Virus caché

Résolu/Fermé
mathyroccoaie Messages postés 39 Date d'inscription lundi 20 avril 2015 Statut Membre Dernière intervention 5 juin 2019 - 13 oct. 2015 à 01:29
tsuyo21 Messages postés 6319 Date d'inscription mercredi 19 mars 2014 Statut Membre Dernière intervention 25 décembre 2023 - 19 oct. 2015 à 21:22
bonsoir,

j'ai téléchargé une merde une fois de plus, qui avais l'air plus violente que d'habitude, j'ai reussi a faire deux nettoyages avec malwarebytes et ZHPCleaner, ce qui a rétablis la situation, meme si j'ai quand meme une page de pub qui revient de temps en temps (proposant de un antivirus)

MAIS lorsque je redémare mon ordi l'écran reste noir un court moment et une fenetre a fond noir s'ouvre (c'est la premiere fois depuis ce soucis)

donc je ne sais pas si quelque chose de mauvais est resté coincé en espion ou pas.

aidez moi svp.
A voir également:

8 réponses

fabul Messages postés 39383 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 21 décembre 2024 5 445
Modifié par fabul le 13/10/2015 à 03:09
Salut,

Et tu arrive a fermer cette fenêtre et démarrer explorer.exe par le gestionnaire de taches ?

Installe RegRun Reanimator (Download Mirror 1 ou 2)

Clic sur "Fix problems".

Clic sur "Scan windows startup...".

Coche la case "Use deep level scanning once (For advanced users)".

Clic sur "Make scan now".

Patiente durant l'analyse.

Clic sur "Fix problems".

Attention, il détecte souvent des faux positifs (des bons fichiers).

Tu peux faire des recherches sur Internet.

Si tu a besoin d'aide, voir plus bas*

Assure toi de ne supprimer que des malwares ou inutiles avec "Get it out", sinon tu peux planter ton système,

Passe avec la flèche pour les autres ou clic sur "False positive" si c'est un item que tu connais.

Clic sur "Reboot Computer" a la fin pour effectuer la suppression et confirme pour redémarrer.


Une fois les faux positifs identifiés, tu peux analyser avec l'option "Reboot" plutôt que "Make scan now" au cas ou il détecterait un rootkit qui na pas été détecté dans Windows.


Après, regarde si tu vois quelque chose de mauvais ou inutile dans les onglets "Logon" et "Scheduled tasks" de Autoruns


Dans certains cas il faut réinitialiser les navigateurs:
https://forums.commentcamarche.net/forum/affich-37585758-reinitialiser-son-navigateur


Si tu a besoin d'aide par rapport aux détections de RegRun Reanimator,

Si il y a plus d'une quinzaine de détections, Prohibited/Suspicious/Warnings, tu peux le dire, on procédera différemment.

Clic-droit dans le milieu de la fenêtre et choisis "Save to file" pour copier le résultat dans un fichier texte.

Tu peux le nommer 1 (tout court), le .txt sera généré automatiquement.

Clic sur la flèche pour passer a l'item suivant, fais comme pour le premier et nomme le 2, et ainsi de suite avec les autres.

A la fin, clic sur "Exit".

Poste les résultats contenus dans les fichiers texte dans ton prochain message.
0
mathyroccoaie Messages postés 39 Date d'inscription lundi 20 avril 2015 Statut Membre Dernière intervention 5 juin 2019
13 oct. 2015 à 20:56
bonour,
je vais faire les manip comme prevu mais je ne sais pas vraiment faire la différences entre les vrais et faux fichiers.

et je ne sais pas ouvrir explorer.exe par le gestionnaire de taches
cela dit dans mon gestionnaire, mon disque tourne a 100% par accoups.

et j'ai cette page qui revient par internet :
reimageplus

et un dernier truc, j'ai eu un software qui a voulu s'installé seul, meme en cliquant sur annulé la page allais vers la suivante, la fenetre restais fixe (genre fenetre prioritaire),
j'ai pu stopper par le gestionnaire.(fin de taches)

du coup il y a forcement quelque chose qui agit en douce.
0
mathyroccoaie Messages postés 39 Date d'inscription lundi 20 avril 2015 Statut Membre Dernière intervention 5 juin 2019
13 oct. 2015 à 22:00
j'ai effectivement plus d'une quinzaine de detection et je ne sais pas quoi garder et quoi supprimer

prohibited 39
suspicious 12
warning 1

faut il que je "save to file" pour tous pour vous les poster ?
0
fabul Messages postés 39383 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 21 décembre 2024 5 445
14 oct. 2015 à 00:32
Télécharge ZHPDiag https://nicolascoolman.eu

Installe le.

Clic sur "Scanner"

Patiente durant l'analyse.

Il crée un log sur le bureau.

Poste le sur Cjoint et donne nous le lien Cjoint
0
mathyroccoaie Messages postés 39 Date d'inscription lundi 20 avril 2015 Statut Membre Dernière intervention 5 juin 2019
14 oct. 2015 à 20:54
0
fabul Messages postés 39383 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 21 décembre 2024 5 445
15 oct. 2015 à 01:06
Une fois que tu aura fait ce qui suit, mais seulement après, je te recommande de réinitialiser tes navigateurs:
https://forums.commentcamarche.net/forum/affich-37585758-reinitialiser-son-navigateur

Commence par:

Installe ZHPFix

Importe le script qui suit et clic sur GO

Script ZHPFix
SysRestore
O39 - APT: gze3012 - (...) -- C:\WINDOWS\System32\Tasks\gze3012 [3088]
O39 - APT: SmartComp Safe Network Schedualer - (...) -- C:\WINDOWS\System32\Tasks\SmartComp Safe Network Schedualer [3286]
O43 - CFD: 2015/06/25 20:10:13 - [0] D -- C:\Users\Julie\AppData\Local\TempTaskUpdateDetection2E1571E5-0F5B-40AC-885F-DF0BFAADAE7B
[MD5.00000000000000000000000000000000] [APT] [gze3012] (...) -- C:\PROGRA~2\FAST-S~1\gze3012.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [SmartComp Safe Network Schedualer] (...) -- C:\Program Files (x86)\SmartComp Safe Network\msnworker.exe (.not file.) [0]
P2 - FPN: [HKLM] [@staging.google.com/globalUpdate Update;version=10] - (.globalUpdate.) -- C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll =>PUP.Optional.GlobalUpdate
P2 - FPN: [HKLM] [@staging.google.com/globalUpdate Update;version=4] - (.globalUpdate.) -- C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll =>PUP.Optional.GlobalUpdate
O42 - Logiciel: PlusHD_v3.1V04.10 - (.Video HDV04.10.) [HKLM][64Bits] -- PlusHD_v3.1V04.10 =>PUP.Optional.CrossRider
O42 - Logiciel: SVH - (...) [HKLM][64Bits] -- rec_en_77_is1 =>PUP.Optional.Tuto4PC
O42 - Logiciel: globalupdate Helper - (.globalupdate Inc..) [HKLM][64Bits] -- {A92DAB39-4E2C-4304-9AB6-BC44E68B55E2} =>PUP.Optional.GlobalUpdate
HKLM\SOFTWARE\Wow6432Node\a6950f3e-9eed-4610-ade3-23135fde35ee =>PUP.Optional.CrossRider
HKLM\SOFTWARE\Wow6432Node\ArenaHD =>PUP.Optional.CrossRider
HKLM\SOFTWARE\Wow6432Node\GlobalUpdate =>PUP.Optional.GlobalUpdate
HKLM\SOFTWARE\Wow6432Node\HighDefAction =>PUP.Optional.CrossRider
HKLM\SOFTWARE\Wow6432Node\ihpmserver
HKLM\SOFTWARE\Wow6432Node\InstalledBrowserExtensions =>PUP.Optional.BrowserExtensions
HKLM\SOFTWARE\Wow6432Node\PlusHD_v3.1V04.10 =>PUP.Optional.CrossRider
HKLM\SOFTWARE\Wow6432Node\PlusHD_v3.1V04.10-nv =>PUP.Optional.CrossRider
HKLM\SOFTWARE\Wow6432Node\PlusHD_v3.1V04.10-nv-ie =>PUP.Optional.CrossRider
HKLM\SOFTWARE\Wow6432Node\SVH
HKLM\SOFTWARE\Wow6432Node\YorkNewCin =>PUP.Optional.CrossRider
HKCU\SOFTWARE\ArenaHD =>PUP.Optional.CrossRider
HKCU\SOFTWARE\Boxore =>PUP.Optional.Boxore
HKCU\SOFTWARE\globalUpdate =>PUP.Optional.GlobalUpdate
HKCU\SOFTWARE\HighDefAction =>PUP.Optional.CrossRider
HKCU\SOFTWARE\InstalledBrowserExtensions =>PUP.Optional.BrowserExtensions
HKCU\SOFTWARE\PlusHD_v3.1V04.10 =>PUP.Optional.CrossRider
HKCU\SOFTWARE\PlusHD_v3.1V04.10-nv =>PUP.Optional.CrossRider
HKCU\SOFTWARE\PlusHD_v3.1V04.10-nv-ie =>PUP.Optional.CrossRider
HKCU\SOFTWARE\WTools
HKCU\SOFTWARE\YorkNewCin =>PUP.Optional.CrossRider
HKCU\SOFTWARE\AppDataLow\Software\Crossrider =>PUP.Optional.CrossRider
O43 - CFD: 2015/10/13 20:36:17 - [] D -- C:\Program Files (x86)\957398f2-c5e9-4880-86c9-6f6f60eb4c7a =>PUP.Optional.CrossRider
O43 - CFD: 2015/10/13 00:07:22 - [] D -- C:\Program Files (x86)\FE218E80-1444681023-81E3-2CCC-BCEE7B1C418C =>PUP.Optional.CrossRider
O43 - CFD: 2015/10/13 00:07:22 - [0] D -- C:\Users\Julie\AppData\Roaming\WTools
O45 - LFCP:[MD5.59B8B991E83351CF9645E2F1AD8892F8] 2015/10/13 20:30:33 A -- C:\WINDOWS\Prefetch\BOXORE.EXE-757109F0.pf =>PUP.Optional.Boxore
O45 - LFCP:[MD5.012C14EF01AB178FD509B7AE71CA3C4B] 2015/10/13 20:40:00 A -- C:\WINDOWS\Prefetch\GLOBALUPDATE.EXE-2956FB3E.pf =>PUP.Optional.GlobalUpdate
O45 - LFCP:[MD5.B7A99984EB641AEFE9AA76C6D9D6C65A] 2015/10/13 20:35:56 A -- C:\WINDOWS\Prefetch\GLOBALUPDATE.EXE-6E7CC114.pf =>PUP.Optional.GlobalUpdate
O45 - LFCP:[MD5.DAEEC72B5B0E10B98B4DE37352872D52] 2015/10/13 20:33:20 A -- C:\WINDOWS\Prefetch\REC_EN_77.EXE-424D96BD.pf =>PUP.Optional.Tuto4PC
O90 - PUC: "93BAD29AC2E44034A96BCB446EB8552E" . (.globalupdate Helper.) =>PUP.Optional.GlobalUpdate
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\PlusHD_v3.1V04.10 =>PUP.Optional.CrossRider
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\rec_en_77_is1 =>PUP.Optional.Tuto4PC
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2} =>PUP.Optional.GlobalUpdate
HKLM\SOFTWARE\Wow6432Node\a6950f3e-9eed-4610-ade3-23135fde35ee =>PUP.Optional.CrossRider
HKLM\SOFTWARE\Wow6432Node\ArenaHD =>PUP.Optional.CrossRider
HKLM\SOFTWARE\Wow6432Node\GlobalUpdate =>PUP.Optional.GlobalUpdate
HKLM\SOFTWARE\Wow6432Node\HighDefAction =>PUP.Optional.CrossRider
HKLM\SOFTWARE\Wow6432Node\InstalledBrowserExtensions =>PUP.Optional.BrowserExtensions
HKLM\SOFTWARE\Wow6432Node\PlusHD_v3.1V04.10 =>PUP.Optional.CrossRider
HKLM\SOFTWARE\Wow6432Node\PlusHD_v3.1V04.10-nv =>PUP.Optional.CrossRider
HKLM\SOFTWARE\Wow6432Node\PlusHD_v3.1V04.10-nv-ie =>PUP.Optional.CrossRider
HKLM\SOFTWARE\Wow6432Node\YorkNewCin =>PUP.Optional.CrossRider
HKCU\SOFTWARE\ArenaHD =>PUP.Optional.CrossRider
HKCU\SOFTWARE\Boxore =>PUP.Optional.Boxore
HKCU\SOFTWARE\globalUpdate =>PUP.Optional.GlobalUpdate
HKCU\SOFTWARE\HighDefAction =>PUP.Optional.CrossRider
HKCU\SOFTWARE\InstalledBrowserExtensions =>PUP.Optional.BrowserExtensions
HKCU\SOFTWARE\PlusHD_v3.1V04.10 =>PUP.Optional.CrossRider
HKCU\SOFTWARE\PlusHD_v3.1V04.10-nv =>PUP.Optional.CrossRider
HKCU\SOFTWARE\PlusHD_v3.1V04.10-nv-ie =>PUP.Optional.CrossRider
HKCU\SOFTWARE\YorkNewCin =>PUP.Optional.CrossRider
HKCU\SOFTWARE\AppDataLow\Software\Crossrider =>PUP.Optional.CrossRider
C:\Program Files (x86)\957398f2-c5e9-4880-86c9-6f6f60eb4c7a =>PUP.Optional.CrossRider
C:\Program Files (x86)\FE218E80-1444681023-81E3-2CCC-BCEE7B1C418C =>PUP.Optional.CrossRider
C:\WINDOWS\Prefetch\BOXORE.EXE-757109F0.pf =>PUP.Optional.Boxore
C:\WINDOWS\Prefetch\GLOBALUPDATE.EXE-2956FB3E.pf =>PUP.Optional.GlobalUpdate
C:\WINDOWS\Prefetch\GLOBALUPDATE.EXE-6E7CC114.pf =>PUP.Optional.GlobalUpdate
C:\WINDOWS\Prefetch\REC_EN_77.EXE-424D96BD.pf =>PUP.Optional.Tuto4PC
HKLM\Software\Classes\Installer\Products\93BAD29AC2E44034A96BCB446EB8552E =>PUP.Optional.GlobalUpdate
HKLM\Software\Classes\Installer\Features\93BAD29AC2E44034A96BCB446EB8552E =>PUP.Optional.GlobalUpdate
ShortcutFix
EmptyPrefetch
EmptyCLSID
EmptyFlash
EmptyTemp
ProxyFix
0
mathyroccoaie Messages postés 39 Date d'inscription lundi 20 avril 2015 Statut Membre Dernière intervention 5 juin 2019
15 oct. 2015 à 11:51
voila c'est fait,

comment verifier que le virus est bien parti ?
0
fabul Messages postés 39383 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 21 décembre 2024 5 445
15 oct. 2015 à 12:21
combien de prohibited/suspicious avec RegRun ?
0
mathyroccoaie Messages postés 39 Date d'inscription lundi 20 avril 2015 Statut Membre Dernière intervention 5 juin 2019
15 oct. 2015 à 18:57
2 prohibited

2 suspicious

1 warning


Item Name: C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\Google Chrome\Google Chrome.lnk
Author:
Current Setting: HTTP://WWW.MYSTARTSEARCH.COM/?TYPE=SC&TS=1444681669&Z=D7CC6A2ABBB0F9F055F5AB3G5Z0ZDZ7Q1B1G2Z5Z1Q&FROM=CMI&UID=TOSHIBAXMQ01ABD075_93DDS2X4SXX93DDS2X4S
Type: Internet Shortcuts

Item Name: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
Author:
Current Setting: HTTP://WWW.MYSTARTSEARCH.COM/?TYPE=SC&TS=1444681669&Z=D7CC6A2ABBB0F9F055F5AB3G5Z0ZDZ7Q1B1G2Z5Z1Q&FROM=CMI&UID=TOSHIBAXMQ01ABD075_93DDS2X4SXX93DDS2X4S
Type: Internet Shortcuts

Item Name: catchme
Author:
Current Setting: \??\C:\Users\Julie\AppData\Local\Temp\catchme.sys
Type: Drivers

Item Name: C:\WINDOWS\SYSNATIVE\TASKS\AsusVibeSchedule
Author:
Current Setting: C:\PROGRAM FILES (X86)\ASUS\ASUSVIBE\ASUSVIBELAUNCHER.EXE
Type: Schedlued Tasks 2

Item Name: BootExecute
Author: Unknown
Related File: autocheck autochk *\n sdnclean64.exe<BR>Partizan
Type: Bootexecute


c'est sur que ça va mieux quand meme lol

meme il reste ça et je sais pas a quoi ça correspond.
0
fabul Messages postés 39383 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 21 décembre 2024 5 445
16 oct. 2015 à 01:34
Les deux premiers sont des raccourcis internet infectés,

Tu peux les désinfecter en trouvant les fichiers -> Propriétée

Affiche tes dossiers cachés...

C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\Google Chrome\Google Chrome.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk

Et tu supprime l'adresse.

Ou je crois que tu peux les nettoyer avec RegRun Reanimator.

Le troixième catchme.sys vient probablement de Combofix qui a du ètre utilisé sur le PC a un moment ou a un autre.

Tu peux le supprimer.

Les deux derniers appartiennent a Asus pour le premier, , Spybot et Reanimator
pour le dernier (sdnclean64.exe<BR>Partizan) sur la clé Bootexecute

Tu peux désinstaller Spybot, pas très utile....

Tu peux garder RegRun Reanimator, cliquer sur "False positive" pour les éléments sains (quand il y en a), il ne les détectera plus, il peut t'être utile pour surveiller le système et éliminer les malwares.

Si tu désinstalle RegRun Reanimator, juste avant, tu peux cliquer sur "Uninstall Partizan" (dans le programme).

Et tu peux cliquer sur ce fichier .reg qui remet la clé Bootexecute par défaut si elle ne l'est pas:

https://www.cjoint.com/c/DIwp0hjRA6Y

Tu peux cliquer sur le fichier .reg même si tu garde RegRun Reanimator.
0
mathyroccoaie Messages postés 39 Date d'inscription lundi 20 avril 2015 Statut Membre Dernière intervention 5 juin 2019
16 oct. 2015 à 16:48
merci pour toutes les infos mais je n'arrive pas a trouver les fichiers des adresses racourci pour les supprimer et donc je ne sais pas ou trouver -- propriétée

le item appartenant a Asus je ne le touche pas ? est-il infecté ?

et le spybot j'ai pas bien saisis comment le desinstaller

désolé je patoge un peu lol.

merci.
0
lilidurhone Messages postés 43347 Date d'inscription lundi 25 avril 2011 Statut Contributeur sécurité Dernière intervention 31 octobre 2024 3 806
18 oct. 2015 à 16:01
Plus simple
Utilise zhpcleaner :)
0
fabul Messages postés 39383 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 21 décembre 2024 5 445
18 oct. 2015 à 16:13
Tu a essayé avec RegRun Reanimator "Get it out" pour voir si ça les nettoyait sans les supprimer ?

Sinon, peut être comme dit lilidurhone, avec ZHPCleaner

Malgré que ZHP n'a pas appliqué le ShortcutFix
0
mathyroccoaie Messages postés 39 Date d'inscription lundi 20 avril 2015 Statut Membre Dernière intervention 5 juin 2019
18 oct. 2015 à 20:49
zhp ne les a pas supprimés et j'ai réessayé av regrun mais c'est toujours pareil.

et comment faire pour le retrouver dans l'editeur de registre ?
où se trouve programme data dans l'editeur de registre ?

ces deux raccourcis sont assez coriaces.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
lilidurhone Messages postés 43347 Date d'inscription lundi 25 avril 2011 Statut Contributeur sécurité Dernière intervention 31 octobre 2024 3 806
18 oct. 2015 à 21:19
Essaie ceci

http://christians-steffen.fr/telecharger/telecharger-resetbrowser/
0
mathyroccoaie Messages postés 39 Date d'inscription lundi 20 avril 2015 Statut Membre Dernière intervention 5 juin 2019
19 oct. 2015 à 00:06
super les raccourcis infectés ont disparus

merci beaucoup pour votre aide

@++
0
fabul Messages postés 39383 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 21 décembre 2024 5 445
Modifié par fabul le 19/10/2015 à 02:49
Normalement quand tu choisis "Reboot Computer" et tu redémarre après avoir fait "Get it out", Reanimator est censé supprimer, je ne sais pas ce qui s'est passé.

Content pour toi que lilidurhone ait trouvé une méthode simple et efficace.

Je crois que maintenant tu peux mettre ton sujet en résolu.

Si tu a des questions, tu peux toujours revenir.

@+
0
tsuyo21 Messages postés 6319 Date d'inscription mercredi 19 mars 2014 Statut Membre Dernière intervention 25 décembre 2023 472
Modifié par tsuyo21 le 19/10/2015 à 03:05
bonjour a tous,

Qu'as tu comme antivirus ?


Sinon :
Quelques conseils de Malekal_Mortes :

Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)


Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

¤¤¤ Un petit merci ne coute rien mais compte beaucoup! <(^^,)> ¤¤¤
0
lilidurhone Messages postés 43347 Date d'inscription lundi 25 avril 2011 Statut Contributeur sécurité Dernière intervention 31 octobre 2024 3 806
19 oct. 2015 à 06:00
Parfait :)
Même pas besoin de donner les dernières consignes
0
tsuyo21 Messages postés 6319 Date d'inscription mercredi 19 mars 2014 Statut Membre Dernière intervention 25 décembre 2023 472
19 oct. 2015 à 21:22
lol Oui je me suis permis... je sais pas trop si ça se fait. O:-)

Également, je crois que l'auteur de ce poste serait reconnaissant si l'un de vous acceptait de jeter un oeil a sa machine. Bien évidemment c'est a votre bon vouloir.
https://forums.commentcamarche.net/forum/affich-32662589-compte-paypal-utilise-sans-autorisation#p32666728
0
fabul Messages postés 39383 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 21 décembre 2024 5 445
Modifié par fabul le 19/10/2015 à 06:15
Peut être, au risque de me répéter,

A chaque fois qu'il installe quelque chose, qu'il fasse une analyse RegRun Reanimator, et qu'il identifie les bons et les mauvais.

Vérifier avec Autoruns aussi "Logon" et "Scheduled tasks" au cas ou RegRun ait perçu un mauvais comme un faux positif et l'ait exclu.

Tu aura moins besoin de visiter la section Virus/Sécurité.

Ne pas essayer de cr@cks de provenance douteuse parce que ça, ça peut détruire le système ou les données direct.
0