nouveau virus faux chkdsk Fermé

Question

Bonjour, voilà, il y'a un ou deux jours, je visitait un site internet, et celui ci, je me rappel très bien, il m'a télécharger un fichier, sans mon autorisation, et ce fichier il c'est lancé automatiquement, sans que je n'ai eu le temps de le stoppé. (Windows defender qui d'habitude me stoppe les fichiers contenant des virus. n'en a rien fait).

Ainsi par la suite, j'avais dans l'urgence effectuer un redémarrage de mon pc.
Et depuis ce temps là.
Tadaaaaaaa; il m'a annoncé que windows a besoin d’effectuer un Chkdsk.
je l'avais laissé passé une première fois, mais j'ai trouvé bizarre, que mon disque dur, détenait des fautes etc... il m'a supprimer pleins d'attribut de fichier (qu'il m'a trouvé etc..)
Et lors d'un nouveau re-démarrage ce matin, il continue, il souhaite continuer avec mes autres partition. (j'ai bien sur annuler).
En raison, que j'ai bien vue la supercherie, "adresse internet figurant dans l'annonce Chkdsk (aucune relation avec Microsoft)".
compte à rebours identique de 10 seconde, pour annuler avec la touche espace.  

j'ai vite rechercher sur les forums.
un m'a indiquer de télécharger crystaldiskinfo. ce que j'ai fait. et là, lui me trouve des erreurs (une centaine) et cela augmente. Bizarre, puisque les disque dur ne sont pas vieux. (moi je pense que ici ce faux chkdsk, et encore en activité.

malekal sur le forum, j'avais lu, avec un problème identique, de télécharger OTL.
ce que j'ai fait.

étant déjà à la base un technicien de maintenance en informatique, et détenant des ordi, depuis 1987.
donc, moi je suis encore une personne, qui sait travailler avec les commande DOS.
et bien sûr aussi, j'élimine les virus par la force de travail manuel. puisque certain antivirus, eux ont besoin une quantité d'heure pour analysé le disque dur en entier.

Alors en premier lieu, moi le vieux de la vielle, je vous insère uniquement les données de OTL se rapportant au dernier jours soit daté entre le 16 et 18 août 2019.
alors bien sûr j'ai remplacer mes données de mon noms d'utilisateur par des lettres XXXX

mais en avant premier, je vous liste une fois ce qui c'est installer dans le répertoire Temp.
f17B3371ECB57593E5D303170E7A7ECB9.R (type .R) taille de 8 octet.
puis j'ai un fichier ".SES" daté aussi du 19 août, si je clique sur sa propriété, il m'affiche juste le répertoire temp taille de 1Ko.
et j'ai un répertoire vide créer le 19 août 041C2125-C726-4859-B2E9-3ED16ADDE934

maintenant je passe à mon gestionnaire de tâche: listé dans OTL.

PRC - File not found -- 
PRC - [2019/08/20 05:46:21 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\xxx\Desktop\OTL.exe 
comme ici ont peut bien le voir, je l'ai bien télécharger ce matin. donc pas de blem.

Bizzare!
PRC - [2018/04/12 01:34:50 | 000,032,768 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWOW64\NETSTAT.EXE
PRC - [2018/04/12 01:34:50 | 000,029,696 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWOW64\findstr.exe
PRC - [2018/04/12 01:34:49 | 000,232,960 | ---- | M] (Microsoft Corporation) -- C:\Windows\SysWOW64\cmd.exe

et si je regarde dans les processus de mon gestionaire de tâche SysWow64 = 3x les cmd.exe qui sont listé être actif. (aucune fenêtre Dos ouverte)
et là actuellement j'ai un 6ème Conhost.exe qui s'est activé. (soit lui = system32)
qui tout ses deux dernier son aussi reliée à system32 

je trouve aussi un OpenWith.exe
et un WmiPrvSE.exe


et oui bien sûr, windows 10 ce n'est que depuis quelques mois que je l'utilise.
donc je ne le connait pas encore point de vue, sur les fichiers qui sont censé être actif, ou non.
SRV:[b]64bit:[/b] - [2019/08/09 09:38:35 | 000,773,120 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\SysNative
etlogon.dll -- (Netlogon)
SRV:[b]64bit:[/b] - [2019/08/09 09:38:35 | 000,085,472 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\SysNative\svchost.exe -- (WpnUserService_625dd)
SRV:[b]64bit:[/b] - [2019/08/09 09:38:35 | 000,085,472 | ---- | M] (Microsoft Corporation) [On_Demand | Running] -- C:\Windows\SysNative\svchost.exe -- (UserDataSvc_625dd)
SRV:[b]64bit:[/b] - [2019/08/09 09:38:35 | 000,085,472 | ---- | M] (Microsoft Corporation) [On_Demand | Running] -- C:\Windows\SysNative\svchost.exe -- (UnistoreSvc_625dd)

SRV:[b]64bit:[/b] - [2019/08/09 09:38:35 | 000,085,472 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\SysNative\svchost.exe -- (PrintWorkflowUserSvc_625dd)
SRV:[b]64bit:[/b] - [2019/08/09 09:38:35 | 000,085,472 | ---- | M] (Microsoft Corporation) [On_Demand | Running] -- C:\Windows\SysNative\svchost.exe -- (PimIndexMaintenanceSvc_625d

SRV:[b]64bit:[/b] - [2019/08/09 09:38:35 | 000,085,472 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\SysNative\svchost.exe -- (OneSyncSvc_625dd)
SRV:[b]64bit:[/b] - [2019/08/09 09:38:35 | 000,085,472 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\SysNative\svchost.exe -- (MessagingService_625dd)
SRV:[b]64bit:[/b] - [2019/08/09 09:38:35 | 000,085,472 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\SysNative\svchost.exe -- (DevicesFlowUserSvc_625dd)
SRV:[b]64bit:[/b] - [2019/08/09 09:38:35 | 000,085,472 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\SysNative\svchost.exe -- (DevicePickerUserSvc_625dd)
SRV:[b]64bit:[/b] - [2019/08/09 09:38:35 | 000,085,472 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\SysNative\svchost.exe -- (CDPUserSvc_625dd)
SRV:[b]64bit:[/b] - [2019/08/09 09:38:35 | 000,085,472 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\SysNative\svchost.exe -- (BluetoothUserService_625dd)
SRV:[b]64bit:[/b] - [2019/08/09 09:38:35 | 000,085,472 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\SysNative\svchost.exe -- (BcastDVRUserService_625dd)


ahhaha là à présent, si je regarde mon disque systeme C: (caché)
répertoire $Recycle.Bin (accès interdit)
répertoire raccourcie vers Documents and Settings (interdit)
répertoire found.000 (interdit)
répertoire Recovery (interdit)
répertoire System Volume Information (interdit)

et pourtant je suis loggé en Admin.
windows 10 actuellement.
Configuration: Windows / Chrome 76.0.3809.100

Malekal_morte- · Answer

Salut,

OTL est dépassé.
Ensuite ce n'est pas possible qu'un fichier se télécharge et se lance automatiquement (enfin comme tu le décris).
En clair c'est une coïncidence ou une interprétation de ta part.

un m'a indiquer de télécharger crystaldiskinfo. ce que j'ai fait. et là, lui me trouve des erreurs (une centaine) et cela augmente. Bizarre, puisque les disque dur ne sont pas vieux. (moi je pense que ici ce faux chkdsk, et encore en activité.  

En clair ton disque dur a un problème matériel.
Windows détecte cela et propose de corriger avec chkdsk.
Et ça boucle.

Il n'y a pas grand chose à faire à part laisser aller jusqu'au bout.
Il est aussi possible à terme qu'il faille changer le disque, surtout si tu as des lenteurs ou plantages.

Il faudrait effectuer un checkdisk (chkdsk) complet.

Dans la barre de recherche, tape invite de commandes puis clic droit et exécuter en tant qu'administrateur.
Menu "Démarrer", dans la barre blanche de "Rechercher"
ou utilise le champs de recherche de Windows 10.
Saisir "cmd", clique-droit sur cmd.exe puis "Exécuter en tant qu'Administrateur"
Dans la fenêtre invite de commandes qui s'ouvre saisir chkdsk C: /F /R
Tape sur la touche entrée, il va te demander si tu veut le faire au redémarrage, tape o (oui), tape sur entrée et redémarre, au redémarrage un écran bleu va s'afficher avec "étape 1 sur 5"..., c'est normal ! Et il va rester ainsi d'étape en étape durant 1h ou 2h. C'est long mais nécessaire pour effectuer toutes les vérifications.

mich265 · Answer

bonjour!
désolé, mais ce n'est pas à Windows de prendre la main, en souhaitant faire des Chkdsk lorsque lui le souhaite. Et je te pari, si j'installe un systeme linux, lui ne me créera pas tant d'embêtement.
et mon disque dur, a toujours bien fonctionné sans problème.

je me rappel dans le temps, un Chkdsk, était fait en 3 mouvements du temps de Win98- et même xp, soit moins de 5 minutes, actuellement vous énumérer 1-2 heures.
oui,oui ici ont parle bien d'un disque dur d'une taille de 1 To.

Et ici là, ce que je n'ai pas encore énumérer, oui, j'ai réinstaller Windows 7 sur un autre DD.
et même lui même ne me demande pas de vouloir faire un scan disque chkdsk.
Alors pas d'erreur sur le disque dur.

mais uniquement si je démarre sur ce système de windows 10.
alors moi je reste d'avis, que c'est bien un virus, parce-que comme je l'ai déjà énumérer, il dispose d'une adresse web, qui est inscrite, lors d'un prochain redémarrage de mon win10, j’essaierais de me la noté, mais 10 secondes de temps, c'est extrêmement cours pour noté sur du papier.
Le réel ou l'ancien utilitaire CHKDSK, lui comme c'est une commande Dos de microsoft, il ne dispose pas d'adresse Web.
mis à part, que je réussisse à modifier le timing de lancement de 10 à 30 secondes.
donc je vais voir, de pouvoir modifier le timing comme celui du lancement de windows qui d'origine se modifie, qui à l'origine est réglé à 30 seconde.
et pour annulé, le message spécifie bien, d'appuyer sur n'importe quel touche n'es ce pas?!
faux, uniquement ici avec la touche espace.


[quote]Ensuite ce n'est pas possible qu'un fichier se télécharge et se lance automatiquement (enfin comme tu le décris). 
En clair c'est une coïncidence ou une interprétation de ta part.[/quote]

pas possible vous dite?
c'est bien ce qui c'est produit, même pas référencé dans les téléchargements
et je me rappel bien, j'avais juste cliquer avec le bouton droit pour vouloir connaitre son emplacement, et toc il c'est lancé. 

Soit alors vous même, vous n'avez pas encore surfer sur les site de téléchargement clubic-sourceforge et autre, vous êtes surement au courant que certains site, utilise des spammer et autre juste pour être payer à travers la pub.

et dans mes cours de maintenance informatique, le prof, nous avaient bien transmit l'information, que a travers des virus, certains peuvent supprimer tout les fichiers d'un DD.

Nouveau virus faux chkdsk

2 réponses

Discussions similaires