Help : Infection PopCap et Winstart.bat

Résolu/Fermé
fcbb31 Messages postés 5 Date d'inscription vendredi 20 juillet 2012 Statut Membre Dernière intervention 20 juillet 2012 - 20 juil. 2012 à 10:17
fcbb31 Messages postés 5 Date d'inscription vendredi 20 juillet 2012 Statut Membre Dernière intervention 20 juillet 2012 - 20 juil. 2012 à 18:18
Bonjour,

En faisant quelques scans ce matin, j'ai repéré 2 nouveaux objets plus que suspects par ZHPdiag : il m'annonce un malware Popcat et winstart.bat
Ci joint les 2 lignes :
O43 - CFD: 08/07/2012 - 08:28:04 - [27,327] ----D C:\ProgramData\PopCap Games => Infection BT (Adware.PopCap)
O44 - LFC:[MD5.81051BCC2CF1BEDF378224B0A93E2877] - 19/07/2012 - 13:17:00 RSHA- . (...) -- C:\Windows\winstart.bat [2]

J'ai passé MBAM (mis à jour aujourd'hui) qui ne me détecte rien de suspect.
Adwcleaner ne détecte rien non plus.

On dirait bien un début d'infection. Que dois-je faire pour éradiquer ces sales bestioles ?
Cordialement

7 réponses

Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 580
20 juil. 2012 à 10:31
Salut,


Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
0
fcbb31 Messages postés 5 Date d'inscription vendredi 20 juillet 2012 Statut Membre Dernière intervention 20 juillet 2012
20 juil. 2012 à 10:58
Hello grand chef,

ci joint le rapport :
# AdwCleaner v1.703 - Rapport créé le 20/07/2012 à 10:43:29
# Mis à jour le 20/07/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Administrateur - ORDIDESSEILHOIS
# Exécuté depuis : D:\Users\François\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****

Arrêté & Supprimé : vToolbarUpdater11.2.0

***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\ProgramData\AVG Secure Search
Dossier Supprimé : C:\Program Files (x86)\Common Files\AVG Secure Search

***** [Registre] *****


***** [Registre - GUID] *****


***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Google Chrome v [Impossible d'obtenir la version]

Fichier : d:\users\François\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

Fichier : d:\users\Etienne\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

Fichier : d:\users\Administrateur\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S3].txt - [1278 octets] - [20/07/2012 10:43:29]
AdwCleaner[R4].txt - [1392 octets] - [20/07/2012 10:15:29]

########## EOF - \AdwCleaner[S3].txt - [1466 octets] ##########


Au passage, excellent forum "Malekal" ; j'y vais souvent pour me tenir au courant.
Cordialement
0
fcbb31 Messages postés 5 Date d'inscription vendredi 20 juillet 2012 Statut Membre Dernière intervention 20 juillet 2012
20 juil. 2012 à 11:13
PS : pour winstart.bat, c'est peut être dû à 2 install en 'trial version' que j'avais faites la semaine dernière (superantispyware et unhackme) pour les tester.
je me demande si SaS n'installe pas regrun.

Je les ai désinstallées toutes les deux avec RevoUnisntaller depuis.
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 580
20 juil. 2012 à 14:06
SuperAntispyware est pas efficace.
Plutôt utiliser Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/


Siinon opCap Games ça se désinstalle pas ?

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
fcbb31 Messages postés 5 Date d'inscription vendredi 20 juillet 2012 Statut Membre Dernière intervention 20 juillet 2012
20 juil. 2012 à 15:22
PopCat est visiblement vu soit comme un adware, soit comme un malware.
J'ai lu pas mal de sujets dessus, et ça dépend des antivirus.
Mais en tous cas, il ne se désinstalle pas facilement : avec Ccleaner ou RevoUninstaller, il n'apparaît pas dans la liste des programmes à enlever.

J'ai passé Malwarebytes en premier, mais il ne me trouve rien, même en analyse complète. Je ne sais pas si c'est PopCat lui qui pose pb, mais ZHPdiag le prend pour un malware (BT Popcat Loader).
O43 - CFD: 08/07/2012 - 08:28:04 - [27,327] ----D C:\ProgramData\PopCap Games => Infection BT (Adware.PopCap)
O44 - LFC:[MD5.81051BCC2CF1BEDF378224B0A93E2877] - 19/07/2012 - 13:17:00 RSHA- . (...) -- C:\Windows\winstart.bat [2]

Visiblement par contre, ADWcleaner a trouvé des adware et les a supprimé (post ci-dessus : vToolbarUpodater). Cool !!!

Quid de ces 2 bestioles ?
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 580
20 juil. 2012 à 16:10
bha tt façon, c'est des trucs que tu lances manuiellement, c'est pas dramatique si tu le vires pas.

Faut regarder s'il est dans Programmes et fonctionnalités, sinon tu supprimes le dossier et voila.

C:\Windows\winstart.bat <= tu peux faire un clic droit / edition dessus et coller le contenu ici pour voir.

Faut afficher les fichiers cachés.
https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/
0
fcbb31 Messages postés 5 Date d'inscription vendredi 20 juillet 2012 Statut Membre Dernière intervention 20 juillet 2012
20 juil. 2012 à 18:18
J'ai viré le dossier contenant popcat
Pour winstart.bat, il était effectivement caché ; je l'ai renommé en .old

==> Au redémarrage, pas de pb, ZHP me dit que tout est bon (plus de malware détecté).
Cool !

Je pense que popcat venait des jeux en ligne de la boutique orange (il contenait un dossier pegglenights qui correspond à un jeu téléchargé sur leur boutique (et payant + n° activation etc ...) ; bref à qui peut on faire confiance ?

Enfin tout va bien.
Merci pour le coup de main rapide et efficace !

FC31
0