Virus caché [Résolu/Fermé]

Signaler
Messages postés
39
Date d'inscription
lundi 20 avril 2015
Statut
Membre
Dernière intervention
5 juin 2019
-
Messages postés
6266
Date d'inscription
mercredi 19 mars 2014
Statut
Membre
Dernière intervention
19 novembre 2020
-
bonsoir,

j'ai téléchargé une merde une fois de plus, qui avais l'air plus violente que d'habitude, j'ai reussi a faire deux nettoyages avec malwarebytes et ZHPCleaner, ce qui a rétablis la situation, meme si j'ai quand meme une page de pub qui revient de temps en temps (proposant de un antivirus)

MAIS lorsque je redémare mon ordi l'écran reste noir un court moment et une fenetre a fond noir s'ouvre (c'est la premiere fois depuis ce soucis)

donc je ne sais pas si quelque chose de mauvais est resté coincé en espion ou pas.

aidez moi svp.

8 réponses

Messages postés
26836
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
22 février 2021
3 490
Salut,

Et tu arrive a fermer cette fenêtre et démarrer explorer.exe par le gestionnaire de taches ?

Installe RegRun Reanimator (Download Mirror 1 ou 2)

Clic sur "Fix problems".

Clic sur "Scan windows startup...".

Coche la case "Use deep level scanning once (For advanced users)".

Clic sur "Make scan now".

Patiente durant l'analyse.

Clic sur "Fix problems".

Attention, il détecte souvent des faux positifs (des bons fichiers).

Tu peux faire des recherches sur Internet.

Si tu a besoin d'aide, voir plus bas*

Assure toi de ne supprimer que des malwares ou inutiles avec "Get it out", sinon tu peux planter ton système,

Passe avec la flèche pour les autres ou clic sur "False positive" si c'est un item que tu connais.

Clic sur "Reboot Computer" a la fin pour effectuer la suppression et confirme pour redémarrer.


Une fois les faux positifs identifiés, tu peux analyser avec l'option "Reboot" plutôt que "Make scan now" au cas ou il détecterait un rootkit qui na pas été détecté dans Windows.


Après, regarde si tu vois quelque chose de mauvais ou inutile dans les onglets "Logon" et "Scheduled tasks" de Autoruns


Dans certains cas il faut réinitialiser les navigateurs:
https://www.commentcamarche.net/faq/26679-reinitialiser-son-navigateur


Si tu a besoin d'aide par rapport aux détections de RegRun Reanimator,

Si il y a plus d'une quinzaine de détections, Prohibited/Suspicious/Warnings, tu peux le dire, on procédera différemment.

Clic-droit dans le milieu de la fenêtre et choisis "Save to file" pour copier le résultat dans un fichier texte.

Tu peux le nommer 1 (tout court), le .txt sera généré automatiquement.

Clic sur la flèche pour passer a l'item suivant, fais comme pour le premier et nomme le 2, et ainsi de suite avec les autres.

A la fin, clic sur "Exit".

Poste les résultats contenus dans les fichiers texte dans ton prochain message.
Messages postés
39
Date d'inscription
lundi 20 avril 2015
Statut
Membre
Dernière intervention
5 juin 2019

bonour,
je vais faire les manip comme prevu mais je ne sais pas vraiment faire la différences entre les vrais et faux fichiers.

et je ne sais pas ouvrir explorer.exe par le gestionnaire de taches
cela dit dans mon gestionnaire, mon disque tourne a 100% par accoups.

et j'ai cette page qui revient par internet :
reimageplus

et un dernier truc, j'ai eu un software qui a voulu s'installé seul, meme en cliquant sur annulé la page allais vers la suivante, la fenetre restais fixe (genre fenetre prioritaire),
j'ai pu stopper par le gestionnaire.(fin de taches)

du coup il y a forcement quelque chose qui agit en douce.
Messages postés
39
Date d'inscription
lundi 20 avril 2015
Statut
Membre
Dernière intervention
5 juin 2019

j'ai effectivement plus d'une quinzaine de detection et je ne sais pas quoi garder et quoi supprimer

prohibited 39
suspicious 12
warning 1

faut il que je "save to file" pour tous pour vous les poster ?
Messages postés
26836
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
22 février 2021
3 490
Télécharge ZHPDiag https://nicolascoolman.eu

Installe le.

Clic sur "Scanner"

Patiente durant l'analyse.

Il crée un log sur le bureau.

Poste le sur Cjoint et donne nous le lien Cjoint
Messages postés
39
Date d'inscription
lundi 20 avril 2015
Statut
Membre
Dernière intervention
5 juin 2019

Messages postés
26836
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
22 février 2021
3 490
Une fois que tu aura fait ce qui suit, mais seulement après, je te recommande de réinitialiser tes navigateurs:
https://www.commentcamarche.net/faq/26679-reinitialiser-son-navigateur

Commence par:

Installe ZHPFix

Importe le script qui suit et clic sur GO

Script ZHPFix
SysRestore
O39 - APT: gze3012 - (...) -- C:\WINDOWS\System32\Tasks\gze3012 [3088]
O39 - APT: SmartComp Safe Network Schedualer - (...) -- C:\WINDOWS\System32\Tasks\SmartComp Safe Network Schedualer [3286]
O43 - CFD: 2015/06/25 20:10:13 - [0] D -- C:\Users\Julie\AppData\Local\TempTaskUpdateDetection2E1571E5-0F5B-40AC-885F-DF0BFAADAE7B
[MD5.00000000000000000000000000000000] [APT] [gze3012] (...) -- C:\PROGRA~2\FAST-S~1\gze3012.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [SmartComp Safe Network Schedualer] (...) -- C:\Program Files (x86)\SmartComp Safe Network\msnworker.exe (.not file.) [0]
P2 - FPN: [HKLM] [@staging.google.com/globalUpdate Update;version=10] - (.globalUpdate.) -- C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll =>PUP.Optional.GlobalUpdate
P2 - FPN: [HKLM] [@staging.google.com/globalUpdate Update;version=4] - (.globalUpdate.) -- C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll =>PUP.Optional.GlobalUpdate
O42 - Logiciel: PlusHD_v3.1V04.10 - (.Video HDV04.10.) [HKLM][64Bits] -- PlusHD_v3.1V04.10 =>PUP.Optional.CrossRider
O42 - Logiciel: SVH - (...) [HKLM][64Bits] -- rec_en_77_is1 =>PUP.Optional.Tuto4PC
O42 - Logiciel: globalupdate Helper - (.globalupdate Inc..) [HKLM][64Bits] -- {A92DAB39-4E2C-4304-9AB6-BC44E68B55E2} =>PUP.Optional.GlobalUpdate
HKLM\SOFTWARE\Wow6432Node\a6950f3e-9eed-4610-ade3-23135fde35ee =>PUP.Optional.CrossRider
HKLM\SOFTWARE\Wow6432Node\ArenaHD =>PUP.Optional.CrossRider
HKLM\SOFTWARE\Wow6432Node\GlobalUpdate =>PUP.Optional.GlobalUpdate
HKLM\SOFTWARE\Wow6432Node\HighDefAction =>PUP.Optional.CrossRider
HKLM\SOFTWARE\Wow6432Node\ihpmserver
HKLM\SOFTWARE\Wow6432Node\InstalledBrowserExtensions =>PUP.Optional.BrowserExtensions
HKLM\SOFTWARE\Wow6432Node\PlusHD_v3.1V04.10 =>PUP.Optional.CrossRider
HKLM\SOFTWARE\Wow6432Node\PlusHD_v3.1V04.10-nv =>PUP.Optional.CrossRider
HKLM\SOFTWARE\Wow6432Node\PlusHD_v3.1V04.10-nv-ie =>PUP.Optional.CrossRider
HKLM\SOFTWARE\Wow6432Node\SVH
HKLM\SOFTWARE\Wow6432Node\YorkNewCin =>PUP.Optional.CrossRider
HKCU\SOFTWARE\ArenaHD =>PUP.Optional.CrossRider
HKCU\SOFTWARE\Boxore =>PUP.Optional.Boxore
HKCU\SOFTWARE\globalUpdate =>PUP.Optional.GlobalUpdate
HKCU\SOFTWARE\HighDefAction =>PUP.Optional.CrossRider
HKCU\SOFTWARE\InstalledBrowserExtensions =>PUP.Optional.BrowserExtensions
HKCU\SOFTWARE\PlusHD_v3.1V04.10 =>PUP.Optional.CrossRider
HKCU\SOFTWARE\PlusHD_v3.1V04.10-nv =>PUP.Optional.CrossRider
HKCU\SOFTWARE\PlusHD_v3.1V04.10-nv-ie =>PUP.Optional.CrossRider
HKCU\SOFTWARE\WTools
HKCU\SOFTWARE\YorkNewCin =>PUP.Optional.CrossRider
HKCU\SOFTWARE\AppDataLow\Software\Crossrider =>PUP.Optional.CrossRider
O43 - CFD: 2015/10/13 20:36:17 - [] D -- C:\Program Files (x86)\957398f2-c5e9-4880-86c9-6f6f60eb4c7a =>PUP.Optional.CrossRider
O43 - CFD: 2015/10/13 00:07:22 - [] D -- C:\Program Files (x86)\FE218E80-1444681023-81E3-2CCC-BCEE7B1C418C =>PUP.Optional.CrossRider
O43 - CFD: 2015/10/13 00:07:22 - [0] D -- C:\Users\Julie\AppData\Roaming\WTools
O45 - LFCP:[MD5.59B8B991E83351CF9645E2F1AD8892F8] 2015/10/13 20:30:33 A -- C:\WINDOWS\Prefetch\BOXORE.EXE-757109F0.pf =>PUP.Optional.Boxore
O45 - LFCP:[MD5.012C14EF01AB178FD509B7AE71CA3C4B] 2015/10/13 20:40:00 A -- C:\WINDOWS\Prefetch\GLOBALUPDATE.EXE-2956FB3E.pf =>PUP.Optional.GlobalUpdate
O45 - LFCP:[MD5.B7A99984EB641AEFE9AA76C6D9D6C65A] 2015/10/13 20:35:56 A -- C:\WINDOWS\Prefetch\GLOBALUPDATE.EXE-6E7CC114.pf =>PUP.Optional.GlobalUpdate
O45 - LFCP:[MD5.DAEEC72B5B0E10B98B4DE37352872D52] 2015/10/13 20:33:20 A -- C:\WINDOWS\Prefetch\REC_EN_77.EXE-424D96BD.pf =>PUP.Optional.Tuto4PC
O90 - PUC: "93BAD29AC2E44034A96BCB446EB8552E" . (.globalupdate Helper.) =>PUP.Optional.GlobalUpdate
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\PlusHD_v3.1V04.10 =>PUP.Optional.CrossRider
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\rec_en_77_is1 =>PUP.Optional.Tuto4PC
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2} =>PUP.Optional.GlobalUpdate
HKLM\SOFTWARE\Wow6432Node\a6950f3e-9eed-4610-ade3-23135fde35ee =>PUP.Optional.CrossRider
HKLM\SOFTWARE\Wow6432Node\ArenaHD =>PUP.Optional.CrossRider
HKLM\SOFTWARE\Wow6432Node\GlobalUpdate =>PUP.Optional.GlobalUpdate
HKLM\SOFTWARE\Wow6432Node\HighDefAction =>PUP.Optional.CrossRider
HKLM\SOFTWARE\Wow6432Node\InstalledBrowserExtensions =>PUP.Optional.BrowserExtensions
HKLM\SOFTWARE\Wow6432Node\PlusHD_v3.1V04.10 =>PUP.Optional.CrossRider
HKLM\SOFTWARE\Wow6432Node\PlusHD_v3.1V04.10-nv =>PUP.Optional.CrossRider
HKLM\SOFTWARE\Wow6432Node\PlusHD_v3.1V04.10-nv-ie =>PUP.Optional.CrossRider
HKLM\SOFTWARE\Wow6432Node\YorkNewCin =>PUP.Optional.CrossRider
HKCU\SOFTWARE\ArenaHD =>PUP.Optional.CrossRider
HKCU\SOFTWARE\Boxore =>PUP.Optional.Boxore
HKCU\SOFTWARE\globalUpdate =>PUP.Optional.GlobalUpdate
HKCU\SOFTWARE\HighDefAction =>PUP.Optional.CrossRider
HKCU\SOFTWARE\InstalledBrowserExtensions =>PUP.Optional.BrowserExtensions
HKCU\SOFTWARE\PlusHD_v3.1V04.10 =>PUP.Optional.CrossRider
HKCU\SOFTWARE\PlusHD_v3.1V04.10-nv =>PUP.Optional.CrossRider
HKCU\SOFTWARE\PlusHD_v3.1V04.10-nv-ie =>PUP.Optional.CrossRider
HKCU\SOFTWARE\YorkNewCin =>PUP.Optional.CrossRider
HKCU\SOFTWARE\AppDataLow\Software\Crossrider =>PUP.Optional.CrossRider
C:\Program Files (x86)\957398f2-c5e9-4880-86c9-6f6f60eb4c7a =>PUP.Optional.CrossRider
C:\Program Files (x86)\FE218E80-1444681023-81E3-2CCC-BCEE7B1C418C =>PUP.Optional.CrossRider
C:\WINDOWS\Prefetch\BOXORE.EXE-757109F0.pf =>PUP.Optional.Boxore
C:\WINDOWS\Prefetch\GLOBALUPDATE.EXE-2956FB3E.pf =>PUP.Optional.GlobalUpdate
C:\WINDOWS\Prefetch\GLOBALUPDATE.EXE-6E7CC114.pf =>PUP.Optional.GlobalUpdate
C:\WINDOWS\Prefetch\REC_EN_77.EXE-424D96BD.pf =>PUP.Optional.Tuto4PC
HKLM\Software\Classes\Installer\Products\93BAD29AC2E44034A96BCB446EB8552E =>PUP.Optional.GlobalUpdate
HKLM\Software\Classes\Installer\Features\93BAD29AC2E44034A96BCB446EB8552E =>PUP.Optional.GlobalUpdate
ShortcutFix
EmptyPrefetch
EmptyCLSID
EmptyFlash
EmptyTemp
ProxyFix
Messages postés
39
Date d'inscription
lundi 20 avril 2015
Statut
Membre
Dernière intervention
5 juin 2019

2 prohibited

2 suspicious

1 warning


Item Name: C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\Google Chrome\Google Chrome.lnk
Author:
Current Setting: HTTP://WWW.MYSTARTSEARCH.COM/?TYPE=SC&TS=1444681669&Z=D7CC6A2ABBB0F9F055F5AB3G5Z0ZDZ7Q1B1G2Z5Z1Q&FROM=CMI&UID=TOSHIBAXMQ01ABD075_93DDS2X4SXX93DDS2X4S
Type: Internet Shortcuts

Item Name: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
Author:
Current Setting: HTTP://WWW.MYSTARTSEARCH.COM/?TYPE=SC&TS=1444681669&Z=D7CC6A2ABBB0F9F055F5AB3G5Z0ZDZ7Q1B1G2Z5Z1Q&FROM=CMI&UID=TOSHIBAXMQ01ABD075_93DDS2X4SXX93DDS2X4S
Type: Internet Shortcuts

Item Name: catchme
Author:
Current Setting: \??\C:\Users\Julie\AppData\Local\Temp\catchme.sys
Type: Drivers

Item Name: C:\WINDOWS\SYSNATIVE\TASKS\AsusVibeSchedule
Author:
Current Setting: C:\PROGRAM FILES (X86)\ASUS\ASUSVIBE\ASUSVIBELAUNCHER.EXE
Type: Schedlued Tasks 2

Item Name: BootExecute
Author: Unknown
Related File: autocheck autochk *\n sdnclean64.exe<BR>Partizan
Type: Bootexecute


c'est sur que ça va mieux quand meme lol

meme il reste ça et je sais pas a quoi ça correspond.
Messages postés
26836
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
22 février 2021
3 490
Les deux premiers sont des raccourcis internet infectés,

Tu peux les désinfecter en trouvant les fichiers -> Propriétée

Affiche tes dossiers cachés...

C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\Google Chrome\Google Chrome.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk

Et tu supprime l'adresse.

Ou je crois que tu peux les nettoyer avec RegRun Reanimator.

Le troixième catchme.sys vient probablement de Combofix qui a du ètre utilisé sur le PC a un moment ou a un autre.

Tu peux le supprimer.

Les deux derniers appartiennent a Asus pour le premier, , Spybot et Reanimator
pour le dernier (sdnclean64.exe<BR>Partizan) sur la clé Bootexecute

Tu peux désinstaller Spybot, pas très utile....

Tu peux garder RegRun Reanimator, cliquer sur "False positive" pour les éléments sains (quand il y en a), il ne les détectera plus, il peut t'être utile pour surveiller le système et éliminer les malwares.

Si tu désinstalle RegRun Reanimator, juste avant, tu peux cliquer sur "Uninstall Partizan" (dans le programme).

Et tu peux cliquer sur ce fichier .reg qui remet la clé Bootexecute par défaut si elle ne l'est pas:

https://www.cjoint.com/c/DIwp0hjRA6Y

Tu peux cliquer sur le fichier .reg même si tu garde RegRun Reanimator.
Messages postés
39
Date d'inscription
lundi 20 avril 2015
Statut
Membre
Dernière intervention
5 juin 2019

merci pour toutes les infos mais je n'arrive pas a trouver les fichiers des adresses racourci pour les supprimer et donc je ne sais pas ou trouver -- propriétée

le item appartenant a Asus je ne le touche pas ? est-il infecté ?

et le spybot j'ai pas bien saisis comment le desinstaller

désolé je patoge un peu lol.

merci.
Messages postés
26836
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
22 février 2021
3 490
Si tu n'arrive pas a trouver les raccourcis, en affichant tes dossiers cachés, ce n'est pas normal.

https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/

Tu peux quand mème supprimer avec Reanimator.

Asus n'est pas infecté., Reanimator ne fait que signaler qu'il existe et est actif comme tache planifiée.

Spybot Search And Destroy, tu peux surement le désinstaller avec Revo Uninstaller Portable
Messages postés
39
Date d'inscription
lundi 20 avril 2015
Statut
Membre
Dernière intervention
5 juin 2019

pour asus je l'ai signaler en false positive, j'ai reussi a desinstaller spybot,

mais pas moyen de mettre la main sur ces raccourcis

lorsque je met l'item dans la barre de recherche de document il s'ouvre direct dans une page web

et jai ouvert l'editeur de registre pour creer le dossier HideFileExt mais il exixte deja

et pour trouver les raccourcis en question dans l'editeur de registre, c'est un peu trop vaste pour les trouver

je n'arrive pas a trouver programme data... cest mal parti lol

et donc sur reanimator il ne me trouve plus que les raccourcis, je les supprime mais ils reviennent.

que faire ?
Messages postés
43038
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
15 février 2021
3 627
Plus simple
Utilise zhpcleaner :)
Messages postés
26836
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
22 février 2021
3 490
Tu a essayé avec RegRun Reanimator "Get it out" pour voir si ça les nettoyait sans les supprimer ?

Sinon, peut être comme dit lilidurhone, avec ZHPCleaner

Malgré que ZHP n'a pas appliqué le ShortcutFix
Messages postés
39
Date d'inscription
lundi 20 avril 2015
Statut
Membre
Dernière intervention
5 juin 2019

zhp ne les a pas supprimés et j'ai réessayé av regrun mais c'est toujours pareil.

et comment faire pour le retrouver dans l'editeur de registre ?
où se trouve programme data dans l'editeur de registre ?

ces deux raccourcis sont assez coriaces.
Messages postés
43038
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
15 février 2021
3 627
Essaie ceci

http://christians-steffen.fr/telecharger/telecharger-resetbrowser/
Messages postés
39
Date d'inscription
lundi 20 avril 2015
Statut
Membre
Dernière intervention
5 juin 2019

super les raccourcis infectés ont disparus

merci beaucoup pour votre aide

@++
Messages postés
26836
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
22 février 2021
3 490
Normalement quand tu choisis "Reboot Computer" et tu redémarre après avoir fait "Get it out", Reanimator est censé supprimer, je ne sais pas ce qui s'est passé.

Content pour toi que lilidurhone ait trouvé une méthode simple et efficace.

Je crois que maintenant tu peux mettre ton sujet en résolu.

Si tu a des questions, tu peux toujours revenir.

@+
Messages postés
6266
Date d'inscription
mercredi 19 mars 2014
Statut
Membre
Dernière intervention
19 novembre 2020
421
bonjour a tous,

Qu'as tu comme antivirus ?


Sinon :
Quelques conseils de Malekal_Mortes :

Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)


Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

¤¤¤ Un petit merci ne coute rien mais compte beaucoup! <(^^,)> ¤¤¤
Messages postés
43038
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
15 février 2021
3 627
Parfait :)
Même pas besoin de donner les dernières consignes
Messages postés
6266
Date d'inscription
mercredi 19 mars 2014
Statut
Membre
Dernière intervention
19 novembre 2020
421
lol Oui je me suis permis... je sais pas trop si ça se fait. O:-)

Également, je crois que l'auteur de ce poste serait reconnaissant si l'un de vous acceptait de jeter un oeil a sa machine. Bien évidemment c'est a votre bon vouloir.
https://forums.commentcamarche.net/forum/affich-32662589-compte-paypal-utilise-sans-autorisation#p32666728
Messages postés
26836
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
22 février 2021
3 490
Peut être, au risque de me répéter,

A chaque fois qu'il installe quelque chose, qu'il fasse une analyse RegRun Reanimator, et qu'il identifie les bons et les mauvais.

Vérifier avec Autoruns aussi "Logon" et "Scheduled tasks" au cas ou RegRun ait perçu un mauvais comme un faux positif et l'ait exclu.

Tu aura moins besoin de visiter la section Virus/Sécurité.

Ne pas essayer de cr@cks de provenance douteuse parce que ça, ça peut détruire le système ou les données direct.