Je crois être infecter, besoin d'aide

Résolu
Antho -  
jmdepise Messages postés 1649 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

Bonjour,

Il me semble avoir été infecter.
Pouvez vous m'aider en faisant des analyses avec des logiciels que vous conseillez ?

16 réponses

  1. jmdepise Messages postés 1649 Date d'inscription   Statut Contributeur sécurité Dernière intervention   414
     
    Bonjour

    as-tu constaté des symptômes particuliers ?
    Pour voir, tu peux lancer ZHPdiag :

    jm
    0
  2. Antho
     
    Bonjiur jmdepise,

    J'ai eu une alerte de Kaspersky me parlant de TWUNI ?? De quoi il s'agit ??

    Voici le lien du rapport :

    http://pjjoint.malekal.com/files.php?id=20170327_o14q11d13t10e14
    0
  3. jmdepise Messages postés 1649 Date d'inscription   Statut Contributeur sécurité Dernière intervention   414
     
    Re

    Rien d'actif sur le pc ;)

    Quelle est cette alerte "de Kaspersky" ?


    //

    Voici une correction

    ZHPfix
    • Télécharger et enregistrer Zhpfix sur ton bureau
    • lancer zhpfix, il va s'installer sur le pc,
    • /!\ Les Utilisateurs de Vista-7-8-10 Cliquer droit sur le logo de ZHPfix et "exécuter en tant qu'Administrateur"

    /!\ Avertissement /!\
    ce script est spécialement rédigé pour ce pc en cours du nettoyage, ne pas utiliser ce script sur un autre pc, Risque de Plantage !
    • Lancer ZHPFix via le raccourci qui se trouve sur le Bureau. "L'icône ressemble à une seringue".
    • Cliquer sur "importer" > Une fenêtre d'avertissement apparait cliquer sur OK
    • Copier ( Ctrl + C ) et coller ( Ctrl + V ) les lignes ci-dessous en gras dans la fenêtre de Zhpfix.


    Script ZHPFix
    SysRestore
    O4 - HKUS\.DEFAULT\..\Run: [SpybotPostWindows10UpgradeReInstall] . (.Safer-Networking Ltd. - Makes sure Spybot 2 is there on Windows 10..) -- C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe
    O4 - HKUS\S-1-5-18\..\Run: [SpybotPostWindows10UpgradeReInstall] . (.Safer-Networking Ltd. - Makes sure Spybot 2 is there on Windows 10..) -- C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe
    G2 - GCE: Preference [User Data\Default] [aapocclcgogkmnckokdopfmhonfmgoek] Google Chrome manifest
    G2 - GCE: Preference [User Data\Default] [nmmhkkegccagdldgiimedpiccmgmieda] Google Chrome manifest
    G2 - GCE: Preference [User Data\Default] [pkedcjkdefgpdelpbcmbmeomcjbeemfm] Chrome Media Router
    C:\Users\Antho-Pc\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_d22j4fzzszoii2.cloudfront.net_0.localstorage
    C:\Users\Antho-Pc\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_d22j4fzzszoii2.cloudfront.net_0.localstorage-journal
    [MD5.] [WIS][2017/03/07 21:51:01] (.WinSnare - Windows Installer.) -- C:\WINDOWS\Installer\56b89.msi [317400]
    [MD5.00000000000000000000000000000000] [APT] [Norton WSC Integration] (...) -- C:\Program Files (x86)\Norton Security\Engine\22.7.0.76\WSCStub.exe (.not file.) [317400] (.Activate.)
    [MD5.00000000000000000000000000000000] [APT] [Norton WSC Integration] (...) -- C:\Program Files (x86)\Norton Security\Engine\22.7.0.76\WSCStub.exe (.not file.) [317400] (.Activate.)
    HKLM\SOFTWARE\Wow6432Node\Norton
    HKCU\SOFTWARE\AppDataLow\Software\Norton
    HKLM\SOFTWARE\Wow6432Node\6D9AA26CB4AE7E7562132672DE50FC19
    HKCU\SOFTWARE\ESET
    HKCU\SOFTWARE\IM
    O43 - CFD: 05/01/2017 - [] D -- C:\ProgramData\Norton
    O43 - CFD: 02/01/2017 - [] D -- C:\Users\Antho-Pc\AppData\Local\ESET
    O58 - SDL:2015/07/02 17:33:00 A . (.McAfee, Inc. - McAfee Arbitrary Access Control Driver.) -- C:\WINDOWS\System32\drivers\mfeaack.sys [317400]
    O58 - SDL:2015/05/27 02:29:04 A . (.Auteurs - McAfee Driver Cleaning Driver.) -- C:\WINDOWS\System32\drivers\mfeclnrk.sys [317400]
    O58 - SDL:2015/05/27 02:29:04 A . (.McAfee, Inc. - Event Driver.) -- C:\WINDOWS\System32\drivers\mfencbdc.sys [317400]
    O58 - SDL:2015/05/27 02:29:04 A . (.McAfee, Inc. - Detection driver.) -- C:\WINDOWS\System32\drivers\mfencrk.sys [317400]
    OPT:O4 - HKUS\S-1-5-21-3580963075-1259907964-732789277-1001\..\Run: [CCleaner Monitoring] . (.Piriform Ltd - CCleaner.) -- C:\Program Files\CCleaner\CCleaner64.exe
    OPT:O4 - HKCU\..\Run: [CCleaner Monitoring] . (.Piriform Ltd - CCleaner.) -- C:\Program Files\CCleaner\CCleaner64.exe
    ServiceDemand:TeamViewer
    ServiceDemand:Bonjour Service
    EmptyTemp
    EmptyCLSID
    FirewallRAZ
    ProxyFix
    EmptyFlash
    EmptyPrefetch
    • Cliquer sur le bouton "GO" pour lancer le nettoyage puis Confirmer le nettoyage

    • Un rapport ZHPfix.txt se trouvera sur le bureau...
      • Merci de poster ce rapport (zhpfix) dans ta prochaine réponse. *(aide ici)


    Contributeur sécurité
    0
  4. Antho
     
    Bonsoir =)

    Oula je ne me rappelle plus exactement car j'ai ignorer cette alerte de Kaspersky et ne sais comment pouvoir l'afficher à nouveau
    Il me parlais de TWUNI quelque chose comme cela ... comme quoi ce programme pouvais avoir un risque, quelque chose du genre.

    A quoi sert ZHPfix ?
    Et à quoi sert la correction que tu me donnes ?

    Je te remercie =)
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Antho
     
    Voici le rapport :

    Rapport de ZHPFix 2015.10.19.9 par Nicolas Coolman, Update du 19/10/2015
    Fichier d'export Registre :
    Run by Antho-Pc at 27/03/2017 21:15:11
    High Elevated Privileges : OK
    Windows 8 Home Premium Edition, 64-bit Service Pack 1 (14393)

    Corbeille vidée (00mn 04s)
    Dossier Prefetcher vidé

    ========== Etat des services ==========
    TeamViewerService configuré (demand)
    TeamViewer Démarré
    Bonjour ServiceService configuré (demand)
    Bonjour Service Démarré

    ========== Clés du Registre ==========
    SUPPRIMÉ: HKLM\SOFTWARE\Wow6432Node\Norton
    SUPPRIMÉ: HKCU\SOFTWARE\AppDataLow\Software\Norton
    SUPPRIMÉ: HKLM\SOFTWARE\Wow6432Node\6D9AA26CB4AE7E7562132672DE50FC19
    SUPPRIMÉ: HKCU\SOFTWARE\ESET
    SUPPRIMÉ: HKCU\SOFTWARE\IM

    ========== Valeurs du Registre ==========
    SUPPRIMÉ RunValue: SpybotPostWindows10UpgradeReInstall
    SUPPRIMÉ RunValue: CCleaner Monitoring
    Aucune Valeur Standard Profile: FirewallRaz :
    Aucune Valeur Domain Profile: FirewallRaz :
    ProxyFix : Configuration proxy supprimée avec succès
    SUPPRIMÉ ProxyServer Value
    SUPPRIMÉ ProxyEnable Value
    SUPPRIMÉ EnableHttp1_1 Value
    SUPPRIMÉ ProxyHttp1.1 Value
    SUPPRIMÉ ProxyOverride Value

    ========== Dossiers ==========
    Aucun dossiers CLSID Local utilisateur vide
    SUPPRIMÉS Flash Cookies (0)

    ========== Fichiers ==========
    SUPPRIMÉ: c:\program files\common files\av\spybot - search and destroy\test.exe
    SUPPRIMÉ: C:\Users\Antho-Pc\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_d22j4fzzszoii2.cloudfront.net_0.localstorage
    SUPPRIMÉ: C:\Users\Antho-Pc\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_d22j4fzzszoii2.cloudfront.net_0.localstorage-journal
    SUPPRIMÉ: C:\WINDOWS\Installer\56b89.msi
    SUPPRIMÉ Redémarrage: c:\windows\system32\drivers\mfeaack.sys
    SUPPRIMÉ Redémarrage: c:\windows\system32\drivers\mfeclnrk.sys
    SUPPRIMÉ Redémarrage: c:\windows\system32\drivers\mfencbdc.sys
    SUPPRIMÉ Redémarrage: c:\windows\system32\drivers\mfencrk.sys
    SUPPRIMÉS Temporaires Windows (131) (89 106 123 octets)
    SUPPRIMÉS Flash Cookies (0) (0 octets)

    ========== Tache planifiée ==========
    SUPPRIMÉ: Norton WSC Integration

    ========== Restauration Système ==========
    Point de restauration du système créé avec succès

    ========== Récapitulatif ==========
    5 : Clés du Registre
    10 : Valeurs du Registre
    2 : Dossiers
    10 : Fichiers
    4 : Etat des services
    1 : Tache planifiée
    1 : Restauration Système

    End of clean in 00mn 41s

    ========== Chemin de fichier rapport ==========
    C:\Users\Antho-Pc\AppData\Roaming\ZHP\ZHPFix[R1].txt - 27/03/2017 21:15:16 [2507]
    0
  7. jmdepise Messages postés 1649 Date d'inscription   Statut Contributeur sécurité Dernière intervention   414
     
    Ok c'est parfait pour le rapport.
    la correction vise a supprimer des restes d'infections ou des restes d'anciennes installations logiciels comme par exemple Spybot (qui n'est d'ailleur pas vraiment utile) ou Norton ....

    Comment va ce PC maintenant ?

    :)

    Contributeur sécurité
    0
  8. Antho
     
    Tu déconseilles Spybot ?
    Je sais qu'il à été parfois en mesure de détecter des choses que Kaspersky ne détectais pas.

    Sa semble aller pour le moment =)

    Tu as des conseils d'autres programmes ? en plus de Kaspersky et que je tienne bien à jour mes programmes ?

    =)
    0
    1. jmdepise Messages postés 1649 Date d'inscription   Statut Contributeur sécurité Dernière intervention   414
       
      Oui, tout à fait je déconseille Spybot.

      Un p'ti article (de Malekal) qui te permet de comprendre pourquoi ....
      ici

      Sinon, tu peux utiliser Malwarebytes AntiMalware (en version gratuite) pour un entretien régulier, qui est bien plus efficace que d'autres programmes...
      Installation // Analyse des menaces // Analyse personnalisée

      Tu peux lire ceci ► pour maintenir le système en "bonne santé"

      Si tout est ok pour toi (pour finir), tu peux passer ceci pour supprimer les restes des fichiers temp
      SFT.exe

      ;)
      0
  9. Antho
     
    Je viens de lancer une analyse avec → SFT.exe

    Merci pour les conseils je vais lire tout cela =)
    0
    1. jmdepise Messages postés 1649 Date d'inscription   Statut Contributeur sécurité Dernière intervention   414
       
      ok =)

      bon surf
      0
  10. Antho
     
    Au secours !! lol

    J'ai kaspersky qui vient de remettre l'alerte

    Voir capture -- > http://www.cjoint.com/c/GCBv76655Sq
    0
    1. jmdepise Messages postés 1649 Date d'inscription   Statut Contributeur sécurité Dernière intervention   414
       
      lol

      C'est ok, Rends toi sur cette page pour tester le fichier ...

      VIRUS TOTAL

      Tu vas aller sur virustotal pour analyser ceci
      twinui.dll.exe :
      /
      • > onglet Fichier >> [C:\Windows\System32\twinui.dll.exe]
      • > Choisir un fichier
      • > Analyser !



      *


      *
        • Ce fichier twinui.dll.exe se trouve dans :

      C:\Windows\System32\twinui.dll.exe  


      Merci de me donner le lien dans ta prochaine réponse
      0
  11. Antho
     
    Voici le lien --->

    https://www.virustotal.com/fr/file/7c89649a445f6f1d03664b390a9d52740dacfe0a82a067d0844312e4f8c6401b/analysis/1490653775/
    0
  12. jmdepise Messages postés 1649 Date d'inscription   Statut Contributeur sécurité Dernière intervention   414
     
    Ça semble correcte ... ?!

    Après pour être certain, "car j'ai un doute sur la double extension ► .Dll + exe ???"

    En principe ce fichier est présent sous cette forme = twinui.dll et Kasperski le détecte comme ceci → twinui.dll.exe

    Si tu le souhaites, fais ceci:
    • Télécharge SEAF.exe sur le bureau :
    • Clic droit ► "exécuter en tant qu'administrateur"
    • Copier/coller ces deux fichier dans l'emplacement de recherche:

    twinui.dll;twinui.dll.exe

    • Sélectionner > MD5 >> puis ► Lancer la recherche
    • A la fin de la recherche, un rapport "SeafLog.txt" s'ouvre > enregistrer ce rapport sur le bureau puis transmettre dans ta prochaine réponse ..


    Contributeur sécurité
    0
  13. Antho
     
    Voici le rapport --->

    http://www.cjoint.com/c/GCBw6xKNCvq
    0
    1. jmdepise Messages postés 1649 Date d'inscription   Statut Contributeur sécurité Dernière intervention   414
       
      Ok tout va bien ;)

      As-tu mis en quarantaine le fichier "twinui.dll.exe" la première fois que tu a eu cette alerte?
      0
  14. Antho
     
    Je ne me rappelle pas du tout :/

    Je doit faire quoi ?

    Dans kaspersky je met quoi concernant l'alerte , supprimer ? ignorer ? Ajouter aux exclusions ?

    Elle est du a quoi cette alerte ?
    0
    1. jmdepise Messages postés 1649 Date d'inscription   Statut Contributeur sécurité Dernière intervention   414
       
      Tu peux ignorer puisque le fichier n'existe pas.
      Si le fichier twinui.dll.exe était présent sur ton système, SEAF l'aurais trouvé... donc pas d'inquiétude. De plus, le fichier twinui.dll est un fichier système qui ne faut pas toucher et il est sain ;)
      Tu as ICI une petite définition de ce fichier

      Donc tu peux ignorer l'alerte sans problème

      A quoi c'est dû ? Je ne peux te dire vraiment pourquoi Kaspersky la détecté cependant, il arrive que des antivirus ou autres programmes de détection affichent des Faux/Positif (en clair ... De fausses détections)
      0
  15. Antho
     
    D'accord entendu.

    Mais pourquoi Kaspersky me fait il cette alerte ?
    0
    1. jmdepise Messages postés 1649 Date d'inscription   Statut Contributeur sécurité Dernière intervention   414
       
      A quoi c'est dû ? Je ne peux te dire vraiment pourquoi Kaspersky la détecté cependant, il arrive que des antivirus ou autres programmes de détection affichent des Faux/Positif (en clair ... De fausses détections)
      C'est aussi pour cette raison que l'on demande systématiquement les rapports d'analyse / suppression pour vérifier si ce sont de vrai ou fausses détections ...
      0
  16. Antho
     
    D'accord très bien.
    J'espère être tranquille désormais .

    =)

    Merci de ton aide

    =)
    0
    1. jmdepise Messages postés 1649 Date d'inscription   Statut Contributeur sécurité Dernière intervention   414
       
      Avec plaisir :)

      =)
      0