Je crois être infecter, besoin d'aide

Résolu/Fermé
Antho - Modifié le 27 mars 2017 à 10:31
jmdepise Messages postés 1646 Date d'inscription jeudi 30 janvier 2014 Statut Contributeur sécurité Dernière intervention 8 août 2019 - 28 mars 2017 à 01:27
Bonjour,


Bonjour,

Il me semble avoir été infecter.
Pouvez vous m'aider en faisant des analyses avec des logiciels que vous conseillez ?

16 réponses

jmdepise Messages postés 1646 Date d'inscription jeudi 30 janvier 2014 Statut Contributeur sécurité Dernière intervention 8 août 2019 411
27 mars 2017 à 10:45
Bonjour

as-tu constaté des symptômes particuliers ?
Pour voir, tu peux lancer ZHPdiag :

jm
0
Bonjiur jmdepise,


J'ai eu une alerte de Kaspersky me parlant de TWUNI ?? De quoi il s'agit ??

Voici le lien du rapport :

http://pjjoint.malekal.com/files.php?id=20170327_o14q11d13t10e14
0
jmdepise Messages postés 1646 Date d'inscription jeudi 30 janvier 2014 Statut Contributeur sécurité Dernière intervention 8 août 2019 411
Modifié le 27 mars 2017 à 12:48
Re

Rien d'actif sur le pc ;)

Quelle est cette alerte "de Kaspersky" ?


//

Voici une correction

ZHPfix
  • Télécharger et enregistrer Zhpfix sur ton bureau
  • lancer zhpfix, il va s'installer sur le pc,
  • /!\ Les Utilisateurs de Vista-7-8-10 Cliquer droit sur le logo de ZHPfix et "exécuter en tant qu'Administrateur"

/!\ Avertissement /!\
ce script est spécialement rédigé pour ce pc en cours du nettoyage, ne pas utiliser ce script sur un autre pc, Risque de Plantage !
  • Lancer ZHPFix via le raccourci qui se trouve sur le Bureau. "L'icône ressemble à une seringue".
  • Cliquer sur "importer" > Une fenêtre d'avertissement apparait cliquer sur OK
  • Copier ( Ctrl + C ) et coller ( Ctrl + V ) les lignes ci-dessous en gras dans la fenêtre de Zhpfix.



Script ZHPFix
SysRestore
O4 - HKUS\.DEFAULT\..\Run: [SpybotPostWindows10UpgradeReInstall] . (.Safer-Networking Ltd. - Makes sure Spybot 2 is there on Windows 10..) -- C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe
O4 - HKUS\S-1-5-18\..\Run: [SpybotPostWindows10UpgradeReInstall] . (.Safer-Networking Ltd. - Makes sure Spybot 2 is there on Windows 10..) -- C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe
G2 - GCE: Preference [User Data\Default] [aapocclcgogkmnckokdopfmhonfmgoek] Google Chrome manifest
G2 - GCE: Preference [User Data\Default] [nmmhkkegccagdldgiimedpiccmgmieda] Google Chrome manifest
G2 - GCE: Preference [User Data\Default] [pkedcjkdefgpdelpbcmbmeomcjbeemfm] Chrome Media Router
C:\Users\Antho-Pc\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_d22j4fzzszoii2.cloudfront.net_0.localstorage
C:\Users\Antho-Pc\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_d22j4fzzszoii2.cloudfront.net_0.localstorage-journal
[MD5.] [WIS][2017/03/07 21:51:01] (.WinSnare - Windows Installer.) -- C:\WINDOWS\Installer\56b89.msi [317400]
[MD5.00000000000000000000000000000000] [APT] [Norton WSC Integration] (...) -- C:\Program Files (x86)\Norton Security\Engine\22.7.0.76\WSCStub.exe (.not file.) [317400] (.Activate.)
[MD5.00000000000000000000000000000000] [APT] [Norton WSC Integration] (...) -- C:\Program Files (x86)\Norton Security\Engine\22.7.0.76\WSCStub.exe (.not file.) [317400] (.Activate.)
HKLM\SOFTWARE\Wow6432Node\Norton
HKCU\SOFTWARE\AppDataLow\Software\Norton
HKLM\SOFTWARE\Wow6432Node\6D9AA26CB4AE7E7562132672DE50FC19
HKCU\SOFTWARE\ESET
HKCU\SOFTWARE\IM
O43 - CFD: 05/01/2017 - [] D -- C:\ProgramData\Norton
O43 - CFD: 02/01/2017 - [] D -- C:\Users\Antho-Pc\AppData\Local\ESET
O58 - SDL:2015/07/02 17:33:00 A . (.McAfee, Inc. - McAfee Arbitrary Access Control Driver.) -- C:\WINDOWS\System32\drivers\mfeaack.sys [317400]
O58 - SDL:2015/05/27 02:29:04 A . (.Auteurs - McAfee Driver Cleaning Driver.) -- C:\WINDOWS\System32\drivers\mfeclnrk.sys [317400]
O58 - SDL:2015/05/27 02:29:04 A . (.McAfee, Inc. - Event Driver.) -- C:\WINDOWS\System32\drivers\mfencbdc.sys [317400]
O58 - SDL:2015/05/27 02:29:04 A . (.McAfee, Inc. - Detection driver.) -- C:\WINDOWS\System32\drivers\mfencrk.sys [317400]
OPT:O4 - HKUS\S-1-5-21-3580963075-1259907964-732789277-1001\..\Run: [CCleaner Monitoring] . (.Piriform Ltd - CCleaner.) -- C:\Program Files\CCleaner\CCleaner64.exe
OPT:O4 - HKCU\..\Run: [CCleaner Monitoring] . (.Piriform Ltd - CCleaner.) -- C:\Program Files\CCleaner\CCleaner64.exe
ServiceDemand:TeamViewer
ServiceDemand:Bonjour Service
EmptyTemp
EmptyCLSID
FirewallRAZ
ProxyFix
EmptyFlash
EmptyPrefetch
  • Cliquer sur le bouton "GO" pour lancer le nettoyage puis Confirmer le nettoyage

  • Un rapport ZHPfix.txt se trouvera sur le bureau...
    • Merci de poster ce rapport (zhpfix) dans ta prochaine réponse. *(aide ici)






Contributeur sécurité
0
Bonsoir =)

Oula je ne me rappelle plus exactement car j'ai ignorer cette alerte de Kaspersky et ne sais comment pouvoir l'afficher à nouveau
Il me parlais de TWUNI quelque chose comme cela ... comme quoi ce programme pouvais avoir un risque, quelque chose du genre.


A quoi sert ZHPfix ?
Et à quoi sert la correction que tu me donnes ?

Je te remercie =)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Voici le rapport :


Rapport de ZHPFix 2015.10.19.9 par Nicolas Coolman, Update du 19/10/2015
Fichier d'export Registre :
Run by Antho-Pc at 27/03/2017 21:15:11
High Elevated Privileges : OK
Windows 8 Home Premium Edition, 64-bit Service Pack 1 (14393)

Corbeille vidée (00mn 04s)
Dossier Prefetcher vidé

========== Etat des services ==========
TeamViewerService configuré (demand)
TeamViewer Démarré
Bonjour ServiceService configuré (demand)
Bonjour Service Démarré

========== Clés du Registre ==========
SUPPRIMÉ: HKLM\SOFTWARE\Wow6432Node\Norton
SUPPRIMÉ: HKCU\SOFTWARE\AppDataLow\Software\Norton
SUPPRIMÉ: HKLM\SOFTWARE\Wow6432Node\6D9AA26CB4AE7E7562132672DE50FC19
SUPPRIMÉ: HKCU\SOFTWARE\ESET
SUPPRIMÉ: HKCU\SOFTWARE\IM

========== Valeurs du Registre ==========
SUPPRIMÉ RunValue: SpybotPostWindows10UpgradeReInstall
SUPPRIMÉ RunValue: CCleaner Monitoring
Aucune Valeur Standard Profile: FirewallRaz :
Aucune Valeur Domain Profile: FirewallRaz :
ProxyFix : Configuration proxy supprimée avec succès
SUPPRIMÉ ProxyServer Value
SUPPRIMÉ ProxyEnable Value
SUPPRIMÉ EnableHttp1_1 Value
SUPPRIMÉ ProxyHttp1.1 Value
SUPPRIMÉ ProxyOverride Value

========== Dossiers ==========
Aucun dossiers CLSID Local utilisateur vide
SUPPRIMÉS Flash Cookies (0)

========== Fichiers ==========
SUPPRIMÉ: c:\program files\common files\av\spybot - search and destroy\test.exe
SUPPRIMÉ: C:\Users\Antho-Pc\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_d22j4fzzszoii2.cloudfront.net_0.localstorage
SUPPRIMÉ: C:\Users\Antho-Pc\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_d22j4fzzszoii2.cloudfront.net_0.localstorage-journal
SUPPRIMÉ: C:\WINDOWS\Installer\56b89.msi
SUPPRIMÉ Redémarrage: c:\windows\system32\drivers\mfeaack.sys
SUPPRIMÉ Redémarrage: c:\windows\system32\drivers\mfeclnrk.sys
SUPPRIMÉ Redémarrage: c:\windows\system32\drivers\mfencbdc.sys
SUPPRIMÉ Redémarrage: c:\windows\system32\drivers\mfencrk.sys
SUPPRIMÉS Temporaires Windows (131) (89 106 123 octets)
SUPPRIMÉS Flash Cookies (0) (0 octets)

========== Tache planifiée ==========
SUPPRIMÉ: Norton WSC Integration

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
5 : Clés du Registre
10 : Valeurs du Registre
2 : Dossiers
10 : Fichiers
4 : Etat des services
1 : Tache planifiée
1 : Restauration Système


End of clean in 00mn 41s

========== Chemin de fichier rapport ==========
C:\Users\Antho-Pc\AppData\Roaming\ZHP\ZHPFix[R1].txt - 27/03/2017 21:15:16 [2507]
0
jmdepise Messages postés 1646 Date d'inscription jeudi 30 janvier 2014 Statut Contributeur sécurité Dernière intervention 8 août 2019 411
Modifié le 27 mars 2017 à 22:20
Ok c'est parfait pour le rapport.
la correction vise a supprimer des restes d'infections ou des restes d'anciennes installations logiciels comme par exemple Spybot (qui n'est d'ailleur pas vraiment utile) ou Norton ....

Comment va ce PC maintenant ?

:)

Contributeur sécurité
0
Tu déconseilles Spybot ?
Je sais qu'il à été parfois en mesure de détecter des choses que Kaspersky ne détectais pas.

Sa semble aller pour le moment =)

Tu as des conseils d'autres programmes ? en plus de Kaspersky et que je tienne bien à jour mes programmes ?

=)
0
jmdepise Messages postés 1646 Date d'inscription jeudi 30 janvier 2014 Statut Contributeur sécurité Dernière intervention 8 août 2019 411
27 mars 2017 à 23:16
Oui, tout à fait je déconseille Spybot.

Un p'ti article (de Malekal) qui te permet de comprendre pourquoi ....
ici

Sinon, tu peux utiliser Malwarebytes AntiMalware (en version gratuite) pour un entretien régulier, qui est bien plus efficace que d'autres programmes...
Installation // Analyse des menaces // Analyse personnalisée

Tu peux lire ceci ► pour maintenir le système en "bonne santé"

Si tout est ok pour toi (pour finir), tu peux passer ceci pour supprimer les restes des fichiers temp
SFT.exe

;)
0
Je viens de lancer une analyse avec → SFT.exe

Merci pour les conseils je vais lire tout cela =)
0
jmdepise Messages postés 1646 Date d'inscription jeudi 30 janvier 2014 Statut Contributeur sécurité Dernière intervention 8 août 2019 411
27 mars 2017 à 23:37
ok =)

bon surf
0
Je te remercie =)

Bonne soirée =)
0
Au secours !! lol

J'ai kaspersky qui vient de remettre l'alerte

Voir capture -- > http://www.cjoint.com/c/GCBv76655Sq
0
jmdepise Messages postés 1646 Date d'inscription jeudi 30 janvier 2014 Statut Contributeur sécurité Dernière intervention 8 août 2019 411
Modifié le 28 mars 2017 à 00:14
lol

C'est ok, Rends toi sur cette page pour tester le fichier ...

VIRUS TOTAL

Tu vas aller sur virustotal pour analyser ceci
twinui.dll.exe :
/
  • > onglet Fichier >> [C:\Windows\System32\twinui.dll.exe]
  • > Choisir un fichier
  • > Analyser !



*


*
    • Ce fichier twinui.dll.exe se trouve dans :

C:\Windows\System32\twinui.dll.exe  


Merci de me donner le lien dans ta prochaine réponse
0
Voici le lien --->

https://www.virustotal.com/fr/file/7c89649a445f6f1d03664b390a9d52740dacfe0a82a067d0844312e4f8c6401b/analysis/1490653775/
0
jmdepise Messages postés 1646 Date d'inscription jeudi 30 janvier 2014 Statut Contributeur sécurité Dernière intervention 8 août 2019 411
Modifié le 28 mars 2017 à 00:58
Ça semble correcte ... ?!

Après pour être certain, "car j'ai un doute sur la double extension ► .Dll + exe ???"

En principe ce fichier est présent sous cette forme = twinui.dll et Kasperski le détecte comme ceci → twinui.dll.exe

Si tu le souhaites, fais ceci:
  • Télécharge SEAF.exe sur le bureau :
  • Clic droit ► "exécuter en tant qu'administrateur"
  • Copier/coller ces deux fichier dans l'emplacement de recherche:

twinui.dll;twinui.dll.exe

  • Sélectionner > MD5 >> puis ► Lancer la recherche
  • A la fin de la recherche, un rapport "SeafLog.txt" s'ouvre > enregistrer ce rapport sur le bureau puis transmettre dans ta prochaine réponse ..


Contributeur sécurité
0
Voici le rapport --->

http://www.cjoint.com/c/GCBw6xKNCvq
0
jmdepise Messages postés 1646 Date d'inscription jeudi 30 janvier 2014 Statut Contributeur sécurité Dernière intervention 8 août 2019 411
28 mars 2017 à 01:05
Ok tout va bien ;)

As-tu mis en quarantaine le fichier "twinui.dll.exe" la première fois que tu a eu cette alerte?
0
Je ne me rappelle pas du tout :/

Je doit faire quoi ?

Dans kaspersky je met quoi concernant l'alerte , supprimer ? ignorer ? Ajouter aux exclusions ?


Elle est du a quoi cette alerte ?
0
jmdepise Messages postés 1646 Date d'inscription jeudi 30 janvier 2014 Statut Contributeur sécurité Dernière intervention 8 août 2019 411
Modifié le 28 mars 2017 à 01:22
Tu peux ignorer puisque le fichier n'existe pas.
Si le fichier twinui.dll.exe était présent sur ton système, SEAF l'aurais trouvé... donc pas d'inquiétude. De plus, le fichier twinui.dll est un fichier système qui ne faut pas toucher et il est sain ;)
Tu as ICI une petite définition de ce fichier

Donc tu peux ignorer l'alerte sans problème

A quoi c'est dû ? Je ne peux te dire vraiment pourquoi Kaspersky la détecté cependant, il arrive que des antivirus ou autres programmes de détection affichent des Faux/Positif (en clair ... De fausses détections)
0
D'accord entendu.

Mais pourquoi Kaspersky me fait il cette alerte ?
0
jmdepise Messages postés 1646 Date d'inscription jeudi 30 janvier 2014 Statut Contributeur sécurité Dernière intervention 8 août 2019 411
Modifié le 28 mars 2017 à 01:24
A quoi c'est dû ? Je ne peux te dire vraiment pourquoi Kaspersky la détecté cependant, il arrive que des antivirus ou autres programmes de détection affichent des Faux/Positif (en clair ... De fausses détections)
C'est aussi pour cette raison que l'on demande systématiquement les rapports d'analyse / suppression pour vérifier si ce sont de vrai ou fausses détections ...
0
D'accord très bien.
J'espère être tranquille désormais .

=)

Merci de ton aide

=)
0
jmdepise Messages postés 1646 Date d'inscription jeudi 30 janvier 2014 Statut Contributeur sécurité Dernière intervention 8 août 2019 411
Modifié le 28 mars 2017 à 01:28
Avec plaisir :)

=)
0