[Résolu] PC Tools security

[paupy36]

je viens donc de retelecharger Malwarebytes et je l'aopassé en mode sans échec réseau
il a trouvé 5 éléments infectés dont un rogue; je les ai supprimés, il m'a demandé de redémarrer le pc et le résultat semble bon

en mode normal cette fois je relance Mbam en recherche approfondie; au bout d'une heure (c'est pas fini!) il a retrouvé 2 éléments infectés

[MoJac]

Re:

Intéressant tout ça. A priori MbAM dans ses dernières mises à jour a pris en compte cette peste.

Ton expérience est intéressante pour tout le monde et peut aider d'autres internautes. J'aimerais avoir quelques détails sur les opérations réalisées:

- Peux tu nous dire quelles opérations tu as faites exactement ?

- As tu passé ComboFix avant MbAM ? et si oui en quel mode ?

- Si non j'avais cru comprendre que MbAM ne se mettait pas à jour, qu'as tu fait exactement ? Désinstallé et réinstallé c'est ça ?

- Il serait très utile de nous communiquer le rapport que MbAM a produit lors de la désinfection en plus de celui que tu es en train de faire.

Tu pourras le trouver en ouvrant MbAM, onglet rapports/Logs et tu choisis celui qui correspond à la désinfection mbam-log-2010-09-28(hh-mm-ss).txt c'est à dire heure minutes et seconde.

Après les rapports MbAM il sera nécessaire de faire un nouveau scan complet avec ton Antivirus et poster aussi le rapport.

Mais à court terme poste les éléments demandés STP c'est important pour ajouter au dossier de cette peste.

Bravo pour ta ténacité !

[paupy36]

j'avais téléchargé hier soir et tout mis sur une clé usb (Mbam, combo...)

je suis allé sur le pc infecté

démarrage avec F8 et j'ai choisi mode sans échec avec réseau (le deuxième choix)
j'ai mis Mbam sur le bureau et l'ai ouvert
j'ai cliqué sur "mise à jour" qui s'est faite

(hier j'avais essayé en "mode sans échec" - premier choix- et je n'avais pas pu faire la mise à jour et le scan n'avait rien donné)

le scan a duré 5 ou 10 mn et 5 infections ont été trouvées, je les ai supprimées, j'ai redémarré le pc et plus de traces de "tools security"

J'ai repassé Mbam en examen complet et il m'a retrouvé 2 infections (temps 2heures)

Pas eu le temps de faire autre chose

j'avais enrégistré le rapport donc il doit ^etre possible de le récupérer, j'essaie de m'en occuper ce soir car ensuite on s'absente.

[paupy36]

Voici les 2 rapports
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4710

Windows 6.0.6000 (Safe Mode)
Internet Explorer 7.0.6000.17037

28/09/2010 14:09:59
mbam-log-2010-09-28 (14-09-59).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 139060
Temps écoulé: 5 minute(s), 19 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\32895519 (Malware.Packer.Gen) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\PIERRE\AppData\Local\32895519.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Users\PIERRE\downloads\flash-HQ-plugin.48206(2).exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\PIERRE\downloads\flash-HQ-plugin.48206.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\PIERRE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.

-------------------------------------------------------------------------------------------------------------------

[paupy36]

le second rapport

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4710

Windows 6.0.6000
Internet Explorer 7.0.6000.17037

28/09/2010 15:36:34
mbam-log-2010-09-28 (15-36-34).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|)
Elément(s) analysé(s): 252197
Temps écoulé: 1 heure(s), 10 minute(s), 47 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\PIERRE\AppData\Local\VirtualStore\Windows\System32\net.net (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\PIERRE\AppData\Roaming\492009DDE934B2B7932203C51A30F3E6\gotnewupdate.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.

[MoJac]

OK, c'est parfait tu as fait du bon boulot

En plus il semble y avoir encore une référence de l'infection initiale:

C:\Users\PIERRE\downloads\flash-HQ-plugin.48206.exe (Trojan.Downloader)

Cela va permettre d'orienter quelques recherches supplémentaires.

Je pense que la machine est maintenant hors danger (du moins vis à vis de ce pb)

A voir plus tard si nécessaire. Mais je crois que tu es assez attentif à tous ces pb.

Bonne soirée