PC infecté? Paypal piratéRésolu/Fermé

Question

Bonsoir,

je me suis fait piraté mon compte Paypal (je la fais courte).
je me demande également si mon PC ne serait pas infecté, ce qui aurait entraîné le piratage de mon compte Paypal.
donc j'aurais besoin d'une âme charitable et qui s'y connait sur la désinfection pour me dire si je suis infecté et m'aider à réparer tout ça.
pour info, j'ai fait en mode sans échec un scan complet avec Malwarebytes (2 fichiers supprimés) et avec Antivir (1 fichier mis en quarantaine).
j'ai essayé à maintes reprises de lancer un scan Antivir en mode normal sous Windows 7, mais j'ai toujours un message d'erreur :
"l'exception unknown software exception (0xc0000417) s'est produite dans l'application à l'emplacement 0x734faf3e"

merci d'avance pour votre aide.

Marou81 · Answer

Bonjour,


Bienvenue sur CCM !
Nous allons essayer de régler ton problème ensemble. D'abord, quelques rappels :

&#x25B6 N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
&#x25B6 N'hésite pas à poser des questions en cas de besoin ;)
&#x25B6 Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne ;)
&#x25B6 La désinfection (si nécessaire) va se dérouler en plusieurs étapes. Même si les symptômes de l'infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu'au bout, sinon ce qu'on a fait n'aura servi à rien.


Commence par utiliser ce logiciel de diagnostic, ça me permettra de t'aider :

&#x25B6 Télécharge ZHPDiag (de Nicolas Coolman)
&#x25B6 Lance le (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
&#x25B6 Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau). Il se lancera automatiquement à la fin de l'installation.
&#x25B6 Vérifie si tu trouves une icône "UAC" en haut à droite de ZHPDiag : si c'est le cas clique dessus, sinon passe à l'étape suivante.
&#x25B6 Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
&#x25B6 Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
&#x25B6 Rends toi sur ce site, clique sur "Parcourir", sélectionne le rapport de ZHPDiag et clique sur Envoyer le fichier. Patiente pendant l'envoi du fichier, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

tibouuh · Answer

Salut et merci de t'être arrêté sur mon post ;)

le scan est en train de se faire. c'est long!
déjà, au début du scan j'ai eu un message d'erreur : "erreur système code 5"
il y a 3 types de scans. j'ai choisi celui avec toutes options.
je posterai le rapport dès qu'il sera fini.

Marou81 · Answer

Re,

Il n'y a aucun souci,  si le scan ZHPDiag se bloque pendant un long moment, note bien le module.

Ouvre à nouveau ZHPDiag, appuie sur configurer puis tournevis à droit puis décoche le module en fonction du numéro.

A+

tibouuh · Answer

le scan n'avance pas.
je reste bloqué à 1% quand il cherche dans "Product Informations".
j'ai pas trouvé le module correspondant pour le décocher!

Marou81 · Answer

Re,

Quand tu appuie sur configurer, tu as 5 icones à droites. C'est le troisième en partant de la gauche. Si tu ne sais pas lequel décocher, retire le module 01 pour voir.
 
L'avenir n'est pas merveilleux,  à nous de le rendre meilleur.

tibouuh · Answer

j'ai trouvé pour aller dans les modules mais je ne trouve pas de module 5 ni quoique ce soit qui se rapporte à "product informations"

Marou81 · Answer

Re,

Très bien reprenons : 

Utilise ce logiciel de désinfection généraliste :

&#x25B6 Télécharge et installe Malwarebytes' Anti-Malware
&#x25B6 A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée. Par contre, il n'est pas nécessaire d'activer l'essai gratuit pour la protection.
&#x25B6 Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
&#x25B6 Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
&#x25B6 Sélectionne tes disques durs puis clique sur "Lancer l'examen" 
&#x25B6 A la fin de l'analyse, clique sur Afficher les résultats
&#x25B6 Coche tous les éléments  détectés puis clique sur Supprimer la sélection
&#x25B6 S'il t'est demandé de redémarrer l'ordinateur, accepte.
&#x25B6 Poste dans ta prochaine réponse le rapport apparaissant après la suppression.

tibouuh · Answer

en décochant le module 1, j'ai le même message d'erreur et ça reste bloqué à 1%

tibouuh · Answer

j'avais déjà fait un scan complet avec Malwarebytes. 2 en fait : 1 hier en mode normal (2 fichiers supprimés) et 1 aujourd'hui en mode sans échec (2 fichiers supprimés).
voici les 2 rapports.
1er rapport:

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.12.15.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.16476
MonNom :: MonNom [administrateur]

15/12/2013 19:08:42
mbam-log-2013-12-15 (19-08-42).txt

Type d'examen: Examen complet (C:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|L:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 427471
Temps écoulé: 1 heure(s), 39 minute(s), 11 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 4
H:\Jeux\F1 2013\Crack\steam_api.dll (Riskware.Gamehack) -> Aucune action effectuée.
H:\Logiciels\Multimédia\aTubeCatcher.exe (PUP.Optional.Spigot.A) -> Aucune action effectuée.
C:\Users\MonNom\AppData\Local\Temp
sy56FE.tmp-2\APN_ATU3_.exe (PUP.Optional.Spigot.A) -> Mis en quarantaine et supprimé avec succès.
F:\F1 2013\steam_api.dll (Riskware.Gamehack) -> Mis en quarantaine et supprimé avec succès.

(fin)




2ème rapport:

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.12.15.04

Windows 7 Service Pack 1 x64 NTFS (Mode sans échec)
Internet Explorer 11.0.9600.16476
MonNom :: MonNom [administrateur]

16/12/2013 20:01:45
mbam-log-2013-12-16 (20-01-45).txt

Type d'examen: Examen complet (C:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|L:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 426622
Temps écoulé: 54 minute(s), 

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 2
H:\Jeux\F1 2013\Crack\steam_api.dll (Riskware.Gamehack) -> Mis en quarantaine et supprimé avec succès.
H:\Logiciels\Multimédia\aTubeCatcher.exe (PUP.Optional.Spigot.A) -> Mis en quarantaine et supprimé avec succès.

(fin)

Marou81 · Answer

Re,

Rapport ok.

Désinstalle et réinstalle avira. Aide toi de ce lien : https://www.commentcamarche.net/faq/7367-desinstaller-proprement-liens-et-astuces#avira-antivir

tibouuh · Answer

ça y est c'est fait.
j'ai désactivé, puis désinstallé Avira.
Après redémarrage du PC, j'ai lancé aussi avira registry cleaner. 7 clés trouvés mais il y en avait dont le nom comprenait "Comodo". comme c'est mon pare-feu, j'ai préféré ne rien supprimer.
j'ai réinstallé et mis à jour Avira.
je viens d'essayer de lancer une recherche sur tous mes disques durs, mais j'ai encore eu le message d'erreur (cf. post de départ)

Marou81 · Answer

Salut,

Tu as comodo, tu as bien desactivé le pare-feu windows defender j'espère ?

Marou81 · Answer

Re,

Ok ça marche.

A demain

tibouuh · Answer

désolé, hier je n'ai pas eu le temps de me reconnecter.

j'ai vérifié le pare-feu et celui de Windows est bien désactivé.
je n'arrive toujours pas à faire le scan avec ZHP. ça reste bloqué.
j'ai refait un scan avec Malwarebytes et Antivir. les 2 n'ont plus rien trouvé.
comme je n'arrive pas à faire fonctionner ZHP, je peux te poster le rapport de RSIT (similaire à ZHP).


Logfile of random's system information tool 1.06 (written by random/random)
Run by MonNom at 2013-12-18 19:02:43
Microsoft Windows 7 Édition Familiale Premium  Service Pack 1
System drive C: has 16 GB (27%) free of 60 GB
Total RAM: 4094 MB (53% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:02:44, on 18/12/2013
Platform: Unknown Windows (WinNT 6.01.3505 SP1)
MSIE: Internet Explorer v11.0 (11.00.9600.16428)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\NEC Electronics\USB 3.0 Host Controller Driver\Application
usb3mon.exe
C:\Program Files (x86)\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
E:\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE
C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE
E:\Mozilla Firefox\plugin-container.exe
C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_11_9_900_170.exe
C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_11_9_900_170.exe
H:\Logiciels\Sécurité\Random's System Information Tool (analyse des infections)\RSIT.exe
H:\Logiciels\Sécurité\HijackThis\MonNom.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: Aide à la navigation SFR - {0F6E720A-1A6B-40E1-A294-1D4D19F156C8} - C:\Program Files (x86)\SFR\Kit\SFRNavErrorHelper.dll
O2 - BHO: PDF Architect Helper - {3A2D5EBA-F86D-4BD3-A177-019765996711} - E:\PDF Architect\PDFIEHelper.dll
O2 - BHO: CmjBrowserHelperObject Object - {6FE6A929-59D1-4763-91AD-29B61CFFB35B} - E:\Mindjet\MindManager 11\Mm8InternetExplorer.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - E:\MICROS~1\Office14\GROOVEEX.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - E:\MICROS~1\Office14\URLREDIR.DLL
O2 - BHO: WOT Helper - {C920E44A-7F78-4E64-BDD7-A57026E7FEB7} - C:\Program Files (x86)\WOT\WOT.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll
O3 - Toolbar: WOT - {71576546-354D-41c9-AAE8-31F2EC22BF0D} - C:\Program Files (x86)\WOT\WOT.dll
O3 - Toolbar: PDF Architect Toolbar - {25A3A431-30BB-47C8-AD6A-E1063801134F} - E:\PDF Architect\PDFIEPlugin.dll
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [NUSB3MON] "C:\Program Files (x86)\NEC Electronics\USB 3.0 Host Controller Driver\Application
usb3mon.exe"
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files (x86)\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ISUSPM Startup] C:\PROGRA~2\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKCU\..\Run: [Google Update] "C:\Users\MonNom\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: &Envoyer à OneNote - res://E:\MICROS~1\Office14\ONBttnIE.dll/105
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\MICROS~1\Office14\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer l'image à Mindjet - res://E:\Mindjet\MindManager 11\Mm8InternetExplorer.dll/201
O8 - Extra context menu item: Envoyer la page à Mindjet - res://E:\Mindjet\MindManager 11\Mm8InternetExplorer.dll/204
O8 - Extra context menu item: Envoyer le lien à Mindjet - res://E:\Mindjet\MindManager 11\Mm8InternetExplorer.dll/203
O8 - Extra context menu item: Envoyer le texte à Mindjet - res://E:\Mindjet\MindManager 11\Mm8InternetExplorer.dll/202
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: Envoyer à Mindjet - {2F72393D-2472-4F82-B600-ED77F354B7FF} - E:\Mindjet\MindManager 11\Mm8InternetExplorer.dll
O9 - Extra button: Notes &liées OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - E:\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: Notes &liées OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - E:\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O13 - Gopher Prefix: 
O15 - Trusted Zone: https://www.youtube.com/
O18 - Protocol: wot - {C2A44D6B-CB9F-4663-88A6-DF2F26E4D952} - C:\Program Files (x86)\WOT\WOT.dll
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O20 - AppInit_DLLs: C:\Windows\SysWOW64\guard32.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: Avira Planificateur (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Protection temps réel (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira Protection Web (AntiVirWebService) - Avira Operations GmbH & Co. KG - C:\Program Files (x86)\Avira\AntiVir Desktop\avwebg7.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: AppleChargerSrv - Unknown owner - C:\Windows\system32\AppleChargerSrv.exe (file missing)
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - E:\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: ES lite Service for program management. (ES lite Service) - Unknown owner - C:\Program Files (x86)\Gigabyte\EasySaver\ESSVR.EXE
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: @%SystemRoot%\system32\ieetwcollectorres.dll,-1000 (IEEtwCollectorService) - Unknown owner - C:\Windows\system32\IEEtwCollector.exe (file missing)
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: JMB36X - Unknown owner - C:\Windows\SysWOW64\XSrvSetup.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: Nero Update (NAUpdate) - Nero AG - C:\Program Files (x86)\Nero\Update\NASvc.exe
O23 - Service: @%SystemRoot%\System32
etlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: PDF Architect Helper Service - pdfforge GbR - E:\PDF Architect\HelperService.exe
O23 - Service: PDF Architect Service - pdfforge GbR - E:\PDF Architect\ConversionService.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: TeamViewer 8 (TeamViewer8) - TeamViewer GmbH - C:\Program Files (x86)\TeamViewer\Version8\TeamViewer_Service.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

Marou81 · Answer

Bonsoir, 

On continue :)

Utilise cet outil de désinfection spécifique aux logiciels publicitaires : 

&#x25B6 Télécharge AdwCleaner (de Xplode) sur ton Bureau.
&#x25B6 Lance le, clique sur Suppression puis patiente le temps du scan.
&#x25B6 Une fois la suppression terminée, un message de prévention va s'afficher, je te conseille de le lire attentivement (n'hésite pas à me poser des questions si tu n'as pas compris certaines choses dans ce message).
&#x25B6 Ensuite, le rapport s'ouvrira : poste le dans ta prochaine réponse. 
 
Puis télécharge Junk Removal Tool http://www.bleepingcomputer.com/download/junkware-removal-tool

Lance l'application en cliquant droit => executer en administrateur. Appuie sur une touche et laisse le programme travailler. 

Poste moi le rapport.

A+

tibouuh · Answer

voici le rapport adwcleaner :

# AdwCleaner v3.015 - Rapport créé le 18/12/2013 à 20:45:13
# Mis à jour le 10/12/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : MonNom - MonNom-PC
# Exécuté depuis : G:\à analyser\adwcleaner.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\ProgramData\Ask
Dossier Supprimé : C:\Users\MonNom\AppData\Roaming\pdfforge
Fichier Supprimé : C:\Users\MonNom\AppData\Roaming\Mozilla\Firefox\Profiles\6b6sxm2u.default\user.js

***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\AskInstallChecker_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\AskInstallChecker_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\askpartnercobrandingtool_rasapi32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\askpartnercobrandingtool_rasmancs
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\au__rasapi32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\au__rasmancs
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_pour_games-for-windows-live_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_pour_games-for-windows-live_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_pour_google-play-apk_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_pour_google-play-apk_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{0EEDB912-C5FA-486F-8334-57288578C627}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{25A3A431-30BB-47C8-AD6A-E1063801134F}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{25A3A431-30BB-47C8-AD6A-E1063801134F}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{25A3A431-30BB-47C8-AD6A-E1063801134F}
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{25A3A431-30BB-47C8-AD6A-E1063801134F}]
Clé Supprimée : HKCU\Software\APN PIP
Clé Supprimée : HKCU\Software\PIP
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKLM\Software\PIP

***** [ Navigateurs ] *****

-\ Internet Explorer v11.0.9600.16428


-\ Mozilla Firefox v12.0 (fr)

[ Fichier : C:\Users\MonNom\AppData\Roaming\Mozilla\Firefox\Profiles\6b6sxm2u.default\prefs.js ]

Ligne Supprimée : user_pref("browser.search.defaultthis.engineName", "TheFreeDictionarycom Customized Web Search");
Ligne Supprimée : user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2314472&SearchSource=3&q={searchTerms}");
Ligne Supprimée : user_pref("extensions.xnotifier.accounts.[gmail#MonNom@gmail.com].inboxOnly", true);
Ligne Supprimée : user_pref("extensions.xnotifier.accounts.[gmail#MonNom@gmail.com].inboxOnly", true);
Ligne Supprimée : user_pref("extensions.xnotifier.accounts.[hotmail#MonNom@hotmail.fr].inboxOnly", true);
Ligne Supprimée : user_pref("extensions.xnotifier.accounts.[hotmail#MonNom@hotmail.fr].inboxOnly", true);
Ligne Supprimée : user_pref("extensions.xnotifier.accounts.[yahoo#MonNom@yahoo.fr].inboxOnly", true);

-\ Google Chrome v

[ Fichier : C:\Users\MonNom\AppData\Local\Google\Chrome\User Data\Default\preferences ]


*************************

AdwCleaner[R0].txt - [4212 octets] - [18/12/2013 20:43:29]
AdwCleaner[S0].txt - [4051 octets] - [18/12/2013 20:45:13]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [4111 octets] ##########







voici le rapport JRT :

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 5.1.1 (07.15.2013:2)
OS: Windows 7 Home Premium x64
Ran by MonNom on 18/12/2013 at 20:57:25,66
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values



~~~ Registry Keys



~~~ Files



~~~ Folders

Successfully deleted: [Folder] "C:\ProgramData\apn"



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 18/12/2013 at 21:01:44,77
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Marou81 · Answer

Re,

Comment se comporte ton pc ?

A te relire

Marou81 · Answer

Bonsoir,

JRT est là pour supprimer les barres d'outils indésirables. 

Tu as quel version d'avira ? Tu as la dernière ?

A+

tibouuh · Answer

ça a l'air d'aller comme ça.
est-ce qu'il y avait des méchants virus/trojans/malwares/... au vu des différents rapports?

avant d'utiliser ces outils, faut-il faire attention à certaines choses? modifications apportées, types de menaces à éradiquer, ...
je te demande ça parce que je pense que je devrais vérifier aussi le PC de mes parents.

tibouuh · Answer

j'ai la version 14. la dernière je pense bien.

tibouuh · Answer

je viens de remarquer une différence: j'ai perdu les icônes de mon pare-feu et de mon antivirus dans la barre des tâches

tibouuh · Answer

et une 2ème chose : le pare-feu Windows a été réactivé. et j'ai l'impression que mon pare-feu Comodo est toujours actif, même s'il n'apparait plus dans panneau de config -> sécurité

tibouuh · Answer

j'ai redémarré le PC. les icônes de la barre des tâches sont revenues.
par contre aucun changement pour le pare-feu.

j'ai 2 questions concernant les logiciels de sécurité:
1- le pare-feu de Windows 7 est-il bon et facile à paramétrer pour un "novice"? si oui, je ne vais pas m'embêter et plutôt désinstaller Comodo!
2- Antivir gratuit est-il un bon antivirus? à l'époque où je l'avais installé, c'était le cas. Sinon, quel bon antivirus me conseillerais-tu? je pensais à MSE ou AVG!?

merci d'avance pour tes réponses à toutes mes questions.

Marou81 · Answer

Re,

Tout à fait. La désinfection est finie. Nous allons finaliser.

Télécharge Junk Removal Tool. Suis ce tuto et poste moi le rapport : 
https://forum.security-x.fr/tutoriels-317/tutoriel-junkware-removal-tool

Ensuite télécharge Delfix, lance le programme puis coche purger restauration, reactiver UAC si ce n'est déjà fait et supprimer outils de désinfection.

Si tu n'as pas d'autreq questions, merci de mettre ce sujet en résolu.

Marou81 · Answer

Bonsoir,

Un peu de lecture serait aussi bien :)

Si tu veux un antivirus gratuit, choisis-en UN parmi ceux-ci : 
- Avast : http://www.commentcamarche.net/download/telecharger-151-avast-free-version
- AntiVir : http://www.commentcamarche.net/download/telecharger-55-antivir
- Microsoft Security Essentials : https://support.microsoft.com/en-us/windows/what-is-microsoft-security-essentials-c25ad47a-7d15-8072-1438-b07dffcbbb20

Pour le pare-feu, celui de Windows est suffisant. Inutile d'installer un anti-spyware, ces logiciels sont inutiles de nos jours (de toute façon, les antivirus actuels détectent aussi les adwares). En complément, tu peux utiliser MalwareBytes Anti-Malware pour faire des scans de vérification de temps en temps : http://www.malwarebytes.org/mbam/program/mbam-setup.exe


Dans tous les cas un antivirus est utile, mais qu'il soit gratuit ou payant, aucun antivirus ne te protègera à 100%, loin de là ! Le choix de l'antivirus n'est pas l'élément le plus important pour la sécurité d'un ordinateur, il faut prendre d'autres précautions :

* N'oublie pas de garder Windows à jour via Windows Update (accessible via le menu démarrer, dans la liste des programmes). L'idéal est de laisser activées les mises à jour automatiques.

* Garde aussi tes logiciels à jour, c'est très important d'avoir les dernières versions pour combler les failles de sécurité. Si tu souhaites être prévenu des mises à jour importantes à effectuer à l'avenir, je me permets de te signaler l'existence d'une lettre d'information proposée en bas à gauche de ce site. En t'inscrivant, tu recevras un e-mail dès que des mises à jour importantes pour la sécurité de ton ordinateur sont disponibles. Ces messages contiendront des explications pour savoir comment procéder, au cas où tu ne te sentes pas à l'aise pour le faire seul. 

* Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser exclusivement le navigateur Mozilla Firefox : http://www.mozilla-europe.org/fr/firefox/
Une fois que c'est fait, lance le et installe les deux extensions de sécurité suivantes :
- AdBlockPlus pour bloquer les publicités : https://addons.mozilla.org/fr/firefox/addon/adblock-plus/
- WOT pour t'avertir des sites web dangereux : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/

* WOT est également disponibles pour d'autres navigateurs si tu le souhaites : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp

* Si ton antivirus est Avira AntiVir, ignore cette étape : Vaccine tes disques amovibles à l'aide de MKV : http://general-changelog-team.fr/fr/downloads/viewdownload/15-outils-de-el-desaparecido/20-mkv
Il suffit de brancher tous tes disques amovibles (clé USB, disque dur externe, lecteur mp3, cartes mémoire...) sans les ouvrir, puis de lancer MKV et cliquer sur "Vacciner".

* Ne pas avoir un comportement à risque (installer tout et n'importe quoi sans réfléchir, télécharger des cracks)... Consulte ceci pour comprendre comment les infections actuelles se propagent et savoir les éviter : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf 
 

Si tu n'as pas d'autres questions, merci de mettre ce sujet en résolu.
Merci d'avoir suivi mes conseils étape par étape. N'oubliez pas de mettre sujet résolu.

tibouuh · Answer

voici le rapport de JRT :

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.0.8 (11.05.2013:1)
OS: Windows 7 Home Premium x64
Ran by MonNom on 18/12/2013 at 21:51:21,53
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values



~~~ Registry Keys

Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Tracing\APN_ATU3__RASAPI32
Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Tracing\APN_ATU3__RASMANCS



~~~ Files



~~~ Folders



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 18/12/2013 at 21:56:11,07
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Marou81 · Answer

Re,

Rapport ok.

Maintenant fais Delfix.

Puis télécharge ici SFTGC afin de vider les fichiers temporaires http://www.archive-host.com
Enregistrez le fichier sur le bureau.
Ouvrez SFTGC.exe et patientez durant l'initialisation du logiciel :
Pour lancer le nettoyage, il suffit de cliquer sur Go. 

Si tu n'as pas d'autres questions, merci de mettre ce sujet en résolu :)

tibouuh · Answer

presque tout ce que tu as mis, j'ai déjà ou je connais.
par contre, je connaissais pas la lettre d'information. j'utilisais FileHippo que je trouvais pas super efficace comme beaucoup de logiciels ne sont pas pris en compte. je vais tester ce site pour voir.

merci pour ton aide.
bonne soirée

Marou81 · Answer

Bonsoir,

Passe une bonne soirée, oublie pas de mettre ce sujet en résolu.

A+

tibouuh · Answer

1.26Go libérés!
question bête peut-être mais est-on sûr que ce que ces petits logiciels ne suppriment que des fichiers vraiment inutiles et que cela ne vas pas affecter le comportement du PC?
si je te demande ça c'est par rapport au nettoyage/désinfection que je devrais faire sur le PC de mes parents.

Marou81 · Answer

Re,

Rassure toi, tout les outils que j'utilise sont fiable, après tu peux utiliser Ccleaner pour le nettoyage de fichier et MalwareBytes une fois toute les deux semaines.

Les autres sont à utiliser qu'avec une personne experimenté.

PS : pour tes parents crée un nouveau sujet.

A+, si tu n'as pas d'autres questions. Met ce sujet en résolu

PC infecté? Paypal piraté

31 réponses

Discussions similaires

Newsletters