Malware defense...

[invite5cd06b12]

Bien le bonjour tout le monde, voila j'ai un problème avec un faux anti-malware : Malware defense.

Je n'arrive pas a le déloger...

Merci d'avance pour votre attention et bonnes fêtes à tous

Voici les rapports :
-----

[invite4c6c2965]

Salut,
Télécharge rkill
http://download.bleepingcomputer.com/grinler/rkill.exe
Enregistre-le sur ton Bureau
Double-clique sur l'icône rkill ( pour Vista/Seven clic-droit Exécuter en tant qu'Administrateur)
Un bref écran noir t'indiquera que le tool s'set correctement exécuter, s'il ne lance pas
change de lien de téléchargement en utilisant le suivant à partir d'ici:
http://download.bleepingcomputer.com/grinler/rkill.pif
http://download.bleepingcomputer.com/grinler/rkill.scr
http://download.bleepingcomputer.com/grinler/rkill.com

Ensuite télécharge et installe Malwarebytes' Anti-Malware
Fait un scan rapide,coche puis clique sur Supprimer la sélection
puis poste le rapport final.

Aide en images.


NB : Si Mbam ne fonctionne pas télécharge cet exécutable
http://mbam.malwarebytes.org/program/random.php

colle-le dans C:\program files\Malwarebytes' Anti-Malware\
tel-quel en conservant son nom aléatoire, ensuite double-clique dessus pour le lancer et faire le scan.

[invitec04351b8]

Bonsoir,

grilled

@+

[invite5cd06b12]

- Rkill s'est bien executé
- mbam également

voici le rapport :

[A voir en vidéo sur Futura]

[invite4c6c2965]

je me trompe ou le rapport est vide

[invite5cd06b12]

Je le renvoie mais je pense que le premier est bon sinon j'ai fait une erreur de manip.

En tout cas quand j'ouvre le rapport sur mon bureau il n'est pas vide.

[invite4c6c2965]

Désolé mais il n'y a rien dedans.
Copie-colle-le entre les balises [spoiler]

[yoda1234]

Personne n'a tort!!! Je constate en effet que les deux rapports envoyés par Injall sont vides, mais je ne pense pas que ce soit une erreur de sa part, mais un bug dû à notre forum. Je confirme donc la proposition de b marlow: Poste le rapport entre deux balises spoiler qui sont symbolisées par dans l'éditeur avancé de messages.
Merci.

[invite4c6c2965]

merci yoda, je croyais avoir un blême sur mes associations de fichiers lol.

(meme soucis ici)

[yoda1234]

Oui, j'ai vu. J'ai remonté le problème à notre admin.

[invite5cd06b12]

Et voila merci

 Cliquez pour afficher

Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3444
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

28/12/2009 20:34:47
mbam-log-2009-12-28 (20-34-47).txt

Type de recherche: Examen rapide
Eléments examinés: 98387
Temps écoulé: 35 minute(s), 49 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows\CurrentVersion \Uninstall\malware defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Ma lware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\H8 SRT (Rootkit.TDSS) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Mic rosoft\Windows\CurrentVersion\ Run\malware defense (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Mic rosoft\Windows\CurrentVersion\ Run\richtx64.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Program Files\Malware Defense\mdefense.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Program Files\malware Defense\help.ico (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\Program Files\malware Defense\md.db (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\Program Files\malware Defense\mdext.dll (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\Program Files\malware Defense\uninstall.exe (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\krl32mainw eq.dll (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\Documents and Settings\Ben\Application Data\Microsoft\Internet Explorer\Quick Launch\Malware Defense.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

[invite4c6c2965]

vérifie que ton AntiVir soit configuré comme ici:
http://b.marlow.free.fr/antivir_de_avira.html
puis fais un scan et poste le rapport final.

[invite5cd06b12]

Mon antivir est bien configuré comme dans ton lien.

J'ai arrêté avant la fin du scan (ça faisait plus de 3h que le scan tournais...)

Je n'ai pas revu de fenetre de malware defense aujourd'hui c'est déja ça

Voici le rapport :

[invite5cd06b12]

au cas ou

 Cliquez pour afficher

Avira AntiVir Personal
Date de création du fichier de rapport : mardi 29 décembre 2009 20:56

La recherche porte sur 1038808 souches de virus.

Détenteur de la licence :Avira AntiVir PersonalEdition Classic
Numéro de série : 0000149996-ADJIE-0001
Plateforme : Windows XP
Version de Windows Service Pack 2) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur :BEN-5D3DEBA9C06

Informations de version :
BUILD.DAT : 8.2.0.52 16931 Bytes 02/12/2008 14:55:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:00
AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16
LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36
ANTIVIR1.VDF : 7.1.0.56 411136 Bytes 09/11/2008 16:57:13
ANTIVIR2.VDF : 7.1.0.89 221184 Bytes 16/11/2008 16:16:47
ANTIVIR3.VDF : 7.1.0.97 45056 Bytes 17/11/2008 16:38:59
Version du moteur: 8.2.0.31
AEVDF.DLL : 8.1.0.6 102772 Bytes 14/10/2008 10:05:56
AESCRIPT.DLL : 8.1.1.15 332156 Bytes 11/11/2008 14:00:07
AESCN.DLL : 8.1.1.5 123251 Bytes 07/11/2008 15:06:41
AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 13:58:38
AEPACK.DLL : 8.1.3.4 393591 Bytes 11/11/2008 09:41:39
AEOFFICE.DLL : 8.1.0.30 196986 Bytes 07/11/2008 15:06:41
AEHEUR.DLL : 8.1.0.71 1487222 Bytes 07/11/2008 15:06:41
AEHELP.DLL : 8.1.1.3 119157 Bytes 07/11/2008 15:06:41
AEGEN.DLL : 8.1.1.0 319859 Bytes 07/11/2008 15:06:41
AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 10:05:56
AECORE.DLL : 8.1.4.1 172405 Bytes 07/11/2008 15:06:41
AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:16
RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:43

Configuration pour la recherche actuelle :
Nom de la tâche..................: Contrôle intégral du système
Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp
Documentation................. ...: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:,
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: marche
Fichier mode de recherche........: Tous les fichiers
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Types d'archives divergents......: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen
Catégories de dangers divergentes: +APPL,+GAME,+JOKE,+PCK,+SPR,

Début de la recherche : mardi 29 décembre 2009 20:57

La recherche d'objets cachés commence.


Fin de la recherche : mercredi 30 décembre 2009 00:41
Temps nécessaire: 3:44:14 Heure(s)

La recherche a été interrompue !

0 Les répertoires ont été contrôlés
0 Des fichiers ont été contrôlés
0 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
0 Impossible de contrôler des fichiers
0 Fichiers non infectés
0 Les archives ont été contrôlées
0 Avertissements
0 Consignes
32141 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés

[invite4c6c2965]

Tu dois avoir un disque de grande capacité, d'où la longueur du scan.
Si tout fonctionne c'est que MBAM a tout nettoyé.

[invite5cd06b12]

Merci pour votre aide et bonne année !!

[invite4c6c2965]

ceci va supprimer les outils qui ont servi à la procédure:

Télécharge ToolsCleaner (A.Rothstein et dj QUIOU)
Enregistre-le sur ton Bureau
Clique sur Recherche et laisse le scan se terminer.
Clique sur Suppression pour finaliser.
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste le rapport C:\TCleaner.txt

NB: Pour Vista l'utilisation de l'outil nécessite de faire Clic-droit Exécuter en tant qu'administrateur.

Un compte limité accroit la sécurité

Les mises à jour des programmes aussi

Comment reconnaitre et éviter les programmes piégés

Tu devrais passer au service pack 3 (SP3).