Infection ?

maaon · par **maaon** » 02 sept. 2019 20:47

Bonjour, je ne sais pas si je suis infecté, j'ai lancé le logiciel OTL qui m'a généré ce rapport :

https://pjjoint.malekal.com/files.php?i ... 11e10t1210

Mon PC était allumé, lorsque je suis revenu devant, ma souris bougeait toute seule, mozilla thunderbird était ouvert, une page web avec paypal également (je n'avais pas ouvert tout cela).
J'ai vu la souris bouger et toutes ces pages se fermer.

J'ai changé mon mot de passe paypal depuis mon smartphone et j'ai protégé thunderbird avec un mot de passe principal en mettant mon pc hors ligne mais je ne sais pas si c'est suffisant ...

Je suis très inquiet.

Merci

par **Parisien_entraide** » 02 sept. 2019 21:11

Bonsoir,

Suis plutôt la procedure de Malekal

La procédure de Malekal
__________________
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut.
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).
______________________

Néanmoins en regardant vite fait en diagonale j'ai noté :

ClamWin : Anti virus dépassé. C'était bon il y a 20 ans aux vues des infections de l'époque, et avec une recherche par signature

Y a quelques trucs.. bizarres comme :

C:\Program Files (x86)\sjnhdj1k23kj8u13788u2.exe

mais il manque le contexte (plus de détails avec les rapports FRST)

De toutes les façons tu as un LPS : WebCompagnion
Pour lecture (car il sera viré avec la fixlist fournie par Malekal ou Angélique) : https://www.malekal.com/supprimer-adawa ... companion/

Je vois que tu utilises via un accessoire de running, des itinaires GPS (format .gpx) Garmin ou Tom tom
Il faut savoir que ces fichiers comportent de nombreuses metadonnées qui peuvent être exploitées surtout si tu les mets en ligne (ou via facebook etc)

https://fr.wikipedia.org/wiki/GPX_(format_de_fichier)

Par exemple il a été facile de trouver l'identité meme inscrit via un pseudo :

https://lexpansion.lexpress.fr/high-tec ... 87031.html

Au delà de cela fait le ménage sur ton disque C

Drive C: | 226,21 Gb Total Space | 13,11 Gb Free Space | 5,80% Space Free Cela va vite se remplir

C'est un PC DELL recyclé ? (d'occas ou fourni par une sté ?)

Sinon je vois que tu utilises peekier.com, c'est rare de voir des personnes s'en servir... Son seul soucis c'est qu'on ne sais pas qui est ou sont les développeur, ni à qui cela appartient ni quel est le pays d'origine

maaon · par **maaon** » 02 sept. 2019 21:28

Merci pour la réponse rapide ; voici les liens vers les 3 fichiers :

shortcuts : https://pjjoint.malekal.com/files.php?i ... 7p13r15g15
Addition : https://pjjoint.malekal.com/files.php?i ... 5j9f12f6m7
FRST : https://pjjoint.malekal.com/files.php?i ... 5z7z14t9r6

Oui, c'est un PC dell acheté sur ebay d'occasion il y a 3 ou 4 ans. C'est une bonne machine, je m'en sers pour la CAO, la retouche photo, montage vidéo...

Je vais faire le ménage sur mon disque c:

Ps : j'aime bien ta signature, mon premier ordi était un amiga 500, j'en ai toujours la nostalgie...

maaon · par **maaon** » 02 sept. 2019 21:36

Je viens de voir que les connections à distances étaient activées, je ne l'avait jamais fait !!

par **Parisien_entraide** » 02 sept. 2019 21:57

En attendant que Malekal passe (y a du boulot) puisque tu as WINUAE de Cloanto :-) viewtopic.php?t=60830

maaon · par **maaon** » 02 sept. 2019 22:05

Je crois que je viens de trouver la source de mes maux : un exécutable nommé : 2lmtmdio6ee1.exe

Sur les propriétés je lis que le logiciel est en fait AnyDesk : un bureau à distance que je n'ai jamais installé et qui se trouvait ici :

C:\Users\pc\AppData\Local\Temp

Je ne sais pas trop comment cet exécutable s'est retrouvé là ...

Concernant WINUAE, je ne l'ai pas utilisé depuis longtemps. J'avais réussi à le faire tourner mais certains de mes jeux préférés plantaient au bout d'un moment notamment opération stealth de Delphine Software mais c'est peut être les roms qui avaient un souci.

par **Parisien_entraide** » 02 sept. 2019 22:20

Je n'ai pas regardé les liens FRST mais il doit apparaitre

De toutes les façons tu vas avoir besoin d'un fix parce qu'il n'y a pas que l'histoire du bureau à distance à priori
En plus ce truc ne s'installe pas tout seul
Soit tu n'avais pas formaté le PC après achat, soit quelqu'un a eu accès à ton PC, soit c'est venu avec l'un de tes logiciels ""acquis" via uTorrent, soit tu as subi une arnaque téléphonique https://www.malekal.com/arnaque-support ... c-support/, soit tu as été dirigé vers un vrai faux site, soit tu as des failles logicielles ou windows etc

maaon · par **maaon** » 02 sept. 2019 22:30

Il est bien dans le rapport FRST :

2019-09-02 20:15 - 2019-09-02 20:15 - 000000000 ____D C:\Users\pc\AppData\Roaming\AnyDesk

C'est l'heure à laquelle j'ai vu mon pc s'activer tout seul.

Je suis en train de changer tous mes mots de passe depuis le pc de ma femme.

J'ai du chopper cette m**de en exécutant un fichier douteux il y a 2 ou 3 jours (je me souviens avoir eu un doute avant..)

Maintenant ma question est : comment fixer ?

J'essaye de formater mon disque de données mais impossible car un autre programme y a accès ... Lequel ? Je cherche.

Après je pensais restaurer une ancienne sauvegarde de mon disque c: mais est ce que ce sera suffisant ?

par **Parisien_entraide** » 02 sept. 2019 22:49

Attend le passage de Malekal... Le formatage est l idéal, mais l'analyse des rapports peut être intéressante

maaon · par **maaon** » 02 sept. 2019 23:02

ok. merci

par **Malekal_morte** » 03 sept. 2019 10:40

Salut,

oui il y a des malwares.

1)Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :

Java
QuickTime
Web Companion (programme parasite)
Wondershare

2) Désactive/Supprime du démarrage :

HKLM\...\Run: [RtHDVCpl] => C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe [7637720 2014-09-23] (Realtek Semiconductor Corp -> Realtek Semiconductor)
HKLM\...\Run: [RtHDVBg] => C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe [1396592 2014-09-02] (Realtek Semiconductor Corp -> Realtek Semiconductor)
HKLM\...\Run: [WavesSvc] => C:\Program Files\Waves\MaxxAudio\WavesSvc64.exe [608000 2014-10-01] (Waves Inc -> Waves Audio Ltd.)
HKLM\...\Run: [BTMTrayAgent] => C:\Program Files (x86)\Intel\Bluetooth\btmshellex.dll [7822648 2014-10-28] (Motorola Solutions Inc. -> Motorola Solutions, Inc.)
HKLM\...\Run: [Apoint] => C:\Program Files\DellTPad\Apoint.exe [729432 2015-02-19] (Alps Electric Co., LTD. -> Alps Electric Co., Ltd.)
HKLM\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe
HKLM\...\Run: [AdobeGCInvoker-1.0] => C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGCInvokerUtility.exe [2849872 2019-07-04] (Adobe Inc. -> Adobe Systems, Incorporated)
HKLM\...\Run: [nwiz] => C:\Program Files\NVIDIA Corporation\nview\nwiz.exe [2727568 2014-10-24] (NVIDIA Corporation -> )
HKLM-x32\...\Run: [ClamWin] => C:\Program Files (x86)\ClamWin\bin\ClamTray.exe [86016 2018-03-03] (alch) [Fichier non signé]
HKLM-x32\...\Run: [Button Manager moon] => C:\Program Files (x86)\Brother\Button Manager\moon.exe [1819648 2015-11-02] (Avision) [Fichier non signé]
HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe [2133728 2017-09-12] (Wondershare Technology Co.,Ltd -> Wondershare)
HKLM-x32\...\Run: [Adobe Creative Cloud] => C:\Program Files (x86)\Adobe\Adobe Creative Cloud\ACC\Creative Cloud.exe [2384984 2016-12-09] (Adobe Systems Incorporated -> Adobe Systems Incorporated)
HKLM-x32\...\Run: [APSDaemon] => C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe [59720 2013-09-13] (Apple Inc. -> Apple Inc.)
HKLM-x32\...\Run: [WinampAgent] => "C:\Program Files (x86)\Winamp\winampa.exe"
HKLM-x32\...\Run: [Nokia Tray Application] => C:\Program Files (x86)\Common Files\Nokia\NCLTools\NclTray.exe [401408 2002-04-29] (Nokia Mobile Phones) [Fichier non signé]
HKLM-x32\...\Run: [PMBVolumeWatcher] => C:\Program Files (x86)\Sony\PlayMemories Home\PMBVolumeWatcher.exe [868328 2018-12-21] (Sony Imaging Products & Solutions Inc. -> Sony Corporation)
HKU\S-1-5-21-3453399402-2257264215-3492133688-1000\...\Run: [Ditto] => C:\Program Files\Ditto\Ditto.exe [2151424 2016-03-18] () [Fichier non signé]
HKU\S-1-5-21-3453399402-2257264215-3492133688-1000\...\Run: [Unified Remote V3] => "C:\Program Files (x86)\Unified Remote 3\RemoteServerWin.exe"
HKU\S-1-5-21-3453399402-2257264215-3492133688-1000\...\Run: [TomTom MySports Connect.exe] => C:\Program Files (x86)\TomTom\MySportsConnect\TomTom MySports Connect.exe [638464 2018-09-03] (TomTom) [Fichier non signé]
HKU\S-1-5-21-3453399402-2257264215-3492133688-1000\...\Run: [Folder Size] => C:\Program Files\FolderSize\FolderSize.exe [169472 2013-02-13] (Brio) [Fichier non signé]
HKU\S-1-5-21-3453399402-2257264215-3492133688-1000\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe [7882328 2019-08-29] (LAVASOFT SOFTWARE CANADA INC -> Lavasoft)
HKU\S-1-5-21-3453399402-2257264215-3492133688-1000\...\Run: [PC Suite Tray] => C:\Program Files (x86)\Nokia\Nokia PC Suite 7\PCSuite.exe [1516632 2012-06-26] (Nokia -> Nokia)

Voir : comment supprimer un programme au démarrage de Windows

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-3453399402-2257264215-3492133688-1000\...\Run: [NvBacknd] => C:\Users\pc\AppData\Roaming\762ad240-e290-4112-bac2-9718fdc52d0e\PresentationFontCache.exe [4974080 2019-08-28] (SoundCloud) 
HKU\S-1-5-21-3453399402-2257264215-3492133688-1000\...\Run: [NvBacknd] => C:\Users\pc\AppData\Roaming\762ad240-e290-4112-bac2-9718fdc52d0e\PresentationFontCache.exe
HKLM\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe
HKLM-x32\...\Run: [ClamWin] => C:\Program Files (x86)\ClamWin\bin\ClamTray.exe [86016 2018-03-03] (alch) [Fichier non signé]
HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe [2133728 2017-09-12] (Wondershare Technology Co.,Ltd -> Wondershare)
HKU\S-1-5-21-3453399402-2257264215-3492133688-1000\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe [7882328 2019-08-29] (LAVASOFT SOFTWARE CANADA INC -> Lavasoft)
HKU\S-1-5-21-3453399402-2257264215-3492133688-1000\...\Run: [sjnhdj1k23kj8u13788u2] => C:\Program Files (x86)\sjnhdj1k23kj8u13788u2.exe [28756869 2019-03-04] (Microsoft Corporation -> ) [Fichier non signé]ers\webshieldfilter.sys [98944 2019-04-02] (Protected Antivirus Limited -> Windows (R) Win 7 DDK provider)
Task: {1971C893-3C1E-45E0-9AED-8D7806DBABF7} - System32\Tasks\{1E18A923-CDF1-4D1C-93B2-AD4CC5BD33EA} => C:\Users\pc\AppData\Local\Temp\is-H34K0.tmp\XRD Manager.exe <==== ATTENTION
2019-09-02 17:35 - 2019-09-02 17:35 - 000631808 _____ (MicroTech) C:\Users\pc\AppData\Roaming\J3A38TETM7..EXE
2019-09-02 17:24 - 2019-09-02 17:24 - 000561152 _____ (Math Introductory) C:\Users\pc\AppData\Roaming\U0REL6CQI1..EXE
2019-09-01 08:43 - 2019-09-01 08:43 - 000540672 _____ (Matlab Corsers) C:\Users\pc\AppData\Local\JV77ZDIMQ2..EXE
2019-08-30 06:49 - 2019-08-30 06:49 - 000567808 _____ (MicroBit) C:\Users\pc\AppData\Roaming\UQOVZMKGKG..EXE
2019-08-29 20:58 - 2019-08-29 20:58 - 000088677 _____ C:\Users\pc\Desktop\829657.gpx
2019-08-29 17:35 - 2019-08-29 17:35 - 000000000 ___HD C:\Users\pc\AppData\Roaming\e3ef499f-bdaf-461c-b84a-15e748680d32
2019-08-29 17:35 - 2019-08-29 17:35 - 000000000 ___HD C:\Users\pc\AppData\Roaming\71e9136f-2361-40b0-b79f-a33135213597
2019-08-29 17:34 - 2019-08-29 17:34 - 000000000 ___HD C:\Users\pc\AppData\Roaming\f4c401fe-3cd9-4ce1-9bdf-221f8a10a6d7
2019-08-29 17:34 - 2019-08-29 17:34 - 000000000 ___HD C:\Users\pc\AppData\Roaming\762ad240-e290-4112-bac2-9718fdc52d0e
2019-08-29 17:33 - 2019-08-29 17:33 - 000000000 ___HD C:\Users\pc\AppData\Roaming\0c50e44f-0614-4aa7-8fa4-437dd9cd3ac5
2019-08-29 17:33 - 2019-08-29 17:33 - 000000000 ___HD C:\Users\pc\AppData\Roaming\02d3e61f-abd1-4d0f-9325-0b7783b9c4e0
2019-08-29 17:32 - 2019-08-29 17:32 - 000000000 ___HD C:\Users\pc\AppData\Roaming\8d7bd454-8342-4e0f-a89a-cc3f24f7b44c
2019-08-29 17:32 - 2019-08-29 17:32 - 000000000 ___HD C:\Users\pc\AppData\Roaming\0c7a11cc-2db3-48e3-a759-ad2107bc5f6c
2019-08-29 17:31 - 2019-08-29 17:31 - 000000000 ___HD C:\Users\pc\AppData\Roaming\8041e2bb-b19b-4f01-a0a1-235afb048c13
2019-08-29 17:31 - 2019-08-29 17:31 - 000000000 ___HD C:\Users\pc\AppData\Roaming\23411d5e-8d63-4cc7-a6f5-4cd5e946c450
2019-08-29 17:30 - 2019-08-29 17:30 - 000000000 ___HD C:\Users\pc\AppData\Roaming\681a273c-9473-4547-bb6e-cd83e96828ba
2019-08-29 17:30 - 2019-08-29 17:30 - 000000000 ___HD C:\Users\pc\AppData\Roaming\3ab5640e-91c5-48fe-ba35-9cac5c8da442
2019-08-29 17:29 - 2019-08-29 17:29 - 000000000 ___HD C:\Users\pc\AppData\Roaming\641ffde1-b89a-45e1-b995-b2aa0cc4ed8e
2019-08-29 17:29 - 2019-08-29 17:29 - 000000000 ___HD C:\Users\pc\AppData\Roaming\33000949-e2e2-414a-805b-ec374d48363f
2019-08-29 17:28 - 2019-08-29 17:28 - 000000000 ___HD C:\Users\pc\AppData\Roaming\f3b2e5c3-f36f-4636-8901-8970d7b98f98
2019-08-29 17:28 - 2019-08-29 17:28 - 000000000 ___HD C:\Users\pc\AppData\Roaming\287e863d-820a-41af-a691-905b1de48668
2019-08-29 17:27 - 2019-08-29 17:27 - 000567808 _____ (MicroBit) C:\ProgramData\A1PRB29WEC..EXE
2019-08-29 17:27 - 2019-08-29 17:27 - 000000000 ___HD C:\Users\pc\AppData\Roaming\dfb27a71-ea15-41b6-b696-edb53665b0ec
2019-08-29 17:27 - 2019-08-29 17:27 - 000000000 ___HD C:\Users\pc\AppData\Roaming\33ff2149-a981-4fbd-8924-de6d1487e17d
2019-08-29 17:26 - 2019-08-29 17:26 - 000000000 ___HD C:\Users\pc\AppData\Roaming\c64027d6-a835-49d0-9bf0-901918764040
2019-08-29 17:26 - 2019-08-29 17:26 - 000000000 ___HD C:\Users\pc\AppData\Roaming\6a66c56c-5dfb-4124-b5d3-007c137da782
2019-08-29 17:27 - 2019-08-29 17:27 - 000567808 _____ (MicroBit) C:\ProgramData\A1PRB29WEC..EXE
2019-03-04 18:00 - 2019-03-04 18:00 - 028756869 _____ () C:\Program Files (x86)\sjnhdj1k23kj8u13788u2.exe
2019-03-28 21:58 - 2019-03-28 21:58 - 000000171 _____ () C:\Users\pc\AppData\Roaming\822f02e4-9e9a-4077-a765-71edfca16ad0
2019-08-09 20:13 - 2019-08-09 20:13 - 000001057 _____ () C:\Users\pc\AppData\Roaming\88e9dc3a-641c-4dc2-9204-9ba65cc42265
2019-09-02 17:35 - 2019-09-02 17:35 - 000631808 _____ (MicroTech) C:\Users\pc\AppData\Roaming\J3A38TETM7..EXE
2019-06-18 21:13 - 2019-06-18 21:13 - 000262656 _____ (Oracle Corporation) C:\Users\pc\AppData\Roaming\Microsoft Framework.exe
2019-09-02 20:53 - 2019-09-02 20:53 - 000631808 _____ (MicroTech) C:\Users\pc\AppData\Roaming\NTV8MW3Q61..EXE
2016-09-03 19:04 - 2016-09-03 19:04 - 000000268 ___RH () C:\Users\pc\AppData\Roaming\Piano Med
2019-09-02 17:24 - 2019-09-02 17:24 - 000561152 _____ (Math Introductory) C:\Users\pc\AppData\Roaming\U0REL6CQI1..EXE
2019-08-30 06:49 - 2019-08-30 06:49 - 000567808 _____ (MicroBit) C:\Users\pc\AppData\Roaming\UQOVZMKGKG..EXE
2017-12-03 11:10 - 2017-12-03 11:10 - 000000600 _____ () C:\Users\pc\AppData\Roaming\winscp.rnd
2016-12-18 21:15 - 2016-12-18 21:15 - 000003584 _____ () C:\Users\pc\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2016-11-07 10:17 - 2019-02-09 00:23 - 000023125 _____ () C:\Users\pc\AppData\Local\digikamrc
2016-11-07 10:45 - 2019-02-09 00:20 - 000000024 _____ () C:\Users\pc\AppData\Local\digikam_tagsmanagerrc
2019-09-01 08:43 - 2019-09-01 08:43 - 000540672 _____ (Matlab Corsers) C:\Users\pc\AppData\Local\JV77ZDIMQ2..EXE
2018-09-29 08:28 - 2018-09-29 08:28 - 000000000 _____ () C:\Users\pc\AppData\Local\oobelibMkey.log
2018-03-17 17:58 - 2018-03-17 17:58 - 000005188 _____ () C:\Users\pc\AppData\Local\recently-used.xbel
EmptyTemp:
RemoveProxy:
Hosts:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :
* Réinitialiser et réparer Mozilla Firefox
* Réinitialiser et réparer Google Chrome
* Réinitialiser et réparer Internet Explorer
(Ne pas utiliser Zeok)

3)
Faire un nettoyage Malwarebytes Anti-Malware (MBAM ) version gratuite

maaon · par **maaon** » 03 sept. 2019 19:23

Merci pour les conseils. J'essayerai d'être plus prudent...

J'ai tout fait sauf désinstaller wondershare : c'est le logiciel dont je me sers pour le montage vidéo et je l'ai payé 60 €

Voici le rapport :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 31-08-2019
Exécuté par pc (03-09-2019 19:21:26) Run:6
Exécuté depuis C:\Users\pc\Desktop
Profils chargés: pc & postgres (Profils disponibles: pc & postgres & Invité)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************

*****************

==== Fin de Fixlog 19:21:26 ====

par **angelique** » 03 sept. 2019 19:30

Le fixlist contenu:
*****************

*****************

est vide !!

Télécharge à coté de FRST.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

➯ Relance FRST(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
Un redémarrage peut être nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

maaon · par **maaon** » 03 sept. 2019 20:06

désolé, j'avais fait une mauvaise manip...

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 31-08-2019
Exécuté par pc (03-09-2019 20:00:56) Run:7
Exécuté depuis C:\Users\pc\Desktop
Profils chargés: pc & postgres (Profils disponibles: pc & postgres & Invité)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
HKU\S-1-5-21-3453399402-2257264215-3492133688-1000\...\Run: [NvBacknd] => C:\Users\pc\AppData\Roaming\762ad240-e290-4112-bac2-9718fdc52d0e\PresentationFontCache.exe [4974080 2019-08-28] (SoundCloud)
HKU\S-1-5-21-3453399402-2257264215-3492133688-1000\...\Run: [NvBacknd] => C:\Users\pc\AppData\Roaming\762ad240-e290-4112-bac2-9718fdc52d0e\PresentationFontCache.exe
HKLM\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe
HKLM-x32\...\Run: [ClamWin] => C:\Program Files (x86)\ClamWin\bin\ClamTray.exe [86016 2018-03-03] (alch) [Fichier non signé]
HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe [2133728 2017-09-12] (Wondershare Technology Co.,Ltd -> Wondershare)
HKU\S-1-5-21-3453399402-2257264215-3492133688-1000\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe [7882328 2019-08-29] (LAVASOFT SOFTWARE CANADA INC -> Lavasoft)
HKU\S-1-5-21-3453399402-2257264215-3492133688-1000\...\Run: [sjnhdj1k23kj8u13788u2] => C:\Program Files (x86)\sjnhdj1k23kj8u13788u2.exe [28756869 2019-03-04] (Microsoft Corporation -> ) [Fichier non signé]ers\webshieldfilter.sys [98944 2019-04-02] (Protected Antivirus Limited -> Windows (R) Win 7 DDK provider)
Task: {1971C893-3C1E-45E0-9AED-8D7806DBABF7} - System32\Tasks\{1E18A923-CDF1-4D1C-93B2-AD4CC5BD33EA} => C:\Users\pc\AppData\Local\Temp\is-H34K0.tmp\XRD Manager.exe <==== ATTENTION
2019-09-02 17:35 - 2019-09-02 17:35 - 000631808 _____ (MicroTech) C:\Users\pc\AppData\Roaming\J3A38TETM7..EXE
2019-09-02 17:24 - 2019-09-02 17:24 - 000561152 _____ (Math Introductory) C:\Users\pc\AppData\Roaming\U0REL6CQI1..EXE
2019-09-01 08:43 - 2019-09-01 08:43 - 000540672 _____ (Matlab Corsers) C:\Users\pc\AppData\Local\JV77ZDIMQ2..EXE
2019-08-30 06:49 - 2019-08-30 06:49 - 000567808 _____ (MicroBit) C:\Users\pc\AppData\Roaming\UQOVZMKGKG..EXE
2019-08-29 20:58 - 2019-08-29 20:58 - 000088677 _____ C:\Users\pc\Desktop\829657.gpx
2019-08-29 17:35 - 2019-08-29 17:35 - 000000000 ___HD C:\Users\pc\AppData\Roaming\e3ef499f-bdaf-461c-b84a-15e748680d32
2019-08-29 17:35 - 2019-08-29 17:35 - 000000000 ___HD C:\Users\pc\AppData\Roaming\71e9136f-2361-40b0-b79f-a33135213597
2019-08-29 17:34 - 2019-08-29 17:34 - 000000000 ___HD C:\Users\pc\AppData\Roaming\f4c401fe-3cd9-4ce1-9bdf-221f8a10a6d7
2019-08-29 17:34 - 2019-08-29 17:34 - 000000000 ___HD C:\Users\pc\AppData\Roaming\762ad240-e290-4112-bac2-9718fdc52d0e
2019-08-29 17:33 - 2019-08-29 17:33 - 000000000 ___HD C:\Users\pc\AppData\Roaming\0c50e44f-0614-4aa7-8fa4-437dd9cd3ac5
2019-08-29 17:33 - 2019-08-29 17:33 - 000000000 ___HD C:\Users\pc\AppData\Roaming\02d3e61f-abd1-4d0f-9325-0b7783b9c4e0
2019-08-29 17:32 - 2019-08-29 17:32 - 000000000 ___HD C:\Users\pc\AppData\Roaming\8d7bd454-8342-4e0f-a89a-cc3f24f7b44c
2019-08-29 17:32 - 2019-08-29 17:32 - 000000000 ___HD C:\Users\pc\AppData\Roaming\0c7a11cc-2db3-48e3-a759-ad2107bc5f6c
2019-08-29 17:31 - 2019-08-29 17:31 - 000000000 ___HD C:\Users\pc\AppData\Roaming\8041e2bb-b19b-4f01-a0a1-235afb048c13
2019-08-29 17:31 - 2019-08-29 17:31 - 000000000 ___HD C:\Users\pc\AppData\Roaming\23411d5e-8d63-4cc7-a6f5-4cd5e946c450
2019-08-29 17:30 - 2019-08-29 17:30 - 000000000 ___HD C:\Users\pc\AppData\Roaming\681a273c-9473-4547-bb6e-cd83e96828ba
2019-08-29 17:30 - 2019-08-29 17:30 - 000000000 ___HD C:\Users\pc\AppData\Roaming\3ab5640e-91c5-48fe-ba35-9cac5c8da442
2019-08-29 17:29 - 2019-08-29 17:29 - 000000000 ___HD C:\Users\pc\AppData\Roaming\641ffde1-b89a-45e1-b995-b2aa0cc4ed8e
2019-08-29 17:29 - 2019-08-29 17:29 - 000000000 ___HD C:\Users\pc\AppData\Roaming\33000949-e2e2-414a-805b-ec374d48363f
2019-08-29 17:28 - 2019-08-29 17:28 - 000000000 ___HD C:\Users\pc\AppData\Roaming\f3b2e5c3-f36f-4636-8901-8970d7b98f98
2019-08-29 17:28 - 2019-08-29 17:28 - 000000000 ___HD C:\Users\pc\AppData\Roaming\287e863d-820a-41af-a691-905b1de48668
2019-08-29 17:27 - 2019-08-29 17:27 - 000567808 _____ (MicroBit) C:\ProgramData\A1PRB29WEC..EXE
2019-08-29 17:27 - 2019-08-29 17:27 - 000000000 ___HD C:\Users\pc\AppData\Roaming\dfb27a71-ea15-41b6-b696-edb53665b0ec
2019-08-29 17:27 - 2019-08-29 17:27 - 000000000 ___HD C:\Users\pc\AppData\Roaming\33ff2149-a981-4fbd-8924-de6d1487e17d
2019-08-29 17:26 - 2019-08-29 17:26 - 000000000 ___HD C:\Users\pc\AppData\Roaming\c64027d6-a835-49d0-9bf0-901918764040
2019-08-29 17:26 - 2019-08-29 17:26 - 000000000 ___HD C:\Users\pc\AppData\Roaming\6a66c56c-5dfb-4124-b5d3-007c137da782
2019-08-29 17:27 - 2019-08-29 17:27 - 000567808 _____ (MicroBit) C:\ProgramData\A1PRB29WEC..EXE
2019-03-04 18:00 - 2019-03-04 18:00 - 028756869 _____ () C:\Program Files (x86)\sjnhdj1k23kj8u13788u2.exe
2019-03-28 21:58 - 2019-03-28 21:58 - 000000171 _____ () C:\Users\pc\AppData\Roaming\822f02e4-9e9a-4077-a765-71edfca16ad0
2019-08-09 20:13 - 2019-08-09 20:13 - 000001057 _____ () C:\Users\pc\AppData\Roaming\88e9dc3a-641c-4dc2-9204-9ba65cc42265
2019-09-02 17:35 - 2019-09-02 17:35 - 000631808 _____ (MicroTech) C:\Users\pc\AppData\Roaming\J3A38TETM7..EXE
2019-06-18 21:13 - 2019-06-18 21:13 - 000262656 _____ (Oracle Corporation) C:\Users\pc\AppData\Roaming\Microsoft Framework.exe
2019-09-02 20:53 - 2019-09-02 20:53 - 000631808 _____ (MicroTech) C:\Users\pc\AppData\Roaming\NTV8MW3Q61..EXE
2016-09-03 19:04 - 2016-09-03 19:04 - 000000268 ___RH () C:\Users\pc\AppData\Roaming\Piano Med
2019-09-02 17:24 - 2019-09-02 17:24 - 000561152 _____ (Math Introductory) C:\Users\pc\AppData\Roaming\U0REL6CQI1..EXE
2019-08-30 06:49 - 2019-08-30 06:49 - 000567808 _____ (MicroBit) C:\Users\pc\AppData\Roaming\UQOVZMKGKG..EXE
2017-12-03 11:10 - 2017-12-03 11:10 - 000000600 _____ () C:\Users\pc\AppData\Roaming\winscp.rnd
2016-12-18 21:15 - 2016-12-18 21:15 - 000003584 _____ () C:\Users\pc\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2016-11-07 10:17 - 2019-02-09 00:23 - 000023125 _____ () C:\Users\pc\AppData\Local\digikamrc
2016-11-07 10:45 - 2019-02-09 00:20 - 000000024 _____ () C:\Users\pc\AppData\Local\digikam_tagsmanagerrc
2019-09-01 08:43 - 2019-09-01 08:43 - 000540672 _____ (Matlab Corsers) C:\Users\pc\AppData\Local\JV77ZDIMQ2..EXE
2018-09-29 08:28 - 2018-09-29 08:28 - 000000000 _____ () C:\Users\pc\AppData\Local\oobelibMkey.log
2018-03-17 17:58 - 2018-03-17 17:58 - 000005188 _____ () C:\Users\pc\AppData\Local\recently-used.xbel
RemoveProxy:
Hosts:
EmptyTemp:

*****************

Erreur: (0) Impossible de créer un point de restauration.
"HKU\S-1-5-21-3453399402-2257264215-3492133688-1000\Software\Microsoft\Windows\CurrentVersion\Run\\NvBacknd" => non trouvé(e)
"HKU\S-1-5-21-3453399402-2257264215-3492133688-1000\Software\Microsoft\Windows\CurrentVersion\Run\\NvBacknd" => non trouvé(e)
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Wondershare Helper Compact.exe" => non trouvé(e)
"HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\ClamWin" => non trouvé(e)
"HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\Wondershare Helper Compact.exe" => non trouvé(e)
"HKU\S-1-5-21-3453399402-2257264215-3492133688-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Web Companion" => non trouvé(e)
"HKU\S-1-5-21-3453399402-2257264215-3492133688-1000\Software\Microsoft\Windows\CurrentVersion\Run\\sjnhdj1k23kj8u13788u2" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1971C893-3C1E-45E0-9AED-8D7806DBABF7}" => non trouvé(e)
"C:\Windows\System32\Tasks\{1E18A923-CDF1-4D1C-93B2-AD4CC5BD33EA}" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{1E18A923-CDF1-4D1C-93B2-AD4CC5BD33EA}" => non trouvé(e)
"C:\Users\pc\AppData\Roaming\J3A38TETM7..EXE" => non trouvé(e)
"C:\Users\pc\AppData\Roaming\U0REL6CQI1..EXE" => non trouvé(e)
"C:\Users\pc\AppData\Local\JV77ZDIMQ2..EXE" => non trouvé(e)
"C:\Users\pc\AppData\Roaming\UQOVZMKGKG..EXE" => non trouvé(e)
"C:\Users\pc\Desktop\829657.gpx" => non trouvé(e)
"C:\Users\pc\AppData\Roaming\e3ef499f-bdaf-461c-b84a-15e748680d32" => non trouvé(e)
"C:\Users\pc\AppData\Roaming\71e9136f-2361-40b0-b79f-a33135213597" => non trouvé(e)
"C:\Users\pc\AppData\Roaming\f4c401fe-3cd9-4ce1-9bdf-221f8a10a6d7" => non trouvé(e)
"C:\Users\pc\AppData\Roaming\762ad240-e290-4112-bac2-9718fdc52d0e" => non trouvé(e)
"C:\Users\pc\AppData\Roaming\0c50e44f-0614-4aa7-8fa4-437dd9cd3ac5" => non trouvé(e)
"C:\Users\pc\AppData\Roaming\02d3e61f-abd1-4d0f-9325-0b7783b9c4e0" => non trouvé(e)
"C:\Users\pc\AppData\Roaming\8d7bd454-8342-4e0f-a89a-cc3f24f7b44c" => non trouvé(e)
"C:\Users\pc\AppData\Roaming\0c7a11cc-2db3-48e3-a759-ad2107bc5f6c" => non trouvé(e)
"C:\Users\pc\AppData\Roaming\8041e2bb-b19b-4f01-a0a1-235afb048c13" => non trouvé(e)
"C:\Users\pc\AppData\Roaming\23411d5e-8d63-4cc7-a6f5-4cd5e946c450" => non trouvé(e)
"C:\Users\pc\AppData\Roaming\681a273c-9473-4547-bb6e-cd83e96828ba" => non trouvé(e)
"C:\Users\pc\AppData\Roaming\3ab5640e-91c5-48fe-ba35-9cac5c8da442" => non trouvé(e)
"C:\Users\pc\AppData\Roaming\641ffde1-b89a-45e1-b995-b2aa0cc4ed8e" => non trouvé(e)
"C:\Users\pc\AppData\Roaming\33000949-e2e2-414a-805b-ec374d48363f" => non trouvé(e)
"C:\Users\pc\AppData\Roaming\f3b2e5c3-f36f-4636-8901-8970d7b98f98" => non trouvé(e)
"C:\Users\pc\AppData\Roaming\287e863d-820a-41af-a691-905b1de48668" => non trouvé(e)
"C:\ProgramData\A1PRB29WEC..EXE" => non trouvé(e)
"C:\Users\pc\AppData\Roaming\dfb27a71-ea15-41b6-b696-edb53665b0ec" => non trouvé(e)
"C:\Users\pc\AppData\Roaming\33ff2149-a981-4fbd-8924-de6d1487e17d" => non trouvé(e)
"C:\Users\pc\AppData\Roaming\c64027d6-a835-49d0-9bf0-901918764040" => non trouvé(e)
"C:\Users\pc\AppData\Roaming\6a66c56c-5dfb-4124-b5d3-007c137da782" => non trouvé(e)
"C:\ProgramData\A1PRB29WEC..EXE" => non trouvé(e)
"C:\Program Files (x86)\sjnhdj1k23kj8u13788u2.exe" => non trouvé(e)
"C:\Users\pc\AppData\Roaming\822f02e4-9e9a-4077-a765-71edfca16ad0" => non trouvé(e)
"C:\Users\pc\AppData\Roaming\88e9dc3a-641c-4dc2-9204-9ba65cc42265" => non trouvé(e)
"C:\Users\pc\AppData\Roaming\J3A38TETM7..EXE" => non trouvé(e)
"C:\Users\pc\AppData\Roaming\Microsoft Framework.exe" => non trouvé(e)
"C:\Users\pc\AppData\Roaming\NTV8MW3Q61..EXE" => non trouvé(e)
"C:\Users\pc\AppData\Roaming\Piano Med" => non trouvé(e)
"C:\Users\pc\AppData\Roaming\U0REL6CQI1..EXE" => non trouvé(e)
"C:\Users\pc\AppData\Roaming\UQOVZMKGKG..EXE" => non trouvé(e)
"C:\Users\pc\AppData\Roaming\winscp.rnd" => non trouvé(e)
"C:\Users\pc\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini" => non trouvé(e)
"C:\Users\pc\AppData\Local\digikamrc" => non trouvé(e)
"C:\Users\pc\AppData\Local\digikam_tagsmanagerrc" => non trouvé(e)
"C:\Users\pc\AppData\Local\JV77ZDIMQ2..EXE" => non trouvé(e)
"C:\Users\pc\AppData\Local\oobelibMkey.log" => non trouvé(e)
"C:\Users\pc\AppData\Local\recently-used.xbel" => non trouvé(e)

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3453399402-2257264215-3492133688-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3453399402-2257264215-3492133688-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès

========= Fin de RemoveProxy: =========

C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 6202463 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 4535 B
Edge => 0 B
Chrome => 0 B
Firefox => 53328413 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 0 B
systemprofile32 => 128 B
LocalService => 0 B
NetworkService => 0 B
pc => 23052193538 B
postgres => 0 B
Invité => 882952 B

RecycleBin => 0 B
EmptyTemp: => 21.5 GB données temporaires supprimées.

================================

Le système a dû redémarrer.

==== Fin de Fixlog 20:02:41 ====

maaon · par **maaon** » 03 sept. 2019 20:43

Voici le rapport de Malwarebytes

Malwarebytes
www.malwarebytes.com

-Détails du journal-
Date de l'analyse: 03/09/2019
Heure de l'analyse: 20:23
Fichier journal: fc331e30-ce77-11e9-901b-f8cab8093236.json

-Informations du logiciel-
Version: 3.8.3.2965
Version de composants: 1.0.613
Version de pack de mise à jour: 1.0.12309
Licence: Essai

-Informations système-
Système d'exploitation: Windows 7 Service Pack 1
Processeur: x64
Système de fichiers: NTFS
Utilisateur: pc-PC\pc

-Résumé de l'analyse-
Type d'analyse: Analyse des menaces
Analyse lancée par: Manuel
Résultat: Terminé
Objets analysés: 357285
Menaces détectées: 0
Menaces mises en quarantaine: 0
Temps écoulé: 1 min, 41 s

-Options d'analyse-
Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Désactivé
Heuristique: Activé
PUP: Détection
PUM: Détection

-Détails de l'analyse-
Processus: 0
(Aucun élément malveillant détecté)

Module: 0
(Aucun élément malveillant détecté)

Clé du registre: 0
(Aucun élément malveillant détecté)

Valeur du registre: 0
(Aucun élément malveillant détecté)

Données du registre: 0
(Aucun élément malveillant détecté)

Flux de données: 0
(Aucun élément malveillant détecté)

Dossier: 0
(Aucun élément malveillant détecté)

Fichier: 0
(Aucun élément malveillant détecté)

Secteur physique: 0
(Aucun élément malveillant détecté)

WMI: 0
(Aucun élément malveillant détecté)

(end)

J'espère que tout est ok.

Au niveau antivirus, vu que le mien est dépassé, lequel utiliser selon vous ? Je ne suis pas opposé à une version payante si le prix est raisonnable...

Malekal.com forum

Infection ?

Infection ?

Re: Infection ?

Re: Infection ?

Re: Infection ?

Re: Infection ?

Re: Infection ?

Re: Infection ?

Re: Infection ?

Re: Infection ?

Re: Infection ?

Re: Infection ?

Re: Infection ?

Re: Infection ?

Re: Infection ?

Re: Infection ?