Sujet Précédent Sujet Suivant

Infection PC

Fermé
Nerbrain Messages postés 7 Date d'inscription samedi 9 mars 2019 Statut Membre Dernière intervention 13 mars 2019 - 9 mars 2019 à 00:41
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 14 mars 2019 à 08:50
Bonjour,

Mon pc est infecté par un virus ou un trojan. Je ne sais pas comment c'est arrivé, je n'ai fait aucun téléchargement récemment.
J'étais sur mon navigateur, je consultait une ou deux pages banales quand mon ordinateur s'est mis à ramer, et ralentir très fortement.
Ayant lancé mon antivirus (Microsoft Security Essentials) je constate que celui ci n'a pas la dernière version de la base de données virales et que la protection en temps réel est désactivée alors qu'elle est habituellement activée. En cliquant tout passe au vert puis je lance une analyse mais elle s'effectue assez rapidement et n'analyse pas les fichiers systèmes. Pareil, avec Malwarebytes.
Quand je fais une analyse personnalisée en sélectionnant les fichiers systèmes dans C:\Windows l'analyse ne se lance pas.
Je redémarre mon ordinateur, même problème. Je cherche alors à ouvrir chrome le chargement des pages est très lent, et quand je commence à chercher des choses en rapport avec la sécurité, le Pc rame encore plus. Je ferme, je cherche à rouvrir Chrome ce qui n'est plus possible. Mon antivirus est encore une fois désactivé, la base virale n'est plus à jour.

Par la suite, j'ai éteins quelques temps mon pc et je suis passé par le mode sans échec sans prise en charge réseau pour faire des analyses rien n'a été trouvé.
J'ai alors téléchargé Rogue Killer et fais l analyse, 25 potentielles menaces ont été trouvé, je les ai mis en quarantaine puis supprimer.

Les menaces étaient situées dans :
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy

Et sur le disque dur dans :

C:\............\privatejre__9971__wx6__xx__sp0__1\bin\java.exe

Au redémarrage en mode normal je rencontre les mêmes problèmes le gestionnaire de tâches se lance très lentement, internet est presque inaccessible et les logiciels antivirus paraissent tourner dans le vide.

Deux processus étranges par rapport au mode sans échec : atiedxx.exe et hkcmd.exe ou taskhost.exe

Rien d'étrange dans les éléments lancés au démarrage.


Merci d'avance de votre aide et d'avoir lu.
A voir également:

5 réponses

Réponse 1 / 5
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 663
9 mars 2019 à 00:46
Salut,

Pour vérifier ton ordinateur, pour d'éventuels infections et avoir un état général du système :

Suis le tutoriel FRST en cliquant sur ce lien bleu. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
  • FRST.txt
  • Shortcut.
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).



1
Nerbrain Messages postés 7 Date d'inscription samedi 9 mars 2019 Statut Membre Dernière intervention 13 mars 2019
9 mars 2019 à 19:35
Merci pour ta réponse. Voici les liens des trois rapports :

-FRST.txt : https://pjjoint.malekal.com/files.php?id=20190309_i9u6m8c14r8

-Addition.txt : https://pjjoint.malekal.com/files.php?id=20190309_o10j10h5k6k13

-Shortcut.txt : https://pjjoint.malekal.com/files.php?id=20190309_n10s12q9g1113
0
Réponse 2 / 5
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 663
9 mars 2019 à 19:49
Pour moi il n'y a rien de malveillant.
A désinstaller eventuellement :
Dropbox (sauf si tu synchronises)
Java (tu as des jar dans ton dossier documents, donc tu en as peut-être besoin)
SUPERAntiSpyware (tu as déjà MBAM)



Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci. 


Start
CloseProcesses:
CreateRestorePoint:
2015-01-25 17:12 - 2015-01-25 17:12 - 000001248 _____ () C:\Users\travail\AppData\Roaming\LZIJZFJK
2015-01-25 17:12 - 2015-01-25 17:12 - 000001248 _____ () C:\Users\travail\AppData\Roaming\PXRCKBWV
2015-01-25 17:12 - 2015-01-25 17:12 - 000001248 _____ () C:\Users\travail\AppData\Roaming\XSORN
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION 
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End


Enregistre le contenu par le menu fichier puis enregistrer.

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur

2)
Répare les navigateurs WEB concernés par les problèmes :

3) si MSE fonctionne mal, désinstalle le puis réinstalle le.
Note qu'il existe une version gratuite de Kaspersky si tu veux remplacer MSE.
1
Nerbrain Messages postés 7 Date d'inscription samedi 9 mars 2019 Statut Membre Dernière intervention 13 mars 2019
9 mars 2019 à 20:28
D'accord merci beaucoup je vais suivre tes instructions.

J'ai remarqué que le lien pour le FRST est inexistant, j'ai fais une erreur c'est :

-FRST.text : https://pjjoint.malekal.com/files.php?id=FRST_20190309_i9u6m8c14r8

Voila, je trouve quand même étrange le fait qu'il n'y ai rien d'anormal car j'ai remarqué beaucoup de choses suspectes en mode normal.

J'ai fais l'analyse en mode sans échec prise en charge réseau, dis le moi si c'est un probleme et merci encore
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 663 > Nerbrain Messages postés 7 Date d'inscription samedi 9 mars 2019 Statut Membre Dernière intervention 13 mars 2019
9 mars 2019 à 20:43
oui j'avais trouvé le rapport.
Merci quand même.

Donc pour moi, pas un problème de virus.
0
Réponse 3 / 5
Nerbrain Messages postés 7 Date d'inscription samedi 9 mars 2019 Statut Membre Dernière intervention 13 mars 2019
9 mars 2019 à 21:36
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 09.03.2019 01
Exécuté par travail (09-03-2019 21:27:58) Run:1
Exécuté depuis C:\Users\travail\Desktop
Profils chargés: travail (Profils disponibles: travail)
Mode d'amorçage: Safe Mode (with Networking)
==============================================

fixlist contenu:

Start
CloseProcesses:
CreateRestorePoint:
2015-01-25 17:12 - 2015-01-25 17:12 - 000001248 _____ () C:\Users\travail\AppData\Roaming\LZIJZFJK
2015-01-25 17:12 - 2015-01-25 17:12 - 000001248 _____ () C:\Users\travail\AppData\Roaming\PXRCKBWV
2015-01-25 17:12 - 2015-01-25 17:12 - 000001248 _____ () C:\Users\travail\AppData\Roaming\XSORN
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End


Processus fermé avec succès.
Erreur: Un point de restauration ne peut être créé qu'en mode normal.
C:\Users\travail\AppData\Roaming\LZIJZFJK => déplacé(es) avec succès
C:\Users\travail\AppData\Roaming\PXRCKBWV => déplacé(es) avec succès
C:\Users\travail\AppData\Roaming\XSORN => déplacé(es) avec succès
HKLM\SOFTWARE\Policies\Google => supprimé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2785348898-768883345-1343544692-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2785348898-768883345-1343544692-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 24933009 B
Java, Flash, Steam htmlcache => 506 B
Windows/system/drivers => 7560427 B
Edge => 0 B
Chrome => 466110608 B
Firefox => 5102478 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 66228 B
Public => 0 B
ProgramData => 0 B
systemprofile => 56325725 B
systemprofile32 => 73876 B
LocalService => 66228 B
NetworkService => 280591588 B
travail => 15737162131 B

RecycleBin => 0 B
EmptyTemp: => 15.4 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

Fin de Fixlog 21:29:18

0
Réponse 4 / 5
Nerbrain Messages postés 7 Date d'inscription samedi 9 mars 2019 Statut Membre Dernière intervention 13 mars 2019
13 mars 2019 à 13:08
Bonjour

Mon problème n'est toujours pas résolu mais j'ai identifié la source du problème c'est le processus SAS.exe qui se lance automatiquement au démarrage cependant il est impossible d'arrêter le processus et cela m'empêche de supprimer le fichier.

Le fichier est dans C:/Programmes/SUPERAntiSpyware

Ce qui est illogique et rien n est ouvert. Quand j'essai de supprimer le dossier et que je valide, on essai de supprimer le dossier Programmes en entier.

De plus quand je vais dans l'invité de commande. C:/ . commande : dir

Le dossier Programmes n'apparait pas et c'est le seul tous les autres dossiers du disque apparaissent.

Merci d'avance de votre aide
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 663
13 mars 2019 à 13:17
Je t'avais dit de désinstaller Superantispyware.
0
Nerbrain Messages postés 7 Date d'inscription samedi 9 mars 2019 Statut Membre Dernière intervention 13 mars 2019
Modifié le 13 mars 2019 à 22:03
C'est fait mais rien ne change l'ordinateur est toujours infecté le dossier "Programmes" n'apparait pas sur l'invité de commande alors qu il est sur le disque
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 5
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 663
13 mars 2019 à 23:02
Cela devrait le supprimer.


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci. 


Start
CloseProcesses:
CreateRestorePoint:
 R2 !SASCORE; C:\Program Files\SUPERAntiSpyware\SASCORE64.EXE [173472 2018-05-09] (SUPERAntiSpyware.com -> SUPERAntiSpyware.com)
S1 SASDIFSV; C:\Program Files\SUPERAntiSpyware\SASDIFSV64.SYS [14928 2011-07-22] (Support.com, Inc. -> SUPERAdBlocker.com and SUPERAntiSpyware.com)
S1 SASKUTIL; C:\Program Files\SUPERAntiSpyware\SASKUTIL64.SYS [12368 2011-07-12] (Support.com, Inc. -> SUPERAdBlocker.com and SUPERAntiSpyware.com)
2019-02-17 11:15 - 2015-04-16 15:16 - 000000000 ____D C:\ProgramData\SUPERAntiSpyware.com 
C:\ProgramData\SUPERAntiSpyware.com 
 C:\Program Files\SUPERAntiSpyware
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End


Enregistre le contenu par le menu fichier puis enregistrer.

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur

0
Nerbrain Messages postés 7 Date d'inscription samedi 9 mars 2019 Statut Membre Dernière intervention 13 mars 2019
13 mars 2019 à 23:36
Merci beaucoup de tes réponses

J'ai essayé mais à chaque fois que j'appuie sur ctrl +y, le bloc notes s'ouvre et là le pirate m'affiche une fausse boite de dialogue "le logiciel a bien été mis à jour". Sur le bureau il y a un nouveau dossier nommé FRST Older Version dans lequel est l ancien logiciel. J'ai donc essayé d'ouvrir ce dossier pour relancer l application d'origine mais à chaque fois il "met à jour" créé un sous dossier avec le programme FRST d'origine.
J'ai quand meme enregistré le bloc note et corrigé. Mais rien n a été fait et lors du redémarrage le pc est encore plus lent lu bureau ne s est meme pas affiché en mode normal
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 663 > Nerbrain Messages postés 7 Date d'inscription samedi 9 mars 2019 Statut Membre Dernière intervention 13 mars 2019
14 mars 2019 à 08:50
essaye comme cela :

Place le programme FRST sur le bureau
ouvre le bloc-note
colle le script donné plus haut
enregistre le fichier sur le bureau sous le nom de fixlist.txt
Relance FRST puis Corriger.
0