Scan log – MalwaresBytes 2015-05-06T17:10:57+00:00

Dépannage Informatique : Scan log – MalwaresBytes

  • Auteur
    Messages
  • apt
    Participant
    Nombre d'articles : 109

    Bonjour à tous,

    Au démarrage de mon PC, MalwaresBytes a effectué un scan, et il a généré une liste d’infection par des PUPs.

    Voila le rapport :

    http://cjoint.com/?3EgtyAFF282

    Merci d’avance.

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8416

    salut

    note : le rapport sera sur le bureau au nom de QuickDiag_date_heure.txt, et une copie du même nom sera disponible dans ton disque système ( logiquement C: )

  • apt
    Participant
    Nombre d'articles : 109
  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8416

    re

    c’est un truc qui te sert “Smadav” ?

  • apt
    Participant
    Nombre d'articles : 109

    Bonjour g3n-h@ckm@nو

    C’est un truc juste pour tester, mais je ne suis pas encore sur qu’il soit fiable !

    Ce qui m’a pousser à le tester, c’est quand j’ai utilisé ma clé USB chez un collègue, et hop SmadAV me détecte 12 infections suspectes !

    Je lui ai dis qu’il n’est pas passé que quelques jours quand j’ai scanné mes clés USB à l’aide d’utilitaires fournis dans un forum spécialisé et je n’ai rien trouvé de suspect… alors comment SmadAV a-t-il pu détecter tout ces infections ?

    Je ne sais pas comment ça fonctionne cet antivirus et pourquoi ESET n’etait pas capable de détecter ces infections ?

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8416

    ce sont des infections fantomes ^^ c’est pour que tu achetes le produit ^^ c’est une arnaque en deux mots ……

    faut le désinstaller !

  • apt
    Participant
    Nombre d'articles : 109

    Bonsoir,

    Pour le rapport de scan de MalwareBytes, les infections trouvées, présentent-elles un quelconque risque ?

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8416

    immédiat , non , à longue échéance je ne sais pas

  • apt
    Participant
    Nombre d'articles : 109

    Donc pas de soucis pour le moment.

    Merci :bravo1:

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8416

    re bien , refais quickdiag en cliquant sur “Extended” je vais voir si on peut pas optimiser un peu

  • apt
    Participant
    Nombre d'articles : 109
  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8416

    onvre firefox, dans la barre d’adresse tape about:config , clic sur oui je premets de faire attention , puis fais une recherche de ceci (tu le colles dans la barre de recherche prévue à cet effet) :

    OWNHz78Rm1eGbqH9

    supprime la ligne entiere concernant celé ( clic droit dessus => supprimer )

    ==

    Télécharge Seaf >> http://www.aht.li/2594362/SEAF.exe de C_XX

    dans l’espace prévu à cet effet , tape ou colle : spok.sys

    coche “recherche également dans le registre”

    puis lance la recheche.

    heberge le rapport sur https://antimalware.top puis donne le lien obtenu pour aller le consulter

    ==

    Désactive ton antivirus le temps de la manipulation car OTM est détecté comme une infection à tort.
    Télécharge https://www.sosvirus.net/telecharger/otm/ OTM (OldTimer) sur ton Bureau :
    Double-clique sur OTM.exe afin de le lancer. (clic droit “executer en tant qu’administrateur” pour Vista/7/8 )

    Copie (Ctrl+C) le texte suivant ci-dessous :


    :reg
    [HKLMSystemCurrentControlSetControl]
    "WaitToKillServiceTimeout"=200
    [HKUS-1-5-18SoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
    "LinkResolveIgnoreLinkInfo"=DWORD:0
    "NoResolveSearch"=DWORD:0
    "NoResolveTrack"=DWORD:0
    "NoInternetOpenWith"=DWORD:0
    "NoDriveTypeAutoRun"=DWORD:95
    "NoSMBalloonTip"=DWORD:0
    [-HKLMSoftwareGoogleChromeExtensionsngpampappnmepgilojfohadhhmbhlaek]
    [-HKUS-1-5-21-964550080-2536270516-2376480774-1000SoftwareSMAD?V]
    [-HKLMSOFTWAREMicrosoftwindowsCurrentVersionUninstall{8B9FA5FF-3E61-4658-B0DA-E6DDB46D6BAD}_is1]

    :files
    C:UsersgeussasAppDataRoamingMicrosoftWindowsStart MenuProgramsStartupSmadAv.lnk
    C:UsersgeussasAppDataRoamingMozillaFirefoxProfilessox4qg99.default-1422087770030ExtensionsKqxld@53tU.net
    C:UsersgeussasAppDataRoamingMozillaFirefoxProfilessox4qg99.default-1422087770030Extensionsmozilla_cc@internetdownloadmanager.com
    C:UsersgeussasAppDataRoamingMozillaFirefoxProfilessox4qg99.default-1422087770030ExtensionsQpSw@v.org
    C:Program FilesSmadav
    H:Hygieaa.ini
    O:SmadAv.exe
    O:smadav10.exe
    C:Windows.old
    C:[Smad-Cage]
    C:UsersAll Users952802951533812216
    C:UsersAll Users{ba282bb3-2723-be45-ba28-82bb3272aecc}
    C:ProgramDataMicrosoftWindowsStart MenuProgramsSMADAV Antivirus
    C:WindowsSystem32Taskssmadav

    :commands
    [emptytemp]

    Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.
    Clique maintenant sur le bouton MoveIt!
    Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
    Accepte en cliquant sur YES.

    Poste le rapport situé dans ce dossier : C:_OTMMovedFiles

    *Le nom du rapport correspond au moment de sa création : date_heure.log

  • apt
    Participant
    Nombre d'articles : 109

    Bonjour,

    J’ai trouvé trois lignes correspondantes à :

    OWNHz78Rm1eGbqH9

    1. OWNHz78Rm1eGbqH9.epoch

    2. OWNHz78Rm1eGbqH9.scode

    3. OWNHz78Rm1eGbqH9.url

    Dois-je les supprimer touts les trois ?

    Puis-je savoir à quoi sert cette application ?

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8416

    je ne sais pas mais ca sent pas bon

  • apt
    Participant
    Nombre d'articles : 109
  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8416

    ouais c’est pourri

  • apt
    Participant
    Nombre d'articles : 109

    Quel est le danger que présente cette extension et comment faire pour l’éradiquer ?

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8416

    et mon rappport d’ OTM il est où ?

  • apt
    Participant
    Nombre d'articles : 109

    Bonjour,

    @g3n-h@ckm@n wrote:

    et mon rappport d’ OTM il est où ?

    J’attendais une fin pour OWNHz78Rm1eGbqH9 :

    Quel est le danger que présente cette extension et comment faire pour l’éradiquer ?

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8416

    hello

    c’est une extension ramasse-mer$e et à force , ca va pourrir ton navigateur

  • apt
    Participant
    Nombre d'articles : 109

    @g3n-h@ckm@n wrote:

    c’est une extension ramasse-mer$e et à force , ca va pourrir ton navigateur

    1) Alors comment la désactivée depuis le navigateur et sous quel nom elle se présente ?

    2) Le rapport SEAF :

    1. ========================= SEAF 1.0.1.0 – C_XX
    2.
    3. Commencé à: 13:01:59 le 09/05/2015
    4.
    5. Valeur(s) recherchée(s):
    6. spok.sys
    7.
    8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
    9.
    10. (!) — Recherche registre
    11.
    12. ====== Fichier(s) ======
    13.
    14. Aucun fichier trouvé
    15.
    16.
    17. ====== Entrée(s) du registre ======
    18.
    19. Aucun élément dans le registre trouvé
    20.
    21. =========================
    22.
    23. Fin à: 13:18:02 le 09/05/2015
    24. 1427676 Éléments analysés
    25.
    26. =========================
    27. E.O.F

    3) Pour OTM, il se bloque syr cette ligne (Je l’ai laissé pendant 3 heures sans répondre !!) :

    [HKLMSystemCurrentControlSetControl]"WaitToKillServiceTimeout"=200
  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8416

    re, oui ca pouvait pas fonctionner j’ai oublié des guillemets


    :reg
    [HKLMSystemCurrentControlSetControl]
    "WaitToKillServiceTimeout"="200"
    [HKUS-1-5-18SoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
    "LinkResolveIgnoreLinkInfo"=DWORD:0
    "NoResolveSearch"=DWORD:0
    "NoResolveTrack"=DWORD:0
    "NoInternetOpenWith"=DWORD:0
    "NoDriveTypeAutoRun"=DWORD:95
    "NoSMBalloonTip"=DWORD:0
    [-HKLMSoftwareGoogleChromeExtensionsngpampappnmepgilojfohadhhmbhlaek]
    [-HKUS-1-5-21-964550080-2536270516-2376480774-1000SoftwareSMAD?V]
    [-HKLMSOFTWAREMicrosoftwindowsCurrentVersionUninstall{8B9FA5FF-3E61-4658-B0DA-E6DDB46D6BAD}_is1]

    :files
    C:UsersgeussasAppDataRoamingMicrosoftWindowsStart MenuProgramsStartupSmadAv.lnk
    C:UsersgeussasAppDataRoamingMozillaFirefoxProfilessox4qg99.default-1422087770030ExtensionsKqxld@53tU.net
    C:UsersgeussasAppDataRoamingMozillaFirefoxProfilessox4qg99.default-1422087770030Extensionsmozilla_cc@internetdownloadmanager.com
    C:UsersgeussasAppDataRoamingMozillaFirefoxProfilessox4qg99.default-1422087770030ExtensionsQpSw@v.org
    C:Program FilesSmadav
    H:Hygieaa.ini
    O:SmadAv.exe
    O:smadav10.exe
    C:Windows.old
    C:[Smad-Cage]
    C:UsersAll Users952802951533812216
    C:UsersAll Users{ba282bb3-2723-be45-ba28-82bb3272aecc}
    C:ProgramDataMicrosoftWindowsStart MenuProgramsSMADAV Antivirus
    C:WindowsSystem32Taskssmadav

    :commands
    [emptytemp]

    pour ta question sur l extension je te réponds suite au rapport d’OTM que tu vas me remettre 🙂

  • apt
    Participant
    Nombre d'articles : 109

    OTM s’arrête toujours sur la même ligne sans passer aux autres lignes :

    [HKLMSystemCurrentControlSetControl]"WaitToKillServiceTimeout"="200"
  • apt
    Participant
    Nombre d'articles : 109

    J’ai changé le “200” par DWORD:100 dans :

    [HKLMSystemCurrentControlSetControl]
    "WaitToKillServiceTimeout"=DWORD:100

    Un message d’alerte surgit, qui empile toutes les lignes propres au registre, j’ai cliqué OK et hop, le reste des lignes suit et voila le rapport OTM résultant :

    http://cjoint.com/?3EjwK27TvU9

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8416

    re, peux-tu l’heberger sur https://antimalware.top ?

  • apt
    Participant
    Nombre d'articles : 109

    Bonjour,

    @g3n-h@ckm@n wrote:

    peux-tu l’heberger sur https://antimalware.top ?

    J’avais un probleme pour le faire, mais voici le lien :

    https://antimalware.top/download/wt01jc7y5y85pv0if1hdc5rwa5ijdh87s1a4lq3h

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8416

    il manque une partie dans ce rapport….

  • apt
    Participant
    Nombre d'articles : 109

    il manque une partie dans ce rapport….

    Tu veux parler des clés registre ?

    Mais c’est ce rapport qui a été généré par OTM.

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8416

    refais en prenant bien tout ?

  • apt
    Participant
    Nombre d'articles : 109

    OTM ne veut pas fonctionner chez moi et il s’arrête sur la même ligne qu’avant :

        [HKLMSystemCurrentControlSetControl]
    "WaitToKillServiceTimeout"="200"
  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8416

    change 200 par 100 alors

  • apt
    Participant
    Nombre d'articles : 109

    Même en changent de valeur, OTM continu à ne plus répondre !

    Peut-être qu’il y a un autre utilitaire qui peut remplacer OTM ?

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8416

    hello

    attends tu me dis que tu as changé par DWORD:100 !!! ce n’est pas une clé DWORD à la base , c’est une chaine de caractères

  • apt
    Participant
    Nombre d'articles : 109

    Bonjour,

    @g3n-h@ckm@n wrote:

    attends tu me dis que tu as changé par DWORD:100 !!! ce n’est pas une clé DWORD à la base , c’est une chaine de caractères

    Le dernier essai était avec ceci (Et toujours non réponse d’OTM) :

        [HKLMSystemCurrentControlSetControl]"WaitToKillServiceTimeout"="100"

    Pour DWORD:100, je l’ai trouvé sur le net d’un exemple similaire que j’ai appliqué et par conséquent obtenir un rapport OTM, mais comme tu l’as dit :

    il manque une partie dans ce rapport….

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8416

    ceci tu veux dire :


    [HKLMSystemCurrentControlSetControl]
    "WaitToKillServiceTimeout"="100"
  • apt
    Participant
    Nombre d'articles : 109

    Oui, c’est cette ligne qui me pose probleme dans OTM.

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8416

    re

    ok enlève cette partie , c’est pas bien méchant ca représente la commande de la rapidité de fermeture des services à l’extinction du pc

  • apt
    Participant
    Nombre d'articles : 109

    OTM génère ce message d’erreur :

    ‘0″NoResolveSearch”=DWORD:0″NoresolveTrack”=DWORD:0″NoIternetOpenWith”=DWORD:0″NoDriveTypeAutoRun”=DWORD:95NoSMBalloonTip”=DWORD:0[-HKLMSoftwareGoogleChromeExrensionngpampappnmepgilojfohadhhmbhlaek][-HKUS-1-5-21-964550080-2536270516-2376480774-1000SoftwareSMAD?V][-HKMLSOFTWAREMicrosoftwindowsCurrentVersionUninstall{8B9FA5FF-3E61-4658-B0DA-E6DDB46D6BAD}-is1]’ is not a valid integer value.

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8416

    tu copies chaque ligne ou tu prends le texte intégral ?

  • apt
    Participant
    Nombre d'articles : 109

    Je sélectionne le tout et colle dans OTM.

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8416

    tu peux me fournir le rapport de ce résultat ?

  • apt
    Participant
    Nombre d'articles : 109

    OTM n’a pu généré aucun rapport (Après 1 heure d’attente) 🙁

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8416

    re, et en mode sans echec ?

  • apt
    Participant
    Nombre d'articles : 109

    Salut,

    Meme chose ! :E 🙁

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8416

    essaie avec OTL

    le bouton s’appelle “Correction” mais le reste du principe est le meme

    https://www.sosvirus.net/telecharger/otl/

  • apt
    Participant
    Nombre d'articles : 109
  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8416

    hello

    non 🙁
    je voulais que tu mettes le script que je t’ai demandé de faire avec OTM , dans OTL et que tu cliques sur correction 🙂

  • apt
    Participant
    Nombre d'articles : 109

    Bonsoir,

    A chaque lancement de OTL, il s’arrete de fonctionner sur une ligne de la section :files.

    Apres avoir enlever a chaque relancement une ligne, j’ai constaté qu’OTL s’arrêtera sur une nouvelle ligne de cette partie.

    De ce fait, tous les lignes de la section :files ont été exécutés par OTM dans ce rapport :

    https://antimalware.top/download/wt01jc7y5y85pv0if1hdc5rwa5ijdh87s1a4lq3h

    Et voici le relancement d’OTL qui s’est terminé par générer un rapport :

    ========== REGISTRY ==========
    HKLMSystemCurrentControlSetControl\"WaitToKillServiceTimeout"|"200"[HKUS-1-5-18SoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]"LinkResolveIgnoreLinkInfo"=DWORD:0"NoResolveSearch"=DWORD:0"NoResolveTrack"=DWORD:0"NoInternetOpenWith"=DWORD:0"NoDriveTypeAutoRun"=DWORD:95"NoSMBalloonTip"=DWORD:0[-HKLMSoftwareGoogleChromeExtensionsngpampappnmepgilojfohadhhmbhlaek][-HKUS-1-5-21-964550080-2536270516-2376480774-1000SoftwareSMAD?V][-HKLMSOFTWAREMicrosoftwindowsCurrentVersionUninstall{8B9FA5FF-3E61-4658-B0DA-E6DDB46D6BAD}_is1] /E : value set successfully!

    OTL by OldTimer - Version 3.2.69.0 log created on 05142015_221501
  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8416

    re

    télécharge et execute ce fichier : http://www.aht.li/2660703/correction.reg , puis redémarre le pc.

    ensuite dis les soucis persistants

  • apt
    Participant
    Nombre d'articles : 109

    Bonjour,

    Correction exécutée, mais cette extension OWNHz78Rm1eGbqH9 existe encore sur FF :electriksock:

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8416

    et si tu le réinitialises firefox ?

  • apt
    Participant
    Nombre d'articles : 109

    FF a été réinitialisé avec succes et la chaine OWNHz78Rm1eGbqH9 a disparue !

    Mais j’aimerais savoir quelle extension est à l’origine de cette anomalie pour éviter de l’installer dans l’avenir ?

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8416

    re

    ca je peux pas dire , certaines font la meme chose que d’autres , d’autres mettent des caractères aléatoires comme tu viens de le voir , etc….

  • apt
    Participant
    Nombre d'articles : 109

    Donc pas moyen d’éviter d’être contaminer par cette extension ?

    Bon, merci pour toute la peine prise pour m’aider.

    @ bientôt !

  • g3n-h@ckm@n
    Admin bbPress
    Nombre d'articles : 8416

      Télécharge et installe http://www.piriform.com/ccleaner/download/standard (N’installe pas la Yahoo Toolbar ou Google Chrome qui est proposé avec) :
      Lance-le (clic droit « en tant qu’administrateur » pour Vista/7/8 ).
      configure-le comme ceci :

      suivant les applications que tu as :

      les options :

      Fais le nettoyage dans le nettoyeur.
      et fais le nettoyage dans le registre autant de fois qu’il trouve des erreurs à l’analyse

      ===============================

    • Télécharge Delfix sur ton Bureau.
    • Lance Delfix, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista

    • Coche les cases suivantes :
      • Réactiver l’UAC
      • Supprimer les outils de désinfection
      • Effectuer une sauvegarde du registre
      • Purger la restauration système
      • Réinitialisation des paramètres système

    ==========================

    Sécurisation du PC des logiciels potentiellement indésirables , toolbars , etc…

    Lorsqu’on est sous Windows et qu’on adore installer tout un tas de softs étranges, il faut savoir rester vigilant. En effet, certains programmes d’install proposent durant l’installation des toolbars et autres adware qui seront difficiles par la suite à retirer de votre système.

    En général, on fait attention, et on décoche les cases qui vont bien, mais il suffit d’une fois, d’un petit coup de barre et on laisse passer la toolbar fatale.

    Mais pourquoi se prendre la tête alors qu’un petit soft peut faire le travail pour vous ?

    Télécharge : https://www.sosvirus.net/telecharger/unchecky/, un service qui tourne en tâche de fond sous Windows, qui détectera automatiquement les logiciels additionnels dans les programmes d’installation et qui décochera les cases qu’il faut pour éviter de se faire polluer.


    ==============================================

    si ce n’est fait met à jour Flash player (pour chrome il est deja intégré ) :

    No Internet Explorer :
    http://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_17_plugin.exe

    Internet Explorer :
    http://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_17_active_x.exe

    =============================================

    Adobe reader étant devenu trop peu fiable , je te conseille de le desinstaller , et pour lire les pdf , je te suggère d’utiliser plutôt SumatraPDF :

    http://blog.kowalczyk.info/software/sumatrapdf/free-pdf-reader-fr.html

    pense à l’installation , dans les options , à cocher la case qui correspond à « utiliser SumatraPDF comme lecteur par defaut » et installer les plugins pour les navigateurs.
    [fin2desinf:22s2l3qi][/fin2desinf:22s2l3qi]

Le sujet ‘Scan log – MalwaresBytes’ est fermé à de nouvelles réponses.