Menaces détectées sur PC par Malwarebytes

Résolu
Louisadu01 -  
billmaxime Messages postés 50523 Date d'inscription   Statut Contributeur Dernière intervention   -
Bonjour,

Après utilisation d'une carte mémoire que quelqu'un m'avait prêtée, j'ai fait une analyse de mon PC avec Malwarebytes et 2 menaces ont été détectées. J'ignore si celles-ci proviennent de la carte ou si elles étaient déjà sur mon PC.

Je les ai placées en quarantaine mais j'aimerais fait une analyse plus complète afin de savoir si mon PC est totalement débarrassé de ces menaces.

Pouvez-vous m'aider ?

Merci d'avance !

25 réponses

  • 1
  • 2
  1. billmaxime Messages postés 50523 Date d'inscription   Statut Contributeur Dernière intervention   6 150
     
    re

    j'avais modifié mon message précédent, et stipulé ceci pour FRST

    PS: pour supprimer FRST, renomme le en UNINSTALL.EXE et exécute le en tant qu'administrateur (clic droit)

    ensuite, tu peux mettre ton topic en résolu --> clique ici

    merci

    @+
    1
  2. billmaxime Messages postés 50523 Date d'inscription   Statut Contributeur Dernière intervention   6 150
     
    salut

    poste le rapport de MBAM via 1 copier/coller

    @+
    0
  3. Louisadu01
     
    Voici le rapport :
    https://up.security-x.fr/file.php?h=Rb9f9737928983e02cf5b2fb801e386b4
    0
  4. billmaxime Messages postés 50523 Date d'inscription   Statut Contributeur Dernière intervention   6 150
     
    re

    les éléments détectés et supprimés par MBAM servent à cr@cker Windows ou Office (KMSpico)

    RiskWare.AutoKMS, C:\WINDOWS\SECOH-QAD.DLL, En quarantaine, 7548, 947069, 1.0.41803, 1552BBCD6303E7A5276335FB, dds, 01292944, 6D7FDBF9CEAC51A76750FD38CF801F30, 0398221231CFF97E1FDC03D357AC4610AFB8F3CDDE4C90A9EC4D7823B405699E
    Malware.AI.2494985820, C:\WINDOWS\SECOH-QAD.EXE, En quarantaine, 1000000, 0, 1.0.41803, 256810A56FC4EC5094B6765C, dds, 01292944, 38DE5B216C33833AF710E88F7F64FC98, 9896A6FCB9BB5AC1EC5297B4A65BE3F647589ADF7C37B45F3F7466DECD6A4A7F

    KMSpico était sur ton pc et non pas dans la carte SD

    C:\WINDOWS\SECOH-QAD.DLL

    fait ceci sur ton pc:

    dans recherche, tape CMD et clique sur Exécuter en tant qu'administrateur

    dans la fenêtre qui s'ouvre, copie/colle cette commande --> slmgr /dlv et clique sur Enter

    poste 1 capture d'écran de la page qui s'ouvre via Cjoint --> clique ici

    si tu as des questions...

    @+
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Louisadu01
     
    Merci pour ton aide !

    Voici la capture :
    https://www.cjoint.com/c/KIdsdmc7kjC
    0
  7. billmaxime Messages postés 50523 Date d'inscription   Statut Contributeur Dernière intervention   6 150
     
    re

    ton Windows est Officiel, c'est probablement Office qui est cr@cker

    regarde sur ce site pour acheter 1 cle de licence/validation d'Office --> clique ici

    PS: regarde pour Office 2019 Plus ou Pro

    si tu as des questions...

    @+
    0
  8. Louisadu01
     
    Oui c'est Office. Mais j'avais déjà eu des soucis et quelqu'un m'avait pourtant supprimé le KMS spico. C'est étrange qu'il soit à nouveau détecté.

    En ce qui concerne mon PC, est-il clean ?
    Est-ce qu'il y a besoin de faire une analyse approfondie ? Avec des logiciels comme FRST par exemple ?
    0
  9. billmaxime Messages postés 50523 Date d'inscription   Statut Contributeur Dernière intervention   6 150
     
    re

    tu peux faire 1 analyse avec FRST, je lirai les rapports

    télécharge FRST de (Fabar) sur ton bureau --> clique ici

    PS: prends celui correspondant à ton pc (32 ou 64 bits) -> clique ici

    exécute le en tant qu'administrateur (clic droit)

    à la fin du scan, les rapports FRST et ADDITION s'afficheront sur ton bureau et dans C:\FRST\LOG

    poste les rapports via cjoint --> clique ici

    @+
    0
  10. Louisadu01
     
    Merci. Voici les rapports :

    https://www.cjoint.com/c/KIdtImtXVjC

    https://www.cjoint.com/c/KIdtJrCApYC
    0
  11. billmaxime Messages postés 50523 Date d'inscription   Statut Contributeur Dernière intervention   6 150
     
    re

    ok, je lis les rapports

    @+
    0
  12. billmaxime Messages postés 50523 Date d'inscription   Statut Contributeur Dernière intervention   6 150
     
    re

    supprime Wondershare via programmes et fonctionnalités du panneau de configuration

    ton imprimante Canon MP240 n'est plus installée?

    @+

    0
  13. Louisadu01
     
    C'est fait ! Cela m'a affiché :

    "La désinstallation est terminée.
    Certains éléments n'ont pas pu être supprimés automatiquement, vous pouvez le supprimer manuellement."

    Que dois-je faire maintenant ?
    0
  14. billmaxime Messages postés 50523 Date d'inscription   Statut Contributeur Dernière intervention   6 150
     
    re

    je supprimerai les restes avec le script de correction

    dis-moi si ton imprimante Canon MP240 est encore installée sur ton pc, car il n'y a pas de pilotes piur W10?

    @+
    0
  15. Louisadu01
     
    re

    Ok merci beaucoup !

    Alors je n'utilise plus cette imprimante car j'ai perdu le câble USB mais si j'en retrouve un, j'aimerais bien l'utiliser pour scanner (les scans sont plus nets qu'avec la HP Office jet pro).
    0
  16. billmaxime Messages postés 50523 Date d'inscription   Statut Contributeur Dernière intervention   6 150
     
    re

    ok, j'inclus les restes dans le script aussi

    @+
    0
  17. billmaxime Messages postés 50523 Date d'inscription   Statut Contributeur Dernière intervention   6 150
     
    re

    ok, fait ceci:

    ouvre FRST

    copie tout le texte ci-dessous: (de Start:: à End::)

    Start::
    CreateRestorePoint:
    CloseProcesses:
    HKLM\...\Windows x64\Print Processors\Canon MP240 series Print Processor: C:\Windows\System32\spool\prtprocs\x64\CNMPD9H.DLL [27648 2008-03-31] (Microsoft Windows Hardware Compatibility Publisher -> CANON INC.)
    (Wondershare Technology Co.,Ltd -> Wondershare) C:\Program Files (x86)\Wondershare\WAF\2.4.3.242\WsAppService.exe
    Task: {2CAE2532-635C-4E59-9572-1300E49853FE} - \Microsoft\Windows\UNP\RunCampaignManager -> Pas de fichier <==== ATTENTION
    Edge Extension: (Pas de nom) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [non trouvé(e)]
    Edge Extension: (Pas de nom) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [non trouvé(e)]
    Edge Extension: (Pas de nom) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [non trouvé(e)]
    Edge Extension: (Pas de nom) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [non trouvé(e)]
    R2 WsAppService; C:\Program Files (x86)\Wondershare\WAF\2.4.3.242\WsAppService.exe [495720 2018-08-29] (Wondershare Technology Co.,Ltd -> Wondershare)
    CCleaner (HKLM\...\CCleaner) (Version: 5.60 - Piriform)
    Mozilla Firefox 77.0.1 (x64 fr) (HKLM\...\Mozilla Firefox 77.0.1 (x64 fr)) (Version: 77.0.1 - Mozilla)
    Mozilla Maintenance Service (HKLM-x32\...\MozillaMaintenanceService) (Version: 77.0.1.7458 - Mozilla)
    Wondershare Recoverit(Build 8.0.4.3) (HKLM-x32\...\{829555DC-31E5-4FEA-B350-8FCF24CECD95}_is1) (Version: 8.0.4.3 - Wondershare Software Co.,Ltd.)
    CustomCLSID: HKU\S-1-5-21-388317877-4134362928-3332119271-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92}\InprocServer32 -> C:\Users\Alexandra\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.20244.4\x64\Microsoft.Teams.AddinLoader.dll => Pas de fichier
    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Pas de fichier
    EmptyTemp:
    Reboot:
    End:: 


    quand le script est copié, clique sur corriger dans FRST

    laisse la correction se faire avec FRST et redémarre le pc quand il te le sera demandé

    quand le pc aura redémarré, tu auras 1 fichier FIXLOG sur le bureau, poste le via 1 copier dans ta réponse

    @+
    0
  18. Louisadu01
     
    Pour ouvrir FRST, est-ce que je dois encore exécuter en tant qu'administrateur ou juste ouvrir en double-cliquant ?

    Et pour le correctif, il faut le copier mais pas le coller, c'est bien ça ?

    Merci d'avance !
    0
  19. billmaxime Messages postés 50523 Date d'inscription   Statut Contributeur Dernière intervention   6 150
     
    salut

    Pour ouvrir FRST, est-ce que je dois encore exécuter en tant qu'administrateur ou juste ouvrir en double-cliquant ?


    c'est pareil

    Et pour le correctif, il faut le copier mais pas le coller, c'est bien ça ?

    oui, c'est bien ça

    @+
    0
  20. Louisadu01
     
    Salut

    Voici le rapport :
    https://www.cjoint.com/c/KIela0p3FvC

    Je viens de m'apercevoir que cela avait supprimé mon historique sur Google chrome. Est-ce qu'il y a un moyen de le retrouver par hasard ?
    0
  21. billmaxime Messages postés 50523 Date d'inscription   Statut Contributeur Dernière intervention   6 150
     
    salut

    Je viens de m'apercevoir que cela avait supprimé mon historique sur Google chrome. Est-ce qu'il y a un moyen de le retrouver par hasard ?

    je ne sais pas car je nettoie l'historique de navigation tous les jours

    par contre, quand je veux conserver le lien d'1 etc..., je le mets dans mes favoris

    PS: pour supprimer FRST, renomme le en UNINSTALL.EXE et exécute le en tant qu'administrateur (clic droit)

    @+
    0
  • 1
  • 2