FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[natacouette]

Bonjour

Un beau pc tout neuf sous window 10 et déja infecté par wajam en telechargeant chrome! Je l'ai supprimé avec rgcleaner mais les pubs continuent... Je viens de passer MBAM, et il a trouvé plein de vilaines betes. Je joins le rapport en espérant que quel'qu'un saura dire si cela suffit de les supprimer ou si je dois faire autre chose.
merci
Nat
Malwarebytes Anti-Malware
www.malwarebytes.org

Date de l'analyse: 06/12/2015
Heure de l'analyse: 23:05
Fichier journal: malware.txt
Administrateur: Oui

Version: 2.2.0.1024
Base de données de programmes malveillants: v2015.12.06.05
Base de données de rootkits: v2015.11.26.01
Licence: Essai
Protection contre les programmes malveillants: Activé
Protection contre les sites Web malveillants: Activé
Autoprotection: Désactivé

Système d'exploitation: Windows 10
Processeur: x64
Système de fichiers: NTFS
Utilisateur: Natalie Avondo

Type d'analyse: Analyse des menaces
Résultat: Terminé
Objets analysés: 324730
Temps écoulé: 6 min, 12 s

Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Désactivé
Heuristique: Activé
PUP: Activé
PUM: Activé

Processus: 0
(Aucun élément malveillant détecté)

Modules: 0
(Aucun élément malveillant détecté)

Clés du Registre: 6
PUP.Optional.VBates, HKLM\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\ROOT\CERTIFICATES\A7BD54B233B5B2F70AF86F5BD1A0C0A772A59FC6, , [a33ad4cd4447e254e9c485191ce6d927],
PUP.Optional.VBates, HKLM\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\ROOT\CERTIFICATES\D830B6B8939ACB4928401060203BB648456BB4F8, , [3da01d8485063204109e2e70788a1ce4],
PUP.Optional.VBates, HKLM\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\ROOT\CERTIFICATES\F53E693DDABF57A88A9B12B608B09B26C0608B74, , [b22b851c771420166946217d1ae807f9],
PUP.Optional.VBates, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\SYSTEMCERTIFICATES\ROOT\CERTIFICATES\A7BD54B233B5B2F70AF86F5BD1A0C0A772A59FC6, , [32ab148d2e5d14227439a5f9da283cc4],
PUP.Optional.VBates, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\SYSTEMCERTIFICATES\ROOT\CERTIFICATES\D830B6B8939ACB4928401060203BB648456BB4F8, , [20bd01a0781342f4e2cc425cdf23b24e],
PUP.Optional.VBates, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\SYSTEMCERTIFICATES\ROOT\CERTIFICATES\F53E693DDABF57A88A9B12B608B09B26C0608B74, , [00dd772a95f6171f28872a740ff3a45c],

Valeurs du Registre: 1
PUP.Optional.3DBubbleSound, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|3D BubbleSound, "C:\Program Files\BubbleSound\3D BubbleSound.exe", , [d607643d0e7d1620d08e96e1b74c5ba5]

Données du Registre: 0
(Aucun élément malveillant détecté)

Dossiers: 3
PUP.Optional.VBates, C:\Users\Natalie Avondo\AppData\LocalLow\Company\Product\1.0, , [db021c85b1da3402d13ad6ee2cd77b85],
PUP.Optional.VBates, C:\Users\Natalie Avondo\AppData\LocalLow\Company\Product, , [db021c85b1da3402d13ad6ee2cd77b85],
Adware.LaSuperba, C:\uninst, , [9a435c45ee9df343f56fc0e1f70de818],

Fichiers: 19
PUP.Optional.Komodia.WnskRST, C:\Users\Natalie Avondo\AppData\Local\Temp\oprun23009.exe, , [815cb4ed2c5fa69041af1189778a748c],
Adware.PennyBee, C:\Users\Natalie Avondo\AppData\Local\Temp\oprun24512.exe, , [30adf7aafb90979fc1467d3958a96b95],
Adware.PennyBee, C:\Users\Natalie Avondo\AppData\Local\Temp\oprun27069.exe, , [9f3e277a167558de7b8ca1157889f10f],
PUP.Optional.Komodia.WnskRST, C:\Users\Natalie Avondo\AppData\Local\Temp\oprun28383.exe, , [6479a7fa1279280e9858d5c56c9544bc],
PUP.Optional.Wajam, C:\Users\Natalie Avondo\AppData\Local\Temp\0cca8f58-0295-4293-b48f-17e8126b9c2c\wwe_1.54.1.13.exe, , [45989809b4d7af87937c27271fe2a35d],
PUP.Optional.WebBar, C:\Users\Natalie Avondo\AppData\Local\Temp\9a6210ec-219f-4244-a482-bed936606693\web_bar_setup_is2.exe, , [19c43c65d5b6c472ab2da68a34cd6d93],
PUP.Optional.Wajam, C:\Users\Natalie Avondo\AppData\Local\Temp\a5c11a2b-5169-4a26-a8dd-2f5e3f264419\wwe_1.54.1.13.exe, , [39a40899fe8d93a365aada74d928e21e],
PUP.Optional.BundleInstaller, C:\Users\Natalie Avondo\Downloads\google chrome (1).exe, , [3ba258492863979f954c330d34cd9c64],
PUP.Optional.BundleInstaller, C:\Users\Natalie Avondo\Downloads\google chrome (2).exe, , [01dc6140dfac1e186b76dd637190ec14],
PUP.Optional.BundleInstaller, C:\Users\Natalie Avondo\Downloads\google chrome.exe, , [3ca1faa75437e155a839033d37ca08f8],
Trojan.Agent, C:\Users\Natalie Avondo\AppData\Local\Temp\oprun23009.exe, , [e6f79c050f7cea4c2de4d2227b876997],
Trojan.Agent, C:\Users\Natalie Avondo\AppData\Local\Temp\oprun28383.exe, , [c617b0f18dfeab8bb65bec08877bef11],
PUP.Optional.VBates, C:\Users\Natalie Avondo\AppData\LocalLow\Company\Product\1.0\localStorageIE.txt, , [db021c85b1da3402d13ad6ee2cd77b85],
PUP.Optional.VBates, C:\Users\Natalie Avondo\AppData\LocalLow\Company\Product\1.0\localStorageIE_backup.txt, , [db021c85b1da3402d13ad6ee2cd77b85],
PUP.Optional.VBates.WnskRST, C:\Users\Natalie Avondo\AppData\Local\Temp\shopperz051220152253_installer_1449350480.txt, , [54892f723c4f66d05e4c6789c043b749],
PUP.Optional.VBates.WnskRST, C:\Users\Natalie Avondo\AppData\Local\Temp\shopperz051220152253_installer_1449351269.txt, , [27b69b0625662b0b3d6d6f81798a669a],
Adware.LaSuperba, C:\uninst\uninstall.html, , [9a435c45ee9df343f56fc0e1f70de818],
PUP.Optional.YourSearching.ShrtCln, C:\Users\Natalie Avondo\AppData\Local\Temp\HomePage.dat, , [24b9574a810a8fa7cb900f92b64e56aa],
PUP.Optional.HijackHosts.Gen, C:\Windows\System32\abos\aewo\lor.dat, , [934ab4edabe0cb6b5ac59a03d4300af6],

Secteurs physiques: 0
(Aucun élément malveillant détecté)


(end)

[2011N2]

Bonjour,



Où as-tu téléchargé Chrome ? Tu as mis les éléments que MBAM a détecté en quarantaine ?

Passe AdwCleaner et poste le rapport : http://www.forum-entraide-informatique. ... -tutoriel/

Gabriel.

[natacouette]

Voici le rapport. Oui je les ai mis en quarantaine et je ne sais plus où j'ai téléchargé chrome car impossible d'accéder à l'historique de edge sans qu'une fenetre de pub bloque tout. Firefox remarche lui.
Merci pour votre précieuse aide.
nat
# AdwCleaner v5.024 - Rapport créé le 07/12/2015 à 20:55:18
# Mis à jour le 07/12/2015 par Xplode
# Base de données : 2015-12-07.3 [Serveur]
# Système d'exploitation : Windows 10 Home (x64)
# Nom d'utilisateur : Natalie Avondo - DESKTOP-K08NQ75
# Exécuté depuis : C:\Users\Natalie Avondo\Downloads\adwcleaner_5.024.exe
# Option : Scanner
# Support : http://toolslib.net/forum

***** [ Services ] *****


***** [ Dossiers ] *****


***** [ Fichiers ] *****


***** [ DLL ] *****

Fichier Infecté : C:\Windows\SysNative\dnsapi.dll
Fichier Infecté : C:\Windows\SysWOW64\dnsapi.dll

***** [ Raccourcis ] *****


***** [ Tâches planifiées ] *****


***** [ Registre ] *****


***** [ Navigateurs ] *****


########## EOF - C:\AdwCleaner\AdwCleaner[S3].txt - [747 octets] ##########

[2011N2]

Bonjour,

D'accord. Fais un diagnostic de ton PC avec ZHPDiag et poste le rapport hébergé : http://www.forum-entraide-informatique. ... -tutoriel/

Gabriel.

[natacouette]

http://www.cjoint.com/c/ELij36HmSSj

Voilà c'est fait, merci.
Natalie

[2011N2]

Re,

Fais ZHPFix comme ceci avec ces lignes, et poste le rapport.

Gabriel.

[natacouette]

Comme cela, cela suffit?


Rapport de ZHPFix 2015.10.19.9 par Nicolas Coolman, Update du 19/10/2015
Fichier d'export Registre :
Run by Natalie Avondo at 08/12/2015 11:15:18
High Elevated Privileges : OK
Windows 8 Home Premium Edition, 64-bit Service Pack 1 (10240)

Corbeille vidée (00mn 07s)
Dossier Prefetcher vidé

========== Processus mémoire ==========
SUPPRIMÉ: Memory Process: C:\Users\Natalie Avondo\AppData\Local\Microsoft\Windows\INetCache\IE\XJWQN4U6\llys_yoursearching[1].exe

========== Clés du Registre ==========
SUPPRIMÉ: Service: Uaeko

========== Valeurs du Registre ==========
Aucune Valeur Standard Profile: FirewallRaz :
Aucune Valeur Domain Profile: FirewallRaz :
SUPPRIMÉ: FirewallRaz (None) : MCX-Prov-Out-TCP
SUPPRIMÉ: FirewallRaz (None) : MCX-McrMgr-Out-TCP
SUPPRIMÉ: FirewallRaz (None) : {2E8B6F84-DD63-43DF-8F12-1D9D7876365A}
SUPPRIMÉ: FirewallRaz (None) : {6A6CCA14-FB2D-416A-85CB-49B9813C993F}
SUPPRIMÉ: FirewallRaz (Public) : {8B0D2D4C-A9C8-478B-B038-5407437AC2D1}
SUPPRIMÉ: FirewallRaz (Public) : {D3109705-9C61-4248-B7C0-1D7A5C592C2B}

========== Dossiers ==========
Aucun dossiers CLSID Local utilisateur vide

========== Fichiers ==========
SUPPRIMÉ: c:\windows\prefetch\predm.tmp-87ec2698.pf
SUPPRIMÉ: c:\windows\prefetch\setup_mpck_en.tmp-794477ed.pf
SUPPRIMÉ: c:\windows\prefetch\setup_mpck_en.tmp-f0e0fc98.pf
SUPPRIMÉ: c:\users\natalie avondo\appdata\local\microsoft\windows\inetcache\ie\xjwqn4u6\setup_mpck_en[1].exe
SUPPRIMÉS Temporaires Windows (0) (0 octets)
SUPPRIMÉS Flash Cookies (0) (0 octets)

========== Tache planifiée ==========
SUPPRIMÉ: Panafug

========== Restauration Système ==========
Aucun Point de restauration du système crée


========== Récapitulatif ==========
1 : Processus mémoire
1 : Clés du Registre
8 : Valeurs du Registre
1 : Dossiers
6 : Fichiers
1 : Tache planifiée
1 : Restauration Système


End of clean in 00mn 16s

========== Chemin de fichier rapport ==========
C:\Users\Natalie Avondo\AppData\Roaming\ZHP\ZHPFix[R1].txt - 08/12/2015 11:15:28 [1970]

[2011N2]

Re,

Oui très bien.

Toujours des soucis sur le PC ?

Gabriel.

[natacouette]

Plus aucun pb avec firefox, par contre j'ai essayé d'ouvrir à nouveau edge microsoft et il est toujours planté sur le même pop up qui dit de cliquer par ce que j'ai gagné... et impossible de le fermer autrement qu'avec le gestionnaire de taches. En grisé je lis sur la barre d'adresse quizzitch.net.............
Je ne sais trop quoi faire alors je ne fais rien... Si tu as une idée... sinon je le dézingue car de toutes façons, j'ai firefox.
En tout cas c'est vraiment super de ta part et des autres helpers de donner de ton temps pour nous sortir de la mouise! Bravo et merci.
Nat

[2011N2]

Bonjour,

D'accord on va tout de même essayer de rétablir Edge.

Peux-tu commencer par vérifier si ce n'est pas simplement la page d'accueil qui est paramétrée sur cette URL indésirable ? http://www.forum-entraide-informatique. ... soft-edge/
Si c'est le cas, tu la supprimes donc pour mettre Google par exemple.

Gabriel.

[natacouette]

Hier j'ai eu la chance d'avoir une appli qui a ouvert directement edge et du coup j’ai pu le fermer normalement. Je viens de changer la page d'accueil (merci pour le tuto) et j'en ai profité pour effacer toute trace d'activité précédente. Voila tout semble marcher , je peux me remettre au boulot avec mon nouveau jouet, un asus zenbook qui depote. Un grand merci Gabriel, nom d'ange bien à propos!
Natalie

[2011N2]

Re,

Parfait alors, tu pourras tout de même jeter un oeil à la finalisation : http://www.forum-entraide-informatique. ... infection/

À bientôt.

Gabriel.

[natacouette]

Fait, bonne continuation!


# DelFix v1.011 - Rapport créé le 09/12/2015 à 14:48:04
# Mis à jour le 18/08/2015 par Xplode
# Nom d'utilisateur : Natalie Avondo - DESKTOP-K08NQ75
# Système d'exploitation : Windows 10 Home (64 bits)

~ Activation de l'UAC ... OK

~ Suppression des outils de désinfection ...

Supprimé : C:\AdwCleaner
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Users\Natalie Avondo\Downloads\adwcleaner_5.024.exe
Supprimé : C:\Users\Natalie Avondo\Downloads\ZHPDiag3.exe
Supprimé : C:\Users\Natalie Avondo\Downloads\ZHPFix.exe
Supprimée : HKLM\SOFTWARE\AdwCleaner

~ Sauvegarde de la base de registre ... OK

~ Purge de la restauration système ...


Nouveau point de restauration créé !

~ Réinitialisation des paramètres système ... OK

########## - EOF - ##########

[2011N2]

Bonjour,

Parfait, bonne continuation à toi aussi.

Gabriel.