Infection PC
Nerbrain
Messages postés
7
Date d'inscription
Statut
Membre
Dernière intervention
-
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
Mon pc est infecté par un virus ou un trojan. Je ne sais pas comment c'est arrivé, je n'ai fait aucun téléchargement récemment.
J'étais sur mon navigateur, je consultait une ou deux pages banales quand mon ordinateur s'est mis à ramer, et ralentir très fortement.
Ayant lancé mon antivirus (Microsoft Security Essentials) je constate que celui ci n'a pas la dernière version de la base de données virales et que la protection en temps réel est désactivée alors qu'elle est habituellement activée. En cliquant tout passe au vert puis je lance une analyse mais elle s'effectue assez rapidement et n'analyse pas les fichiers systèmes. Pareil, avec Malwarebytes.
Quand je fais une analyse personnalisée en sélectionnant les fichiers systèmes dans C:\Windows l'analyse ne se lance pas.
Je redémarre mon ordinateur, même problème. Je cherche alors à ouvrir chrome le chargement des pages est très lent, et quand je commence à chercher des choses en rapport avec la sécurité, le Pc rame encore plus. Je ferme, je cherche à rouvrir Chrome ce qui n'est plus possible. Mon antivirus est encore une fois désactivé, la base virale n'est plus à jour.
Par la suite, j'ai éteins quelques temps mon pc et je suis passé par le mode sans échec sans prise en charge réseau pour faire des analyses rien n'a été trouvé.
J'ai alors téléchargé Rogue Killer et fais l analyse, 25 potentielles menaces ont été trouvé, je les ai mis en quarantaine puis supprimer.
Les menaces étaient situées dans :
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy
Et sur le disque dur dans :
C:\............\privatejre__9971__wx6__xx__sp0__1\bin\java.exe
Au redémarrage en mode normal je rencontre les mêmes problèmes le gestionnaire de tâches se lance très lentement, internet est presque inaccessible et les logiciels antivirus paraissent tourner dans le vide.
Deux processus étranges par rapport au mode sans échec : atiedxx.exe et hkcmd.exe ou taskhost.exe
Rien d'étrange dans les éléments lancés au démarrage.
Merci d'avance de votre aide et d'avoir lu.
Mon pc est infecté par un virus ou un trojan. Je ne sais pas comment c'est arrivé, je n'ai fait aucun téléchargement récemment.
J'étais sur mon navigateur, je consultait une ou deux pages banales quand mon ordinateur s'est mis à ramer, et ralentir très fortement.
Ayant lancé mon antivirus (Microsoft Security Essentials) je constate que celui ci n'a pas la dernière version de la base de données virales et que la protection en temps réel est désactivée alors qu'elle est habituellement activée. En cliquant tout passe au vert puis je lance une analyse mais elle s'effectue assez rapidement et n'analyse pas les fichiers systèmes. Pareil, avec Malwarebytes.
Quand je fais une analyse personnalisée en sélectionnant les fichiers systèmes dans C:\Windows l'analyse ne se lance pas.
Je redémarre mon ordinateur, même problème. Je cherche alors à ouvrir chrome le chargement des pages est très lent, et quand je commence à chercher des choses en rapport avec la sécurité, le Pc rame encore plus. Je ferme, je cherche à rouvrir Chrome ce qui n'est plus possible. Mon antivirus est encore une fois désactivé, la base virale n'est plus à jour.
Par la suite, j'ai éteins quelques temps mon pc et je suis passé par le mode sans échec sans prise en charge réseau pour faire des analyses rien n'a été trouvé.
J'ai alors téléchargé Rogue Killer et fais l analyse, 25 potentielles menaces ont été trouvé, je les ai mis en quarantaine puis supprimer.
Les menaces étaient situées dans :
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy
Et sur le disque dur dans :
C:\............\privatejre__9971__wx6__xx__sp0__1\bin\java.exe
Au redémarrage en mode normal je rencontre les mêmes problèmes le gestionnaire de tâches se lance très lentement, internet est presque inaccessible et les logiciels antivirus paraissent tourner dans le vide.
Deux processus étranges par rapport au mode sans échec : atiedxx.exe et hkcmd.exe ou taskhost.exe
Rien d'étrange dans les éléments lancés au démarrage.
Merci d'avance de votre aide et d'avoir lu.
A voir également:
- Infection PC
- Reinitialiser pc - Guide
- Test performance pc - Guide
- Pc lent - Guide
- Downloader for pc - Télécharger - Téléchargement & Transfert
- Forcer demarrage pc - Guide
5 réponses
Salut,
Pour vérifier ton ordinateur, pour d'éventuels infections et avoir un état général du système :
Suis le tutoriel FRST en cliquant sur ce lien bleu. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.
Trois rapports FRST seront générés :
Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).
Pour vérifier ton ordinateur, pour d'éventuels infections et avoir un état général du système :
Suis le tutoriel FRST en cliquant sur ce lien bleu. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.
Trois rapports FRST seront générés :
- FRST.txt
- Shortcut.
- Additionnal.txt
Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).
Pour moi il n'y a rien de malveillant.
A désinstaller eventuellement :
Dropbox (sauf si tu synchronises)
Java (tu as des jar dans ton dossier documents, donc tu en as peut-être besoin)
SUPERAntiSpyware (tu as déjà MBAM)
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
Enregistre le contenu par le menu fichier puis enregistrer.
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
2)
Répare les navigateurs WEB concernés par les problèmes :
3) si MSE fonctionne mal, désinstalle le puis réinstalle le.
Note qu'il existe une version gratuite de Kaspersky si tu veux remplacer MSE.
A désinstaller eventuellement :
Dropbox (sauf si tu synchronises)
Java (tu as des jar dans ton dossier documents, donc tu en as peut-être besoin)
SUPERAntiSpyware (tu as déjà MBAM)
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
Start
CloseProcesses:
CreateRestorePoint:
2015-01-25 17:12 - 2015-01-25 17:12 - 000001248 _____ () C:\Users\travail\AppData\Roaming\LZIJZFJK
2015-01-25 17:12 - 2015-01-25 17:12 - 000001248 _____ () C:\Users\travail\AppData\Roaming\PXRCKBWV
2015-01-25 17:12 - 2015-01-25 17:12 - 000001248 _____ () C:\Users\travail\AppData\Roaming\XSORN
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End
Enregistre le contenu par le menu fichier puis enregistrer.
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
2)
Répare les navigateurs WEB concernés par les problèmes :
- Réparer Google Chrome (seulement le premier paragraphe).
3) si MSE fonctionne mal, désinstalle le puis réinstalle le.
Note qu'il existe une version gratuite de Kaspersky si tu veux remplacer MSE.
- Installe Kaspersky Free
- Tutoriel qui explique comment utiliser Kaspersky Free : Tutoriel Kaspersky Free
D'accord merci beaucoup je vais suivre tes instructions.
J'ai remarqué que le lien pour le FRST est inexistant, j'ai fais une erreur c'est :
-FRST.text : https://pjjoint.malekal.com/files.php?id=FRST_20190309_i9u6m8c14r8
Voila, je trouve quand même étrange le fait qu'il n'y ai rien d'anormal car j'ai remarqué beaucoup de choses suspectes en mode normal.
J'ai fais l'analyse en mode sans échec prise en charge réseau, dis le moi si c'est un probleme et merci encore
J'ai remarqué que le lien pour le FRST est inexistant, j'ai fais une erreur c'est :
-FRST.text : https://pjjoint.malekal.com/files.php?id=FRST_20190309_i9u6m8c14r8
Voila, je trouve quand même étrange le fait qu'il n'y ai rien d'anormal car j'ai remarqué beaucoup de choses suspectes en mode normal.
J'ai fais l'analyse en mode sans échec prise en charge réseau, dis le moi si c'est un probleme et merci encore
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 09.03.2019 01
Exécuté par travail (09-03-2019 21:27:58) Run:1
Exécuté depuis C:\Users\travail\Desktop
Profils chargés: travail (Profils disponibles: travail)
Mode d'amorçage: Safe Mode (with Networking)
==============================================
fixlist contenu:
Start
CloseProcesses:
CreateRestorePoint:
2015-01-25 17:12 - 2015-01-25 17:12 - 000001248 _____ () C:\Users\travail\AppData\Roaming\LZIJZFJK
2015-01-25 17:12 - 2015-01-25 17:12 - 000001248 _____ () C:\Users\travail\AppData\Roaming\PXRCKBWV
2015-01-25 17:12 - 2015-01-25 17:12 - 000001248 _____ () C:\Users\travail\AppData\Roaming\XSORN
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End
Processus fermé avec succès.
Erreur: Un point de restauration ne peut être créé qu'en mode normal.
C:\Users\travail\AppData\Roaming\LZIJZFJK => déplacé(es) avec succès
C:\Users\travail\AppData\Roaming\PXRCKBWV => déplacé(es) avec succès
C:\Users\travail\AppData\Roaming\XSORN => déplacé(es) avec succès
HKLM\SOFTWARE\Policies\Google => supprimé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.
========= RemoveProxy: =========
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2785348898-768883345-1343544692-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2785348898-768883345-1343544692-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
========= Fin de RemoveProxy: =========
=========== EmptyTemp: ==========
BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 24933009 B
Java, Flash, Steam htmlcache => 506 B
Windows/system/drivers => 7560427 B
Edge => 0 B
Chrome => 466110608 B
Firefox => 5102478 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 66228 B
Public => 0 B
ProgramData => 0 B
systemprofile => 56325725 B
systemprofile32 => 73876 B
LocalService => 66228 B
NetworkService => 280591588 B
travail => 15737162131 B
RecycleBin => 0 B
EmptyTemp: => 15.4 GB données temporaires supprimées.
================================
Le système a dû redémarrer.
Exécuté par travail (09-03-2019 21:27:58) Run:1
Exécuté depuis C:\Users\travail\Desktop
Profils chargés: travail (Profils disponibles: travail)
Mode d'amorçage: Safe Mode (with Networking)
==============================================
fixlist contenu:
Start
CloseProcesses:
CreateRestorePoint:
2015-01-25 17:12 - 2015-01-25 17:12 - 000001248 _____ () C:\Users\travail\AppData\Roaming\LZIJZFJK
2015-01-25 17:12 - 2015-01-25 17:12 - 000001248 _____ () C:\Users\travail\AppData\Roaming\PXRCKBWV
2015-01-25 17:12 - 2015-01-25 17:12 - 000001248 _____ () C:\Users\travail\AppData\Roaming\XSORN
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End
Processus fermé avec succès.
Erreur: Un point de restauration ne peut être créé qu'en mode normal.
C:\Users\travail\AppData\Roaming\LZIJZFJK => déplacé(es) avec succès
C:\Users\travail\AppData\Roaming\PXRCKBWV => déplacé(es) avec succès
C:\Users\travail\AppData\Roaming\XSORN => déplacé(es) avec succès
HKLM\SOFTWARE\Policies\Google => supprimé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.
========= RemoveProxy: =========
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2785348898-768883345-1343544692-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2785348898-768883345-1343544692-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
========= Fin de RemoveProxy: =========
=========== EmptyTemp: ==========
BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 24933009 B
Java, Flash, Steam htmlcache => 506 B
Windows/system/drivers => 7560427 B
Edge => 0 B
Chrome => 466110608 B
Firefox => 5102478 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 66228 B
Public => 0 B
ProgramData => 0 B
systemprofile => 56325725 B
systemprofile32 => 73876 B
LocalService => 66228 B
NetworkService => 280591588 B
travail => 15737162131 B
RecycleBin => 0 B
EmptyTemp: => 15.4 GB données temporaires supprimées.
================================
Le système a dû redémarrer.
Fin de Fixlog 21:29:18
Bonjour
Mon problème n'est toujours pas résolu mais j'ai identifié la source du problème c'est le processus SAS.exe qui se lance automatiquement au démarrage cependant il est impossible d'arrêter le processus et cela m'empêche de supprimer le fichier.
Le fichier est dans C:/Programmes/SUPERAntiSpyware
Ce qui est illogique et rien n est ouvert. Quand j'essai de supprimer le dossier et que je valide, on essai de supprimer le dossier Programmes en entier.
De plus quand je vais dans l'invité de commande. C:/ . commande : dir
Le dossier Programmes n'apparait pas et c'est le seul tous les autres dossiers du disque apparaissent.
Merci d'avance de votre aide
Mon problème n'est toujours pas résolu mais j'ai identifié la source du problème c'est le processus SAS.exe qui se lance automatiquement au démarrage cependant il est impossible d'arrêter le processus et cela m'empêche de supprimer le fichier.
Le fichier est dans C:/Programmes/SUPERAntiSpyware
Ce qui est illogique et rien n est ouvert. Quand j'essai de supprimer le dossier et que je valide, on essai de supprimer le dossier Programmes en entier.
De plus quand je vais dans l'invité de commande. C:/ . commande : dir
Le dossier Programmes n'apparait pas et c'est le seul tous les autres dossiers du disque apparaissent.
Merci d'avance de votre aide
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Cela devrait le supprimer.
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
Enregistre le contenu par le menu fichier puis enregistrer.
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
Start
CloseProcesses:
CreateRestorePoint:
R2 !SASCORE; C:\Program Files\SUPERAntiSpyware\SASCORE64.EXE [173472 2018-05-09] (SUPERAntiSpyware.com -> SUPERAntiSpyware.com)
S1 SASDIFSV; C:\Program Files\SUPERAntiSpyware\SASDIFSV64.SYS [14928 2011-07-22] (Support.com, Inc. -> SUPERAdBlocker.com and SUPERAntiSpyware.com)
S1 SASKUTIL; C:\Program Files\SUPERAntiSpyware\SASKUTIL64.SYS [12368 2011-07-12] (Support.com, Inc. -> SUPERAdBlocker.com and SUPERAntiSpyware.com)
2019-02-17 11:15 - 2015-04-16 15:16 - 000000000 ____D C:\ProgramData\SUPERAntiSpyware.com
C:\ProgramData\SUPERAntiSpyware.com
C:\Program Files\SUPERAntiSpyware
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End
Enregistre le contenu par le menu fichier puis enregistrer.
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Merci beaucoup de tes réponses
J'ai essayé mais à chaque fois que j'appuie sur ctrl +y, le bloc notes s'ouvre et là le pirate m'affiche une fausse boite de dialogue "le logiciel a bien été mis à jour". Sur le bureau il y a un nouveau dossier nommé FRST Older Version dans lequel est l ancien logiciel. J'ai donc essayé d'ouvrir ce dossier pour relancer l application d'origine mais à chaque fois il "met à jour" créé un sous dossier avec le programme FRST d'origine.
J'ai quand meme enregistré le bloc note et corrigé. Mais rien n a été fait et lors du redémarrage le pc est encore plus lent lu bureau ne s est meme pas affiché en mode normal
J'ai essayé mais à chaque fois que j'appuie sur ctrl +y, le bloc notes s'ouvre et là le pirate m'affiche une fausse boite de dialogue "le logiciel a bien été mis à jour". Sur le bureau il y a un nouveau dossier nommé FRST Older Version dans lequel est l ancien logiciel. J'ai donc essayé d'ouvrir ce dossier pour relancer l application d'origine mais à chaque fois il "met à jour" créé un sous dossier avec le programme FRST d'origine.
J'ai quand meme enregistré le bloc note et corrigé. Mais rien n a été fait et lors du redémarrage le pc est encore plus lent lu bureau ne s est meme pas affiché en mode normal
-FRST.txt : https://pjjoint.malekal.com/files.php?id=20190309_i9u6m8c14r8
-Addition.txt : https://pjjoint.malekal.com/files.php?id=20190309_o10j10h5k6k13
-Shortcut.txt : https://pjjoint.malekal.com/files.php?id=20190309_n10s12q9g1113