Processus étrange qui se lance au démarrage
Fermé
elchapoo
Messages postés
5
Date d'inscription
Statut
Membre
Dernière intervention
-
bazfile Messages postés 58606 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
bazfile Messages postés 58606 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
j'ai depuis quelques jours un processus qui se lance automatiquement au démarrage de mon PC.
➤ L'icone du programme est présente dans la zone de notification :
➥ Quand je clique dessus (clic gauche uniquement) voici ce qui se passe :
Enregistrement d'écran : https://gyazo.com/158fdf9a1fb00fc0feaaf85996ccf61d
La vraie application "Paramètres" se lance.
➥ Quand je clique dessus (clic droit uniquement) voici ce qui se passe :
Enregistrement d'écran : https://gyazo.com/0c6ca6508aa7c43acb7ae1ce1b3dc766
Un petit menu avec noté "Show", et lorsque je clique sur ce texte, exactement la même chose que précédemment.
➤ Voici à quoi ressemble l'onglet "Démarrage" du gestionnaire de tâche.
➤ Voici à quoi ressemble le dossier Shell:Startup
➤ Le chemin du fichier "Settings ltd" présent dans le gestionnaire des tâches est :
C:\Users\USERNAME\AppData\Roaming\Settings
➤ Le contenu de ce dossier est le suivant :
➤ Je l'ai uploadé sur Gofiles, le lien est : https://gofile.io/d/5tQXOv
➤ L'analyse Virustotal du fichier Settings.exe : https://www.virustotal.com/gui/file/cd2af4397c6f9e18b8bbd60a7c2cd8ecbc3e6e2b9f579c7f90853e1c6422f5a7
L'analyse Virustotal du fichier Uninstall.exe :
https://www.virustotal.com/gui/file/718a4503e8cc7ba6bf4484eb903b5a09cd00731e6d29b8ee3870f6837c6d46ff
L'analyse Virustotal du fichier aipackagechainer.exe (Chemin du fichier : C:\Users\USERNAME\AppData\Roaming\Settings\Settings\prerequisites)
https://www.virustotal.com/gui/file/db414330629c7753446d456d01ee63d28d1d2c376921f94e145b6d88f025d692
L'analyse Virustotal du fichier file_deleter.ps1 :
https://www.virustotal.com/gui/file/934aca3edb5497248e2da84c3296053acd2fd06342267a5640fb5e3b59552b38
➔ Mon problème n'est pas de désactiver le lancement du processus au démarrage de Windows, mais j'aimerais savoir de où vient ce programme, comment le désinstaller correctement et entièrement, et que fait t'il de malveillant sur mon ordinateur ?
j'ai depuis quelques jours un processus qui se lance automatiquement au démarrage de mon PC.
➤ L'icone du programme est présente dans la zone de notification :
➥ Quand je clique dessus (clic gauche uniquement) voici ce qui se passe :
Enregistrement d'écran : https://gyazo.com/158fdf9a1fb00fc0feaaf85996ccf61d
La vraie application "Paramètres" se lance.
➥ Quand je clique dessus (clic droit uniquement) voici ce qui se passe :
Enregistrement d'écran : https://gyazo.com/0c6ca6508aa7c43acb7ae1ce1b3dc766
Un petit menu avec noté "Show", et lorsque je clique sur ce texte, exactement la même chose que précédemment.
➤ Voici à quoi ressemble l'onglet "Démarrage" du gestionnaire de tâche.
➤ Voici à quoi ressemble le dossier Shell:Startup
➤ Le chemin du fichier "Settings ltd" présent dans le gestionnaire des tâches est :
C:\Users\USERNAME\AppData\Roaming\Settings
➤ Le contenu de ce dossier est le suivant :
➤ Je l'ai uploadé sur Gofiles, le lien est : https://gofile.io/d/5tQXOv
➤ L'analyse Virustotal du fichier Settings.exe : https://www.virustotal.com/gui/file/cd2af4397c6f9e18b8bbd60a7c2cd8ecbc3e6e2b9f579c7f90853e1c6422f5a7
L'analyse Virustotal du fichier Uninstall.exe :
https://www.virustotal.com/gui/file/718a4503e8cc7ba6bf4484eb903b5a09cd00731e6d29b8ee3870f6837c6d46ff
L'analyse Virustotal du fichier aipackagechainer.exe (Chemin du fichier : C:\Users\USERNAME\AppData\Roaming\Settings\Settings\prerequisites)
https://www.virustotal.com/gui/file/db414330629c7753446d456d01ee63d28d1d2c376921f94e145b6d88f025d692
L'analyse Virustotal du fichier file_deleter.ps1 :
https://www.virustotal.com/gui/file/934aca3edb5497248e2da84c3296053acd2fd06342267a5640fb5e3b59552b38
➔ Mon problème n'est pas de désactiver le lancement du processus au démarrage de Windows, mais j'aimerais savoir de où vient ce programme, comment le désinstaller correctement et entièrement, et que fait t'il de malveillant sur mon ordinateur ?
Configuration: Windows / Chrome 96.0.4664.45
A voir également:
- Livelywpf.exe
- Qu'est ce qui se lance au démarrage de l'ordinateur - Guide
- Ordinateur lent au démarrage - Guide
- Reinitialiser pc au demarrage - Guide
- Windows ne se lance pas - Guide
- Forcer demarrage pc - Guide
2 réponses
Salut,
C'est surement rien de bien bon, vires le temporairement, avec Autoruns sit tu peux.
Tu peux vérifier ton système avec UnHackMe le "First Scan" à l'installation trouvera peut être quelque chose.
Attention avant de supprimer, il peut s'agir de bons fichiers, qui sont nécessaires ne serait-ce qu'au démarrage ou au fonctionnement du PC.
Prends ton temps, regardes tous les détails, fais des recherches.
Analyses les fichiers inconnus avec VirusTotal Uploader > Envoyer Vers > VirusTotal
https://support.virustotal.com/hc/en-us/articles/115002179065-Desktop-Apps
Tu peux utiliser "Reanimator" par le bouton à côté de l’horloge, fermer la première fenêtre par le X en haut à droite, et aller dans l'onglet "Reanimator" > Anti Spyware Full Check pour en savoir plus sur ton système.
Note: UnHackme est une version d'évaluation de 30 jours
RegRun Reanimator est semblable et gratuit, fait un peu moins de choses.
C'est surement rien de bien bon, vires le temporairement, avec Autoruns sit tu peux.
Tu peux vérifier ton système avec UnHackMe le "First Scan" à l'installation trouvera peut être quelque chose.
Attention avant de supprimer, il peut s'agir de bons fichiers, qui sont nécessaires ne serait-ce qu'au démarrage ou au fonctionnement du PC.
Prends ton temps, regardes tous les détails, fais des recherches.
Analyses les fichiers inconnus avec VirusTotal Uploader > Envoyer Vers > VirusTotal
https://support.virustotal.com/hc/en-us/articles/115002179065-Desktop-Apps
Tu peux utiliser "Reanimator" par le bouton à côté de l’horloge, fermer la première fenêtre par le X en haut à droite, et aller dans l'onglet "Reanimator" > Anti Spyware Full Check pour en savoir plus sur ton système.
Note: UnHackme est une version d'évaluation de 30 jours
RegRun Reanimator est semblable et gratuit, fait un peu moins de choses.
Bonjour,
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :
Clique sur Analyser
À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition, .
Ensuite envoie les rapports FRST et ADDITION sur CJOINT voir CE TUTORIEL puis donne les deux liens générés par Cjoint dans ta réponse.
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :
Clique sur Analyser
Attention de bien attendre que les messages disant que l'analyse est terminée s'affichent
À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition, .
Ensuite envoie les rapports FRST et ADDITION sur CJOINT voir CE TUTORIEL puis donne les deux liens générés par Cjoint dans ta réponse.
Bonjour, voici les liens Cjoint :
FRST.txt => https://www.cjoint.com/c/KLblX5PHQFE
Addition.txt => https://www.cjoint.com/c/KLblY6JEvEE
Merci.
FRST.txt => https://www.cjoint.com/c/KLblX5PHQFE
Addition.txt => https://www.cjoint.com/c/KLblY6JEvEE
Merci.
Tu as oublié de dire que ton pc a été fortement infecté il y a quelques jours, Windows Defender t'a d'ailleurs prévenu à plusieurs reprises exemple :
Tu as deux extensions suspectes dans Google Chrome si tu ne les connais pas supprime-les, il s'agit de :
Extension com.uberspot.a2048
Extension ARChon Custom Runtime 1.2 - x86_64
Pour supprimer le processus "settings" suspect ainsi que des processus obsolètes, fait ce qui suit :
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne le lien généré par Cjoint dans ton prochain message.
.
Date: 2021-11-28 20:55:15
Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Pour plus d’informations, reportez-vous aux éléments suivants :
https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win64/Glupteba!MTB&threatid=2147784707&enterprise=0
Nom : Trojan:Win64/Glupteba!MTB
ID : 2147784707
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : file:_C:\Users\jb\AppData\Local\Temp\csrss\injector\injector.exe
Origine de la détection : Ordinateur local
Tu as deux extensions suspectes dans Google Chrome si tu ne les connais pas supprime-les, il s'agit de :
Extension com.uberspot.a2048
Extension ARChon Custom Runtime 1.2 - x86_64
Pour supprimer le processus "settings" suspect ainsi que des processus obsolètes, fait ce qui suit :
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction ?
Policies: C:\ProgramData\NTUSER.pol: Restriction
HKLM\SOFTWARE\Policies\Google: Restriction
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction
HKU\S-1-5-21-2436656290-95857483-763142646-1001\...\Run: [Settings] => C:\Users\jb\AppData\Roaming\Settings\Settings.exe [12579286 2021-11-24] (SettingsSoftware) [Fichier non signé]
C:\Users\jb\AppData\Roaming\Settings\Settings.exe
S3 wuauserv; C:\WINDOWS\system32\svchost.exe [57360 2020-12-31] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)
S3 wuauserv; C:\WINDOWS\SysWOW64\svchost.exe [47016 2020-12-31] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)
HKU\S-1-5-21-2436656290-95857483-763142646-1001\Software\Classes\exefile: <==== ATTENTION
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [Lightshot] => C:\Program Files (x86)\Skillbrains\lightshot\Lightshot.exe (Pas de fichier)
HKU\S-1-5-21-2436656290-95857483-763142646-1001\...\Run: [livelywpf] => "C:\Program Files (x86)\Lively Wallpaper\livelywpf.exe" (Pas de fichier)
HKU\S-1-5-21-2436656290-95857483-763142646-1001\...\Run: [] => [X]
Task: {3E6DA7CB-3609-429C-A63B-D46B9D947CF6} - System32\Tasks\TaskbarX DESKTOP-1NSGKR8jb => C:\tweaks\TaskbarX_1.7.3.0_x64\TaskbarX.exe -tbs=3 -color=0;0;0;50 -tpop=100 -tsop=100 -as=quinteaseinout -obas=cubiceaseinout -tbr=0 -asp=150 -ptbo=0 -stbo=0 -lr=400 -oblr=400 -sr=0 -sr2=0 -sr3=0 -ftotc=1 -rzbt=1 (Pas de fichier)
Task: {AA2B79D6-E31E-49E3-B644-B7A09F9AF754} - System32\Tasks\Antivirus Emergency Update => C:\Program Files\AVG\Antivirus\AvEmUpdate.exe (Pas de fichier)
Task: {B1F1F2BA-566F-4459-8EAE-19C6C98839E4} - \AVG\Overseer -> Pas de fichier
Task: {FD96C2D0-679B-47E5-A8E7-448E4E047664} - System32\Tasks\ASC_SkipUac_jb => C:\Program Files (x86)\IObit\Advanced SystemCare\ASC.exe /SkipUac (Pas de fichier)
S3 AscFileFilter; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\win10_amd64\AscFileFilter.sys [X]
S3 AscRegistryFilter; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\win10_amd64\AscRegistryFilter.sys [X]
EmptyTemp:
End::
3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne le lien généré par Cjoint dans ton prochain message.
5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT
POUR INFORMATION:
Ta version de Windows 10 n'est pas à jour, pour le vérifier va sur cette page clique sur Mettre à jour maintenant, cela lancera le téléchargement de l'outil de Microsoft, il suffira de l'ouvrir et il te permettra de mettre à jour Windows 10 vers la dernière version et te dira si elle est compatible avec ton pc, attention cette mise à jour dure un certain temps, ton pc Acer étant un pc portable branche-le au secteur, car ce serait dommage de tomber en panne de batterie avant que la mise à jour ne soit terminée..
Start::
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction ?
Policies: C:\ProgramData\NTUSER.pol: Restriction
HKLM\SOFTWARE\Policies\Google: Restriction
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction
HKU\S-1-5-21-2436656290-95857483-763142646-1001\...\Run: [Settings] => C:\Users\jb\AppData\Roaming\Settings\Settings.exe [12579286 2021-11-24] (SettingsSoftware) [Fichier non signé]
C:\Users\jb\AppData\Roaming\Settings\Settings.exe
S3 wuauserv; C:\WINDOWS\system32\svchost.exe [57360 2020-12-31] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)
S3 wuauserv; C:\WINDOWS\SysWOW64\svchost.exe [47016 2020-12-31] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)
HKU\S-1-5-21-2436656290-95857483-763142646-1001\Software\Classes\exefile: <==== ATTENTION
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [Lightshot] => C:\Program Files (x86)\Skillbrains\lightshot\Lightshot.exe (Pas de fichier)
HKU\S-1-5-21-2436656290-95857483-763142646-1001\...\Run: [livelywpf] => "C:\Program Files (x86)\Lively Wallpaper\livelywpf.exe" (Pas de fichier)
HKU\S-1-5-21-2436656290-95857483-763142646-1001\...\Run: [] => [X]
Task: {3E6DA7CB-3609-429C-A63B-D46B9D947CF6} - System32\Tasks\TaskbarX DESKTOP-1NSGKR8jb => C:\tweaks\TaskbarX_1.7.3.0_x64\TaskbarX.exe -tbs=3 -color=0;0;0;50 -tpop=100 -tsop=100 -as=quinteaseinout -obas=cubiceaseinout -tbr=0 -asp=150 -ptbo=0 -stbo=0 -lr=400 -oblr=400 -sr=0 -sr2=0 -sr3=0 -ftotc=1 -rzbt=1 (Pas de fichier)
Task: {AA2B79D6-E31E-49E3-B644-B7A09F9AF754} - System32\Tasks\Antivirus Emergency Update => C:\Program Files\AVG\Antivirus\AvEmUpdate.exe (Pas de fichier)
Task: {B1F1F2BA-566F-4459-8EAE-19C6C98839E4} - \AVG\Overseer -> Pas de fichier
Task: {FD96C2D0-679B-47E5-A8E7-448E4E047664} - System32\Tasks\ASC_SkipUac_jb => C:\Program Files (x86)\IObit\Advanced SystemCare\ASC.exe /SkipUac (Pas de fichier)
S3 AscFileFilter; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\win10_amd64\AscFileFilter.sys [X]
S3 AscRegistryFilter; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\win10_amd64\AscRegistryFilter.sys [X]
EmptyTemp:
End::
Je viens de recevoir à l'instant même une notification sur Chrome, alors que j'ai réinitialisé tout les paramètres (avec ZHPCleaner), et par conséquent supprimé toute la liste de notifications :
J'ai aussi eu une alerte de sécurité du Pare-feu Windows Defender :
Est-ce que cela serait possible de voir vers quels domaines / adresses IP le programme tente de se connecter ?
Et aussi de voir à quels fichiers le programme accède et modifie ?
Supprimes le programme et les notifications avec UnHackMe ou Reanimator
Tu pourrais voir les adresses IP si tu avais un pare feu comme Comodo Free Firewall, mais le pare feu Windows, sais pas.
Bon tout compte fait juste Glasswire a suffit pour voir les adresses IP.
Et on dirait bien que OpenDNS a bloqué une connexion.