Infection Alpha Antivirus : comment le supprimer? • page 2

[Pac428]

Fais quand-même tourner MBAM, chui pas tranquille.
Quand on sera sûr, tu devrais utiliser plutôt FireFox que IE.
Je dis ça ...

++

[Célia11]

ok ça marche

[danakil]

Salut à tous !

Même si cela va bien maintenant avant le futur redémarrage du PC, il y a encore les infections SD et Navipromo à régler ...
Je termine de regarder l'ensemble des rapports et je poste une procédure.
Patiente stp !

[Célia11]

Je viens de rallumer le PC. Pas d'Alpha AV en vue.
Je patiente pour les prochaines instructions
Merci !

[danakil]

OK !
Surprise, sur ton PC Alpha se planque sous une affirmation générique :
Trojan-FakeAlert
Donc on reste en alerte !
Question --> As-tu réalisé la suppression des éléments déclarés par Mbam? > Si oui le rapport stp.


Fait cela maintenant :
C:Documents and SettingsJulianBureauHiJackThis(2).exe <-- supprime ce fichier en gras.
Il est sur le Bureau, donc considéré comme étant dans un fichier temporaire ne pouvant voir l'ensemble des éléments du Registre.

Applique cette procédure HijackThis :
Télécharge HJTInstall.exe sur ton Bureau.
> double-clics sur le fichier HJTInstall.exe afin de le lancer.
Il te proposera de l'installer par défaut dans Program Files >> Accepte
> Dans la nouvelle fenêtre sélectionne : Do a system scan and save a logfile
Tu vas obtenir un rapport >> copie le et colle le moi ici en réponse.

Ainsi je verrai le tool à utiliser en priorité

[Célia11]

Le rapport de BDAM est sur la 1ere page, juste avant celui de HiJackThis

[Célia11]

Voici le rapport:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:00:36, on 23/09/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesAviraAntiVir Desktopsched.exe
C:Program FilesAviraAntiVir Desktopavguard.exe
C:Program FilesFichiers communsAppleMobile Device SupportinAppleMobileDeviceService.exe
C:Program FilesBonjourmDNSResponder.exe
C:Program FilesMicrosoftSearch Enhancement PackSeaPortSeaPort.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32SearchIndexer.exe
C:WINDOWSExplorer.EXE
C:WINDOWSSOUNDMAN.EXE
C:Program FilesAviraAntiVir Desktopavgnt.exe
E:JulianMes documentsItunesiTunesHelper.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesWindows LiveMessengermsnmsgr.exe
C:Program FilesWindows Desktop SearchWindowsSearch.exe
C:Documents and SettingsJulianApplication DataMicrosoftNotification de cadeaux MSNlsnfier.exe
C:Program FilesiPodiniPodService.exe
C:Program FilesWindows LiveContactswlcomm.exe
C:WINDOWSMicrosoft.NETFrameworkv3.0Windows Communication Foundationinfocard.exe
C:Program FilesMozilla Firefoxfirefox.exe
C:WINDOWSsystem32SearchProtocolHost.exe
C:Program FilesTrend MicroHijackThisHijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://www.shareware-fr.com/fr/index.php?rvs=hompag
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.fr/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://www.shareware-fr.com/fr/index.php?rvs=hompag
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.shareware-fr.com/fr/index.php?rvs=hompag
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:Program FilesFichiers communsAdobeAcrobatActiveXAcroIEHelperShim.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:Program FilesMicrosoftSearch Enhancement PackSearch HelperSEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:Program FilesFichiers communsMicrosoft SharedWindows LiveWindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:Program FilesWindows LiveToolbarwltcore.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:Program FilesWindows LiveToolbarwltcore.dll
O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM..Run: [avgnt] "C:Program FilesAviraAntiVir Desktopavgnt.exe" /min
O4 - HKLM..Run: [Adobe Reader Speed Launcher] "C:Program FilesAdobeReader 9.0ReaderReader_sl.exe"
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [iTunesHelper] "E:JulianMes documentsItunesiTunesHelper.exe"
O4 - HKLM..Run: [Malwarebytes Anti-Malware (reboot)] "C:Program FilesMalwarebytes' Anti-Malwarembam.exe" /runcleanupscript
O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [msnmsgr] "C:Program FilesWindows LiveMessengermsnmsgr.exe" /background
O4 - Startup: Adobe Media Player.lnk = C:Program FilesAdobe Media PlayerAdobe Media Player.exe
O4 - Startup: Notification de cadeaux MSN.lnk = C:Documents and SettingsJulianApplication DataMicrosoftNotification de cadeaux MSNlsnfier.exe
O4 - Global Startup: Windows Search.lnk = C:Program FilesWindows Desktop SearchWindowsSearch.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:PROGRA~1MICROS~2Office12EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:Program FilesWindows LiveWriterWriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:Program FilesWindows LiveWriterWriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~2Office12REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 0665504953
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:Program FilesAviraAntiVir Desktopsched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:Program FilesAviraAntiVir Desktopavguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:Program FilesFichiers communsAppleMobile Device SupportinAppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:Program FilesBonjourmDNSResponder.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:Program FilesiPodiniPodService.exe
O23 - Service: Ma-Config Service (maconfservice) - Unknown owner - E:JulianMes documentsConfigurationmaconfservice.exe (file missing)

--
End of file - 6184 bytes

[danakil]

Yep je l'ai vu ...
No action taken. >> Aucune action faite <-- c'est la traduction

D'où ma question :
As-tu cliqué sur le bouton "Supprimer la sélection"?
Si oui alors tu dois avoir un nouveau rapport.

Edit :
OK pour HijackThis !
Je cible cela et je poste sous peu ...

[Célia11]

J'ai relancé l'examen rapide de MBAM. J'espere que ça ne prendra pas trop de temps.

[danakil]

2 ou 3 minutes !
Bon réflexe

[Célia11]

Je pense que ça prendra un peu plus de temps.. On est à 7 min..

Dans le premier examen complet, il a fallut plus d'1h30. Là, c'est un rapide dc bon .. lol

[danakil]

On prendra le temps.
C'est certainement dû à ce FakeAlert qui tente de berner Mbam ...
On l'aura la bestiole

[Célia11]

Hihi !!

Mon antivirus "Avira Antivir Personnel" vient de détecter un virus. Je lui ai refusé l'accès.

[Célia11]

Voila. L'examen est terminé et il me dit qu'aucun élément nuisible a été détecté et il me propose de cliquer sur le menu principal. J'attends les instructions

Rapport:

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2849
Windows 5.1.2600 Service Pack 3

23/09/2009 22:31:09
mbam-log-2009-09-23 (22-31-09).txt

Type de recherche: Examen rapide
Eléments examinés: 98773
Temps écoulé: 22 minute(s), 38 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

[danakil]

Ok !
On vérifie maintenant.

Télécharge GenProc de Narco~4 & JC1 sur ton Bureau et pas ailleurs.

> Double-clique sur GenProc.exe et poste le contenu du rapport qui s'ouvre.

Nota : pour les Vista : Double-clics est remplacé par --> Clic droit sur l'exécutable > Exécuter en tant qu'administrateur.