Help : Infection PopCap et Winstart.bat [Résolu/Fermé]

Signaler
Messages postés
5
Date d'inscription
vendredi 20 juillet 2012
Statut
Membre
Dernière intervention
20 juillet 2012
-
Messages postés
5
Date d'inscription
vendredi 20 juillet 2012
Statut
Membre
Dernière intervention
20 juillet 2012
-
Bonjour,

En faisant quelques scans ce matin, j'ai repéré 2 nouveaux objets plus que suspects par ZHPdiag : il m'annonce un malware Popcat et winstart.bat
Ci joint les 2 lignes :
O43 - CFD: 08/07/2012 - 08:28:04 - [27,327] ----D C:\ProgramData\PopCap Games => Infection BT (Adware.PopCap)
O44 - LFC:[MD5.81051BCC2CF1BEDF378224B0A93E2877] - 19/07/2012 - 13:17:00 RSHA- . (...) -- C:\Windows\winstart.bat [2]

J'ai passé MBAM (mis à jour aujourd'hui) qui ne me détecte rien de suspect.
Adwcleaner ne détecte rien non plus.

On dirait bien un début d'infection. Que dois-je faire pour éradiquer ces sales bestioles ?
Cordialement

7 réponses

Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 322
Salut,


Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
Messages postés
5
Date d'inscription
vendredi 20 juillet 2012
Statut
Membre
Dernière intervention
20 juillet 2012

Hello grand chef,

ci joint le rapport :
# AdwCleaner v1.703 - Rapport créé le 20/07/2012 à 10:43:29
# Mis à jour le 20/07/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Administrateur - ORDIDESSEILHOIS
# Exécuté depuis : D:\Users\François\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****

Arrêté & Supprimé : vToolbarUpdater11.2.0

***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\ProgramData\AVG Secure Search
Dossier Supprimé : C:\Program Files (x86)\Common Files\AVG Secure Search

***** [Registre] *****


***** [Registre - GUID] *****


***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Google Chrome v [Impossible d'obtenir la version]

Fichier : d:\users\François\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

Fichier : d:\users\Etienne\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

Fichier : d:\users\Administrateur\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S3].txt - [1278 octets] - [20/07/2012 10:43:29]
AdwCleaner[R4].txt - [1392 octets] - [20/07/2012 10:15:29]

########## EOF - \AdwCleaner[S3].txt - [1466 octets] ##########


Au passage, excellent forum "Malekal" ; j'y vais souvent pour me tenir au courant.
Cordialement
Messages postés
5
Date d'inscription
vendredi 20 juillet 2012
Statut
Membre
Dernière intervention
20 juillet 2012

PS : pour winstart.bat, c'est peut être dû à 2 install en 'trial version' que j'avais faites la semaine dernière (superantispyware et unhackme) pour les tester.
je me demande si SaS n'installe pas regrun.

Je les ai désinstallées toutes les deux avec RevoUnisntaller depuis.
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 322
SuperAntispyware est pas efficace.
Plutôt utiliser Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/


Siinon opCap Games ça se désinstalle pas ?

Messages postés
5
Date d'inscription
vendredi 20 juillet 2012
Statut
Membre
Dernière intervention
20 juillet 2012

PopCat est visiblement vu soit comme un adware, soit comme un malware.
J'ai lu pas mal de sujets dessus, et ça dépend des antivirus.
Mais en tous cas, il ne se désinstalle pas facilement : avec Ccleaner ou RevoUninstaller, il n'apparaît pas dans la liste des programmes à enlever.

J'ai passé Malwarebytes en premier, mais il ne me trouve rien, même en analyse complète. Je ne sais pas si c'est PopCat lui qui pose pb, mais ZHPdiag le prend pour un malware (BT Popcat Loader).
O43 - CFD: 08/07/2012 - 08:28:04 - [27,327] ----D C:\ProgramData\PopCap Games => Infection BT (Adware.PopCap)
O44 - LFC:[MD5.81051BCC2CF1BEDF378224B0A93E2877] - 19/07/2012 - 13:17:00 RSHA- . (...) -- C:\Windows\winstart.bat [2]

Visiblement par contre, ADWcleaner a trouvé des adware et les a supprimé (post ci-dessus : vToolbarUpodater). Cool !!!

Quid de ces 2 bestioles ?
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 322
bha tt façon, c'est des trucs que tu lances manuiellement, c'est pas dramatique si tu le vires pas.

Faut regarder s'il est dans Programmes et fonctionnalités, sinon tu supprimes le dossier et voila.

C:\Windows\winstart.bat <= tu peux faire un clic droit / edition dessus et coller le contenu ici pour voir.

Faut afficher les fichiers cachés.
https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/
Messages postés
5
Date d'inscription
vendredi 20 juillet 2012
Statut
Membre
Dernière intervention
20 juillet 2012

J'ai viré le dossier contenant popcat
Pour winstart.bat, il était effectivement caché ; je l'ai renommé en .old

==> Au redémarrage, pas de pb, ZHP me dit que tout est bon (plus de malware détecté).
Cool !

Je pense que popcat venait des jeux en ligne de la boutique orange (il contenait un dossier pegglenights qui correspond à un jeu téléchargé sur leur boutique (et payant + n° activation etc ...) ; bref à qui peut on faire confiance ?

Enfin tout va bien.
Merci pour le coup de main rapide et efficace !

FC31