demander d'ignorer, via le bouton dédié, et il ne s'en occupera plus. :wink:
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: demandes d'analyse

Messagepar bof2 » 29 Oct 2009 20:48

Je vous remercie ogu et Falkra pour les réponses effectivement , j'ai suivi sur le site securiser firefox et effectivement comme tu dit ogu je ne peut plus m'en servir mais je vais le remettre . je vous souhaite une bonne soirée .
Property Value
Name Windows Vista Home Basic Service Pack 2
Features Terminal Services in Remote Admin Mode, Multiprocessor Free, OEM-Version
Avatar de l’utilisateur
bof2
 
Messages: 8
Inscription: 30 Sep 2009 09:41
Localisation: AIN

Re: demandes d'analyse

Messagepar Ogu » 29 Oct 2009 21:38

Ok!

Il suffit de fusionner cette clé:
Code: Tout sélectionner
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\firefox.exe]
"Debugger"="StripMyRights.exe /D /L N"
Image
Avatar de l’utilisateur
Ogu
Modérateur
Modérateur
 
Messages: 1372
Inscription: 27 Avr 2006 13:40
Localisation: 93


Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités