Virus pop-up tenace - rappor adwcleaner inside [Résolu/Fermé]

Signaler
-
 sophie202 -
Bonjour,

un coup de fatigue sans doute, mais il y a qqes jours j'ai cliqué un peu hâtivement sur un bouton "suivant" et je me suis installé une saloperie de virus pop-up qui ralenti ma connexion internet.

Windows defender n'a rien trouvé, j'ai téléchargé Avira qui a effectivement trouvé un "trojan machin truc" mis en quarantaine. J'ai redémarré le PC (tablette/PC Asus) et là !surprise! mon mot de passe est invalide (vraiment invalide hein, j'ai vérifié les masjuscules, essayé 5 fois,...).

Après réinitialisation du mot de passe Outlook via mon smartphone, j'ai re-redémarré le PC et j'ai pu accéder à ma session, mais les pop-up et la connexion ralentie sont toujours là.

J'ai regardé un peu sur le forum, j'ai suivi la procédure Adwcleaner (rapport en dessous) et ca a l'air d'aller mieux, plus de pop-up, et la connexion a l'air ok.

Voilà mes questions:

- je gère mes comptes bancaires depuis ce PC etc... Comment être sure que le PC est sain et que ce vilain machin n'est pas en train de récupérer mes données perso?

- a part faire plus attention (bien entendu) j'installe quoi pour être sure des défenses de mon PC, Avira version gratuite ça suffi?

merci de votre aide et au plaisir de lire vos réponses
Sophie



# AdwCleaner v3.308 - Rapport créé le 01/09/2014 à 09:27:27
# Mis à jour le 20/08/2014 par Xplode
# Système d'exploitation : Windows 8.1 (32 bits)
# Nom d'utilisateur : sophie - NOTEBOOK
# Exécuté depuis : C:\Users\sophie\Desktop\adwcleaner_3.308.exe
# Option : Nettoyer

***** [ Services ] *****

[#] Service Supprimé : Update Adanak
[#] Service Supprimé : Util Adanak
Service Supprimé : {2f0ff925-183b-4210-98f5-cb2ffd917f2b}Gw

***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\Program Files\YourFileDownloader
Dossier Supprimé : C:\Program Files\Adanak
Dossier Supprimé : C:\Users\sophie\AppData\Local\Temp\Adanak
Fichier Supprimé : C:\Windows\system32\drivers\{2f0ff925-183b-4210-98f5-cb2ffd917f2b}Gw.sys
Fichier Supprimé : C:\Users\sophie\AppData\Roaming\Mozilla\Firefox\Profiles\20f5s17a.default\user.js

***** [ Tâches planifiées ] *****


***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Supprimée : HKCU\Software\MICROSOFT\INTERNET EXPLORER\DOMSTORAGE\superfish.com
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\DOMStorage\www.superfish.com
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\superfish.com
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\www.superfish.com
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extension Compatibility\{74F475FA-6C75-43BD-AAB9-ECDA6184F600}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\Adanak_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\Adanak_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\updateAdanak_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\updateAdanak_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\utilAdanak_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\utilAdanak_RASMANCS
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\Update Adanak
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\Util Adanak
Clé Supprimée : HKEY_USERS\.DEFAULT\Software\Microsoft\.NETFramework\SQM\Apps\updateAdanak.exe
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{4AA46D49-459F-4358-B4D1-169048547C23}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{5A4E3A41-FA55-4BDA-AED7-CEBE6E7BCB52}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{ef05f09c-9b2a-43a0-8155-fab1d641215a}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{AC8BD9BC-FD95-4546-B4A2-40B96306B323}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{A2D733A7-73B0-4C6B-B0C7-06A432950B66}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{8f79ba4b-6a53-4b70-8338-393c30d195f6}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ef05f09c-9b2a-43a0-8155-fab1d641215a}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{ef05f09c-9b2a-43a0-8155-fab1d641215a}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{ef05f09c-9b2a-43a0-8155-fab1d641215a}
Clé Supprimée : HKCU\Software\Adanak
Clé Supprimée : HKLM\SOFTWARE\YourFileDownloader
Clé Supprimée : HKLM\SOFTWARE\Adanak
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\YourFileDownloader
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Adanak

***** [ Navigateurs ] *****

-\\ Internet Explorer v11.0.9600.17239


-\\ Mozilla Firefox v31.0 (x86 fr)

[ Fichier : C:\Users\sophie\AppData\Roaming\Mozilla\Firefox\Profiles\20f5s17a.default\prefs.js ]


*************************

AdwCleaner[R0].txt - [4214 octets] - [01/09/2014 09:24:55]
AdwCleaner[S0].txt - [3860 octets] - [01/09/2014 09:27:27]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [3920 octets] ##########



8 réponses

Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 265
Salut,



Scan Malwarebytes (temps : environ 40min de scan):
==================================================
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour puis lance un examen.

A la fin du scan, clic sur "Mettre tout en quarantaine" en bas à gauche.
Redémarre l'ordinateur si besoin.
Après redémarrage, relance Malwarebytes.
Vas chercher le rapport dans l'onglet Historique.
A gauche Journal des examens.
Doube-clic sur l'examen dans la liste.
Puis en bas Copier dans le presse papier
Vas sur http://pjjoint.malekal.com et en bas, clic droit / coller pour coller le rapport du scan Malwarebytes.
Clic sur envoyer.
Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.



Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 265
- je gère mes comptes bancaires depuis ce PC etc... Comment être sure que le PC est sain et que ce vilain machin n'est pas en train de récupérer mes données perso?

Ce sont pas des trojans mais adwares, le seul but c'est d'afficher des pubs pour faire des $ avec ton PC.
merci pour la réactivité. C'est fait

http://pjjoint.malekal.com/files.php?id=20140901_10e13f10r15m5

question subsidiaire, comment un PC d'à peine 2 mois, tous soft et autre antivirus dûment à jour peut il être déjà infecté de plusieurs trucs chelou? Y-a-t-il un truc supplémentaire que je dois installer? Je précise que ça faisait plus de 10ans que je n'avais plus d'ordi perso, j'utilisais exclusivement le laptop du boulot, alors je ne me préoccupais pas des question de sécurité.

Merci pour l'aide et bonne journée
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 265
Pas grand chose :)




Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)


* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%PROGRAMFILES%\*.
%PROGRAMDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup www.google.fr /c
ping www.google.fr /c
ipconfig /all /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE


voilà encore merci

http://pjjoint.malekal.com/files.php?id=OTL_20140901_l15b7y6d5l11

http://pjjoint.malekal.com/files.php?id=OTL_Extras_20140901_c8j10x11y6q14
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 265
scanne ce fichier C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_17.5.9600.20573_x86__8wekyb3d8bbwe\LiveComm.exe
sur https://www.virustotal.com/gui/ et donne le lien ici.

il devrait être OK.


Plus de probleme de popups de publicités ?
ce lien lä?
https://www.virustotal.com/fr/file/854dc441663c5d9ac632cce825b1495aa5bd5e9ebd833e2b9892cf772aa149b7/analysis/

yep plus rien depuis le premier nettoyage, mais bon je voulais être sure que le PC est sain. Vu que 2x déjà on a eu droit à des transactions frauduleuses d'environ 900 euros. Prudence...
mrci bcp
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 265
oui :)

Pour les transactions faudruleuses, ça n'est pas la source.
Ces programmes sont des logiciels publicitaires, sont juste là pour afficher des pubs et gagner des $$ avec ton PC.
Ca s'arrete là.

pis bon y a pas que internet pour récup des infos bancaires :)
Tu peux lire cet article : https://forum.malekal.com/viewtopic.php?t=42811&start=

~~

Prévention :

Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=


Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/

merci pour tout