Processus étrange qui se lance au démarrage

Fermé
elchapoo Messages postés 5 Date d'inscription mardi 30 novembre 2021 Statut Membre Dernière intervention 12 février 2022 - 30 nov. 2021 à 18:09
bazfile Messages postés 56684 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 22 décembre 2024 - 31 janv. 2023 à 08:55
Bonjour,
j'ai depuis quelques jours un processus qui se lance automatiquement au démarrage de mon PC.

➤ L'icone du programme est présente dans la zone de notification :


➥ Quand je clique dessus (clic gauche uniquement) voici ce qui se passe :


Enregistrement d'écran : https://gyazo.com/158fdf9a1fb00fc0feaaf85996ccf61d

La vraie application "Paramètres" se lance.

➥ Quand je clique dessus (clic droit uniquement) voici ce qui se passe :


Enregistrement d'écran : https://gyazo.com/0c6ca6508aa7c43acb7ae1ce1b3dc766

Un petit menu avec noté "Show", et lorsque je clique sur ce texte, exactement la même chose que précédemment.

➤ Voici à quoi ressemble l'onglet "Démarrage" du gestionnaire de tâche.



➤ Voici à quoi ressemble le dossier Shell:Startup



➤ Le chemin du fichier "Settings ltd" présent dans le gestionnaire des tâches est :
C:\Users\USERNAME\AppData\Roaming\Settings

➤ Le contenu de ce dossier est le suivant :



➤ Je l'ai uploadé sur Gofiles, le lien est : https://gofile.io/d/5tQXOv

➤ L'analyse Virustotal du fichier Settings.exe : https://www.virustotal.com/gui/file/cd2af4397c6f9e18b8bbd60a7c2cd8ecbc3e6e2b9f579c7f90853e1c6422f5a7

L'analyse Virustotal du fichier Uninstall.exe :
https://www.virustotal.com/gui/file/718a4503e8cc7ba6bf4484eb903b5a09cd00731e6d29b8ee3870f6837c6d46ff

L'analyse Virustotal du fichier aipackagechainer.exe (Chemin du fichier : C:\Users\USERNAME\AppData\Roaming\Settings\Settings\prerequisites)

https://www.virustotal.com/gui/file/db414330629c7753446d456d01ee63d28d1d2c376921f94e145b6d88f025d692

L'analyse Virustotal du fichier file_deleter.ps1 :
https://www.virustotal.com/gui/file/934aca3edb5497248e2da84c3296053acd2fd06342267a5640fb5e3b59552b38

➔ Mon problème n'est pas de désactiver le lancement du processus au démarrage de Windows, mais j'aimerais savoir de où vient ce programme, comment le désinstaller correctement et entièrement, et que fait t'il de malveillant sur mon ordinateur ?

Configuration: Windows / Chrome 96.0.4664.45

2 réponses

fabul Messages postés 39388 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 22 décembre 2024 5 445
Modifié le 30 nov. 2021 à 20:37
Salut,

C'est surement rien de bien bon, vires le temporairement, avec Autoruns sit tu peux.

Tu peux vérifier ton système avec UnHackMe le "First Scan" à l'installation trouvera peut être quelque chose.

Attention avant de supprimer, il peut s'agir de bons fichiers, qui sont nécessaires ne serait-ce qu'au démarrage ou au fonctionnement du PC.

Prends ton temps, regardes tous les détails, fais des recherches.

Analyses les fichiers inconnus avec VirusTotal Uploader > Envoyer Vers > VirusTotal

https://support.virustotal.com/hc/en-us/articles/115002179065-Desktop-Apps

Tu peux utiliser "Reanimator" par le bouton à côté de l’horloge, fermer la première fenêtre par le X en haut à droite, et aller dans l'onglet "Reanimator" > Anti Spyware Full Check pour en savoir plus sur ton système.

Note: UnHackme est une version d'évaluation de 30 jours

RegRun Reanimator est semblable et gratuit, fait un peu moins de choses.
0
elchapoo Messages postés 5 Date d'inscription mardi 30 novembre 2021 Statut Membre Dernière intervention 12 février 2022
30 nov. 2021 à 22:01
Merci.
Je viens de recevoir à l'instant même une notification sur Chrome, alors que j'ai réinitialisé tout les paramètres (avec ZHPCleaner), et par conséquent supprimé toute la liste de notifications :


J'ai aussi eu une alerte de sécurité du Pare-feu Windows Defender :


Est-ce que cela serait possible de voir vers quels domaines / adresses IP le programme tente de se connecter ?
Et aussi de voir à quels fichiers le programme accède et modifie ?
0
fabul Messages postés 39388 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 22 décembre 2024 5 445 > elchapoo Messages postés 5 Date d'inscription mardi 30 novembre 2021 Statut Membre Dernière intervention 12 février 2022
30 nov. 2021 à 22:07
Pourquoi tu perdrais ton temps pour ça ?

Supprimes le programme et les notifications avec UnHackMe ou Reanimator

Tu pourrais voir les adresses IP si tu avais un pare feu comme Comodo Free Firewall, mais le pare feu Windows, sais pas.
0
elchapoo Messages postés 5 Date d'inscription mardi 30 novembre 2021 Statut Membre Dernière intervention 12 février 2022 > fabul Messages postés 39388 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 22 décembre 2024
Modifié le 30 nov. 2021 à 22:21


Bon tout compte fait juste Glasswire a suffit pour voir les adresses IP.


Et on dirait bien que OpenDNS a bloqué une connexion.
0
fabul Messages postés 39388 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 22 décembre 2024 5 445 > elchapoo Messages postés 5 Date d'inscription mardi 30 novembre 2021 Statut Membre Dernière intervention 12 février 2022
30 nov. 2021 à 22:31
Google et Cisco OpenDNS
0
bazfile Messages postés 56684 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 22 décembre 2024 19 341
1 déc. 2021 à 11:16
Bonjour,
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :

Clique sur Analyser

Attention de bien attendre que les messages disant que l'analyse est terminée s'affichent


À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition, .

Ensuite envoie les rapports FRST et ADDITION sur CJOINT
voir CE TUTORIEL puis donne les deux liens générés par Cjoint dans ta réponse.

0
elchapoo Messages postés 5 Date d'inscription mardi 30 novembre 2021 Statut Membre Dernière intervention 12 février 2022
1 déc. 2021 à 12:51
Bonjour, voici les liens Cjoint :

FRST.txt => https://www.cjoint.com/c/KLblX5PHQFE
Addition.txt => https://www.cjoint.com/c/KLblY6JEvEE

Merci.
0
bazfile Messages postés 56684 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 22 décembre 2024 19 341 > elchapoo Messages postés 5 Date d'inscription mardi 30 novembre 2021 Statut Membre Dernière intervention 12 février 2022
Modifié le 1 déc. 2021 à 13:36
Tu as oublié de dire que ton pc a été fortement infecté il y a quelques jours, Windows Defender t'a d'ailleurs prévenu à plusieurs reprises exemple :
Date: 2021-11-28 20:55:15
Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Pour plus d’informations, reportez-vous aux éléments suivants :
https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win64/Glupteba!MTB&threatid=2147784707&enterprise=0
Nom : Trojan:Win64/Glupteba!MTB
ID : 2147784707
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : file:_C:\Users\jb\AppData\Local\Temp\csrss\injector\injector.exe
Origine de la détection : Ordinateur local



Tu as deux extensions suspectes dans Google Chrome si tu ne les connais pas supprime-les, il s'agit de :
Extension com.uberspot.a2048
Extension ARChon Custom Runtime 1.2 - x86_64

Pour supprimer le processus "settings" suspect ainsi que des processus obsolètes, fait ce qui suit :

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction ?
Policies: C:\ProgramData\NTUSER.pol: Restriction
HKLM\SOFTWARE\Policies\Google: Restriction
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction
HKU\S-1-5-21-2436656290-95857483-763142646-1001\...\Run: [Settings] => C:\Users\jb\AppData\Roaming\Settings\Settings.exe [12579286 2021-11-24] (SettingsSoftware) [Fichier non signé]
C:\Users\jb\AppData\Roaming\Settings\Settings.exe
S3 wuauserv; C:\WINDOWS\system32\svchost.exe [57360 2020-12-31] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)
S3 wuauserv; C:\WINDOWS\SysWOW64\svchost.exe [47016 2020-12-31] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)
HKU\S-1-5-21-2436656290-95857483-763142646-1001\Software\Classes\exefile: <==== ATTENTION
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [Lightshot] => C:\Program Files (x86)\Skillbrains\lightshot\Lightshot.exe (Pas de fichier)
HKU\S-1-5-21-2436656290-95857483-763142646-1001\...\Run: [livelywpf] => "C:\Program Files (x86)\Lively Wallpaper\livelywpf.exe" (Pas de fichier)
HKU\S-1-5-21-2436656290-95857483-763142646-1001\...\Run: [] => [X]
Task: {3E6DA7CB-3609-429C-A63B-D46B9D947CF6} - System32\Tasks\TaskbarX DESKTOP-1NSGKR8jb => C:\tweaks\TaskbarX_1.7.3.0_x64\TaskbarX.exe -tbs=3 -color=0;0;0;50 -tpop=100 -tsop=100 -as=quinteaseinout -obas=cubiceaseinout -tbr=0 -asp=150 -ptbo=0 -stbo=0 -lr=400 -oblr=400 -sr=0 -sr2=0 -sr3=0 -ftotc=1 -rzbt=1 (Pas de fichier)
Task: {AA2B79D6-E31E-49E3-B644-B7A09F9AF754} - System32\Tasks\Antivirus Emergency Update => C:\Program Files\AVG\Antivirus\AvEmUpdate.exe (Pas de fichier)
Task: {B1F1F2BA-566F-4459-8EAE-19C6C98839E4} - \AVG\Overseer -> Pas de fichier
Task: {FD96C2D0-679B-47E5-A8E7-448E4E047664} - System32\Tasks\ASC_SkipUac_jb => C:\Program Files (x86)\IObit\Advanced SystemCare\ASC.exe /SkipUac (Pas de fichier)
S3 AscFileFilter; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\win10_amd64\AscFileFilter.sys [X]
S3 AscRegistryFilter; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\win10_amd64\AscRegistryFilter.sys [X]
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.



Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne le lien généré par Cjoint dans ton prochain message.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT


POUR INFORMATION:

Ta version de Windows 10 n'est pas à jour, pour le vérifier va sur cette page clique sur Mettre à jour maintenant, cela lancera le téléchargement de l'outil de Microsoft, il suffira de l'ouvrir et il te permettra de mettre à jour Windows 10 vers la dernière version et te dira si elle est compatible avec ton pc, attention cette mise à jour dure un certain temps, ton pc Acer étant un pc portable branche-le au secteur, car ce serait dommage de tomber en panne de batterie avant que la mise à jour ne soit terminée.

.
0
thalaos Messages postés 1 Date d'inscription mardi 31 janvier 2023 Statut Membre Dernière intervention 31 janvier 2023 > bazfile Messages postés 56684 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 22 décembre 2024
31 janv. 2023 à 04:38
Start::
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction ? 
Policies: C:\ProgramData\NTUSER.pol: Restriction 
HKLM\SOFTWARE\Policies\Google: Restriction 
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction
HKU\S-1-5-21-2436656290-95857483-763142646-1001\...\Run: [Settings] => C:\Users\jb\AppData\Roaming\Settings\Settings.exe [12579286 2021-11-24] (SettingsSoftware) [Fichier non signé]
C:\Users\jb\AppData\Roaming\Settings\Settings.exe
S3 wuauserv; C:\WINDOWS\system32\svchost.exe [57360 2020-12-31] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)
S3 wuauserv; C:\WINDOWS\SysWOW64\svchost.exe [47016 2020-12-31] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)
HKU\S-1-5-21-2436656290-95857483-763142646-1001\Software\Classes\exefile:  <==== ATTENTION
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [Lightshot] => C:\Program Files (x86)\Skillbrains\lightshot\Lightshot.exe (Pas de fichier)
HKU\S-1-5-21-2436656290-95857483-763142646-1001\...\Run: [livelywpf] => "C:\Program Files (x86)\Lively Wallpaper\livelywpf.exe" (Pas de fichier)
HKU\S-1-5-21-2436656290-95857483-763142646-1001\...\Run: [] => [X]
Task: {3E6DA7CB-3609-429C-A63B-D46B9D947CF6} - System32\Tasks\TaskbarX DESKTOP-1NSGKR8jb => C:\tweaks\TaskbarX_1.7.3.0_x64\TaskbarX.exe -tbs=3 -color=0;0;0;50 -tpop=100 -tsop=100 -as=quinteaseinout -obas=cubiceaseinout -tbr=0 -asp=150 -ptbo=0 -stbo=0 -lr=400 -oblr=400 -sr=0 -sr2=0 -sr3=0 -ftotc=1 -rzbt=1 (Pas de fichier)
Task: {AA2B79D6-E31E-49E3-B644-B7A09F9AF754} - System32\Tasks\Antivirus Emergency Update => C:\Program Files\AVG\Antivirus\AvEmUpdate.exe (Pas de fichier)
Task: {B1F1F2BA-566F-4459-8EAE-19C6C98839E4} - \AVG\Overseer -> Pas de fichier 
Task: {FD96C2D0-679B-47E5-A8E7-448E4E047664} - System32\Tasks\ASC_SkipUac_jb => C:\Program Files (x86)\IObit\Advanced SystemCare\ASC.exe /SkipUac (Pas de fichier)
S3 AscFileFilter; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\win10_amd64\AscFileFilter.sys [X]
S3 AscRegistryFilter; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\win10_amd64\AscRegistryFilter.sys [X]
EmptyTemp:
End::
0
bazfile Messages postés 56684 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 22 décembre 2024 19 341 > thalaos Messages postés 1 Date d'inscription mardi 31 janvier 2023 Statut Membre Dernière intervention 31 janvier 2023
Modifié le 31 janv. 2023 à 08:56

Ce n'est pas ce qui a été demandé, en plus on ne répond pas à un script de désinfection 14 mois plus tard, si tu as un problème créé un nouveau post et pose ta question. 

Je ferme ce post.

1