Microsoft Collection infectée Fermé

Question

Bonjour,

Depuis peu de temps, un dessin animé me demandant de cliquer (ben voyons…) remplace les fenêtres Klondike/FreeCell de "Solitaire Collection" de W10.

Rien de suspect avec "Tous les paramètres/Applications" dans la liste des logiciels installés.
J'ai réinitialisé Solitaire dans cette liste : sans résultat.
J'ai désinstallé Solitaire et je l'ai réinstallé depuis "Microsoft Store" : sans résultat.
AdwCleaner, RogueKiller, MalwareBytes et Defender ne voient rien, donc aucun nom à proposer.

Je travaille toujours en compte local. Un petit film : http://pastroptops.free.fr/z_Denis.mp4

Le malware ne se manifeste pas quand je suis en "Mode Avion".

Quelqu'un connait-il un remède. Merci.

Note pour les modérateurs : un message précédent a été déplacé de la rubrique Virus à celle de Windows 10 ce qui m'a valu de n'avoir aucune réponse. Ce message ne s'adresse pas aux spécialistes de W10, mais aux chasseurs de virus/malwares. Donc merci de ne pas le déplacer.

Malekal_morte- · Answer

Salut,

Je vois pas trop ce qui est anormal, c'est une pub qui s'affiche depuis l'application.

Claudeks · Answer

Inexact.
Cela fait des années que je joue, cela n'existait pas. Sur d'autres ordinateurs non plus actuellement. A ne pas confondre avec les 2 pubs de microsoft qui n'occupent qu'une partie de la fenêtre et qui n'empêchent pas de jouer.
D'après une victime sur un forum, les invitations à cliquer aboutissent à un ransomware. Je ne testerai pas…

Malekal_morte- · Answer

Pour vérifier ton ordinateur, pour d'éventuels infections et avoir un état général du système :

Suis le tutoriel FRST en cliquant sur ce lien bleu. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :

 FRST.txt
 Shortcut.
 Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).

Claudeks · Answer

Merci de cette réponse. Je vais appliquer la méthode et je tiendrai la discussion à jour.

Claudeks · Answer

Merci de ton aide. Voici les 3 liens :

https://pjjoint.malekal.com/files.php?id=FRST_20200708_g1210g7w9y10
https://pjjoint.malekal.com/files.php?id=20200708_p14t12m6x9h8
https://pjjoint.malekal.com/files.php?id=20200708_p14t12m6x9h8

Malekal_morte- · Answer

J'ai essayé ton jeu et effectivement, je n'ai pas ces pubs.
Après sur les rapports, rien d'anormal... en plus tu as passé tout plein de logiciels de désinfection.

A part ces programmes qui ne sont pas très communs (mais ils ont l'air sains)... je vois pas ce qui pourrait afficher ces pubs :
(BonSoft) [Fichier non signé] C:\Program Files\ClocX\ClocX.exe
(Esumsoft -> Esumsoft) C:\Program Files (x86)\POP Peeper\POPPeeper.exe 

Essaye de jouer en coupant ces programmes.
Tu les fermes ou les arrêtes avec le gestionnaire de tâches.

Claudeks · Answer

J'ai installé ces 2 programmes il y a des années. Il n'y a aucune raison de les soupçonner.

Je dispose de 2 ordinateurs avec exactement la même organisation :
- le modèle de bureau, récent, me sert à tout, y compris à jouer au Solitaire.
- le modèle portable, 8 ans, ne me sert plus que 3 ou 4 fois par mois pour chercher quelque chose sur internet (genre Amazon) tout en regardant mon téléviseur, et dans ce cas je fais généralement une partie de Solitaire.
Quand j'ai vu le problème sur l'ordinateur principal, je suis allé voir le portable : il était aussi infecté alors que je ne m'en étais pas servi depuis plusieurs semaines.
Je n'ai fait aucune navette de clé USB entre les 2 PC. Ce qu'ils ont en commun, c'est Chrome dont la synchronisation était activée, et W10 bien que suis en compte local sur les deux.
Comme je l'ai indiqué, tout va bien quand je suis en "mode avion", c'est à dire isolé de l'extérieur.

Voila ce que je peux dire. Si d'autres idées surgissent…

Claudeks · Answer

Il n'y a personne autour de moi non plus.

J'aurais tendance à penser que j'ai un profil Microsoft sur un de ses serveurs. C'est lui qui serait contaminé. Cela expliquerait qu'on ne trouve rien dans mon PC et qu'il faut internet actif, mais cela dépasse mes connaissances.

J'avais trouvé des forums où des gens décrivaient le même problème. Malheureusement, les réponses croyaient toujours qu'il s'agissait des 2 petites pubs statiques à droite de la fenêtre Solitaire. Il leur aurait fallu voir mon petit film. Ce n'est pas systématique. Disons 1 fois sur 3.

On peut voir sur le film comment le neutraliser : clic droit sur le bouton dans la barre de lancement rapide, et clic sur "Solitaire Collection". Le rétablissement est instantané. Mais je préférerais quelque chose de propre.

Merci pour ton intérêt.

Panth33ra · Answer

As-tu essayé cette méthode : https://www.malekal.com/reinitialiser-les-applications-windows-10/ ?

Claudeks · Answer

Avec Windows powerShell (adm), j'ai collé :
PowerShell -ExecutionPolicy Unrestricted -Command "& {$manifest = (Get-AppxPackage *MicrosoftSolitaireCollection*).InstallLocation + '\AppxManifest.xml' ; Add-AppxPackage -DisableDevelopmentMode -Register $manifest}"

La réponse est :
= : Le terme «=» n'est pas reconnu comme nom d'applet de commande, fonction, fichier de script ou programme
exécutable. Vérifiez l'orthographe du nom, ou si un chemin d'accès existe, vérifiez que le chemin d'accès est correct
et réessayez.
Au caractère Ligne:1 : 5
+ & { = (Get-AppxPackage *MicrosoftSolitaireCollection*).InstallLocatio ...
+     ~
    + CategoryInfo          : ObjectNotFound: (=:String) [], CommandNotFoundException
    + FullyQualifiedErrorId : CommandNotFoundException

Je ne suis pas du tout à l'aise à ce niveau...