Menaces détectées sur PC par Malwarebytes

Résolu/Fermé
Louisadu01 - 3 sept. 2021 à 17:37
billmaxime Messages postés 50445 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 23 décembre 2024 - 5 sept. 2021 à 07:51
Bonjour,

Après utilisation d'une carte mémoire que quelqu'un m'avait prêtée, j'ai fait une analyse de mon PC avec Malwarebytes et 2 menaces ont été détectées. J'ignore si celles-ci proviennent de la carte ou si elles étaient déjà sur mon PC.

Je les ai placées en quarantaine mais j'aimerais fait une analyse plus complète afin de savoir si mon PC est totalement débarrassé de ces menaces.

Pouvez-vous m'aider ?

Merci d'avance !
A voir également:

25 réponses

billmaxime Messages postés 50445 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 23 décembre 2024 6 011
4 sept. 2021 à 23:14
re

j'avais modifié mon message précédent, et stipulé ceci pour FRST

PS: pour supprimer FRST, renomme le en UNINSTALL.EXE et exécute le en tant qu'administrateur (clic droit)

ensuite, tu peux mettre ton topic en résolu --> clique ici

merci

@+
1
billmaxime Messages postés 50445 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 23 décembre 2024 6 011
3 sept. 2021 à 17:58
salut

poste le rapport de MBAM via 1 copier/coller

@+
0
Voici le rapport :
https://up.security-x.fr/file.php?h=Rb9f9737928983e02cf5b2fb801e386b4
0
billmaxime Messages postés 50445 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 23 décembre 2024 6 011
3 sept. 2021 à 18:30
re

les éléments détectés et supprimés par MBAM servent à cr@cker Windows ou Office (KMSpico)

RiskWare.AutoKMS, C:\WINDOWS\SECOH-QAD.DLL, En quarantaine, 7548, 947069, 1.0.41803, 1552BBCD6303E7A5276335FB, dds, 01292944, 6D7FDBF9CEAC51A76750FD38CF801F30, 0398221231CFF97E1FDC03D357AC4610AFB8F3CDDE4C90A9EC4D7823B405699E
Malware.AI.2494985820, C:\WINDOWS\SECOH-QAD.EXE, En quarantaine, 1000000, 0, 1.0.41803, 256810A56FC4EC5094B6765C, dds, 01292944, 38DE5B216C33833AF710E88F7F64FC98, 9896A6FCB9BB5AC1EC5297B4A65BE3F647589ADF7C37B45F3F7466DECD6A4A7F

KMSpico était sur ton pc et non pas dans la carte SD

C:\WINDOWS\SECOH-QAD.DLL

fait ceci sur ton pc:

dans recherche, tape CMD et clique sur Exécuter en tant qu'administrateur

dans la fenêtre qui s'ouvre, copie/colle cette commande --> slmgr /dlv et clique sur Enter

poste 1 capture d'écran de la page qui s'ouvre via Cjoint --> clique ici

si tu as des questions...

@+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Merci pour ton aide !

Voici la capture :
https://www.cjoint.com/c/KIdsdmc7kjC
0
billmaxime Messages postés 50445 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 23 décembre 2024 6 011
3 sept. 2021 à 20:13
re

ton Windows est Officiel, c'est probablement Office qui est cr@cker

regarde sur ce site pour acheter 1 cle de licence/validation d'Office --> clique ici

PS: regarde pour Office 2019 Plus ou Pro

si tu as des questions...

@+
0
Oui c'est Office. Mais j'avais déjà eu des soucis et quelqu'un m'avait pourtant supprimé le KMS spico. C'est étrange qu'il soit à nouveau détecté.

En ce qui concerne mon PC, est-il clean ?
Est-ce qu'il y a besoin de faire une analyse approfondie ? Avec des logiciels comme FRST par exemple ?
0
billmaxime Messages postés 50445 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 23 décembre 2024 6 011
3 sept. 2021 à 20:51
re

tu peux faire 1 analyse avec FRST, je lirai les rapports

télécharge FRST de (Fabar) sur ton bureau --> clique ici

PS: prends celui correspondant à ton pc (32 ou 64 bits) -> clique ici

exécute le en tant qu'administrateur (clic droit)

à la fin du scan, les rapports FRST et ADDITION s'afficheront sur ton bureau et dans C:\FRST\LOG

poste les rapports via cjoint --> clique ici

@+
0
Merci. Voici les rapports :

https://www.cjoint.com/c/KIdtImtXVjC

https://www.cjoint.com/c/KIdtJrCApYC
0
billmaxime Messages postés 50445 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 23 décembre 2024 6 011
3 sept. 2021 à 21:38
re

ok, je lis les rapports

@+
0
billmaxime Messages postés 50445 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 23 décembre 2024 6 011
Modifié le 3 sept. 2021 à 21:46
re

supprime Wondershare via programmes et fonctionnalités du panneau de configuration

ton imprimante Canon MP240 n'est plus installée?

@+

0
C'est fait ! Cela m'a affiché :

"La désinstallation est terminée.
Certains éléments n'ont pas pu être supprimés automatiquement, vous pouvez le supprimer manuellement."

Que dois-je faire maintenant ?
0
billmaxime Messages postés 50445 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 23 décembre 2024 6 011
3 sept. 2021 à 21:54
re

je supprimerai les restes avec le script de correction

dis-moi si ton imprimante Canon MP240 est encore installée sur ton pc, car il n'y a pas de pilotes piur W10?

@+
0
re

Ok merci beaucoup !

Alors je n'utilise plus cette imprimante car j'ai perdu le câble USB mais si j'en retrouve un, j'aimerais bien l'utiliser pour scanner (les scans sont plus nets qu'avec la HP Office jet pro).
0
billmaxime Messages postés 50445 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 23 décembre 2024 6 011
3 sept. 2021 à 22:03
re

ok, j'inclus les restes dans le script aussi

@+
0
billmaxime Messages postés 50445 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 23 décembre 2024 6 011
3 sept. 2021 à 22:21
re

ok, fait ceci:

ouvre FRST

copie tout le texte ci-dessous: (de Start:: à End::)

Start::
CreateRestorePoint:
CloseProcesses:
HKLM\...\Windows x64\Print Processors\Canon MP240 series Print Processor: C:\Windows\System32\spool\prtprocs\x64\CNMPD9H.DLL [27648 2008-03-31] (Microsoft Windows Hardware Compatibility Publisher -> CANON INC.)
(Wondershare Technology Co.,Ltd -> Wondershare) C:\Program Files (x86)\Wondershare\WAF\2.4.3.242\WsAppService.exe
Task: {2CAE2532-635C-4E59-9572-1300E49853FE} - \Microsoft\Windows\UNP\RunCampaignManager -> Pas de fichier <==== ATTENTION
Edge Extension: (Pas de nom) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [non trouvé(e)]
Edge Extension: (Pas de nom) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [non trouvé(e)]
Edge Extension: (Pas de nom) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [non trouvé(e)]
Edge Extension: (Pas de nom) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [non trouvé(e)]
R2 WsAppService; C:\Program Files (x86)\Wondershare\WAF\2.4.3.242\WsAppService.exe [495720 2018-08-29] (Wondershare Technology Co.,Ltd -> Wondershare)
CCleaner (HKLM\...\CCleaner) (Version: 5.60 - Piriform)
Mozilla Firefox 77.0.1 (x64 fr) (HKLM\...\Mozilla Firefox 77.0.1 (x64 fr)) (Version: 77.0.1 - Mozilla)
Mozilla Maintenance Service (HKLM-x32\...\MozillaMaintenanceService) (Version: 77.0.1.7458 - Mozilla)
Wondershare Recoverit(Build 8.0.4.3) (HKLM-x32\...\{829555DC-31E5-4FEA-B350-8FCF24CECD95}_is1) (Version: 8.0.4.3 - Wondershare Software Co.,Ltd.)
CustomCLSID: HKU\S-1-5-21-388317877-4134362928-3332119271-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92}\InprocServer32 -> C:\Users\Alexandra\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.20244.4\x64\Microsoft.Teams.AddinLoader.dll => Pas de fichier
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Pas de fichier
EmptyTemp:
Reboot:
End:: 


quand le script est copié, clique sur corriger dans FRST

laisse la correction se faire avec FRST et redémarre le pc quand il te le sera demandé

quand le pc aura redémarré, tu auras 1 fichier FIXLOG sur le bureau, poste le via 1 copier dans ta réponse

@+
0
Pour ouvrir FRST, est-ce que je dois encore exécuter en tant qu'administrateur ou juste ouvrir en double-cliquant ?

Et pour le correctif, il faut le copier mais pas le coller, c'est bien ça ?

Merci d'avance !
0
billmaxime Messages postés 50445 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 23 décembre 2024 6 011
4 sept. 2021 à 08:27
salut

Pour ouvrir FRST, est-ce que je dois encore exécuter en tant qu'administrateur ou juste ouvrir en double-cliquant ?


c'est pareil

Et pour le correctif, il faut le copier mais pas le coller, c'est bien ça ?

oui, c'est bien ça

@+
0
Salut

Voici le rapport :
https://www.cjoint.com/c/KIela0p3FvC

Je viens de m'apercevoir que cela avait supprimé mon historique sur Google chrome. Est-ce qu'il y a un moyen de le retrouver par hasard ?
0
billmaxime Messages postés 50445 Date d'inscription dimanche 20 novembre 2011 Statut Contributeur Dernière intervention 23 décembre 2024 6 011
Modifié le 4 sept. 2021 à 13:33
salut

Je viens de m'apercevoir que cela avait supprimé mon historique sur Google chrome. Est-ce qu'il y a un moyen de le retrouver par hasard ?

je ne sais pas car je nettoie l'historique de navigation tous les jours

par contre, quand je veux conserver le lien d'1 etc..., je le mets dans mes favoris

PS: pour supprimer FRST, renomme le en UNINSTALL.EXE et exécute le en tant qu'administrateur (clic droit)

@+
0