Processus étrange qui se lance au démarrage
Fermé
elchapoo
Messages postés
5
Date d'inscription
mardi 30 novembre 2021
Statut
Membre
Dernière intervention
12 février 2022
-
30 nov. 2021 à 18:09
bazfile Messages postés 56684 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 22 décembre 2024 - 31 janv. 2023 à 08:55
bazfile Messages postés 56684 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 22 décembre 2024 - 31 janv. 2023 à 08:55
A voir également:
- Livelywpf
- Qu'est ce qui se lance au démarrage de l'ordinateur - Guide
- Pc lent au démarrage - Guide
- Reinitialiser pc au demarrage - Guide
- Windows ne se lance pas - Guide
- Forcer demarrage pc - Guide
2 réponses
fabul
Messages postés
39388
Date d'inscription
dimanche 18 janvier 2009
Statut
Modérateur
Dernière intervention
22 décembre 2024
5 445
Modifié le 30 nov. 2021 à 20:37
Modifié le 30 nov. 2021 à 20:37
Salut,
C'est surement rien de bien bon, vires le temporairement, avec Autoruns sit tu peux.
Tu peux vérifier ton système avec UnHackMe le "First Scan" à l'installation trouvera peut être quelque chose.
Attention avant de supprimer, il peut s'agir de bons fichiers, qui sont nécessaires ne serait-ce qu'au démarrage ou au fonctionnement du PC.
Prends ton temps, regardes tous les détails, fais des recherches.
Analyses les fichiers inconnus avec VirusTotal Uploader > Envoyer Vers > VirusTotal
https://support.virustotal.com/hc/en-us/articles/115002179065-Desktop-Apps
Tu peux utiliser "Reanimator" par le bouton à côté de l’horloge, fermer la première fenêtre par le X en haut à droite, et aller dans l'onglet "Reanimator" > Anti Spyware Full Check pour en savoir plus sur ton système.
Note: UnHackme est une version d'évaluation de 30 jours
RegRun Reanimator est semblable et gratuit, fait un peu moins de choses.
C'est surement rien de bien bon, vires le temporairement, avec Autoruns sit tu peux.
Tu peux vérifier ton système avec UnHackMe le "First Scan" à l'installation trouvera peut être quelque chose.
Attention avant de supprimer, il peut s'agir de bons fichiers, qui sont nécessaires ne serait-ce qu'au démarrage ou au fonctionnement du PC.
Prends ton temps, regardes tous les détails, fais des recherches.
Analyses les fichiers inconnus avec VirusTotal Uploader > Envoyer Vers > VirusTotal
https://support.virustotal.com/hc/en-us/articles/115002179065-Desktop-Apps
Tu peux utiliser "Reanimator" par le bouton à côté de l’horloge, fermer la première fenêtre par le X en haut à droite, et aller dans l'onglet "Reanimator" > Anti Spyware Full Check pour en savoir plus sur ton système.
Note: UnHackme est une version d'évaluation de 30 jours
RegRun Reanimator est semblable et gratuit, fait un peu moins de choses.
bazfile
Messages postés
56684
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
22 décembre 2024
19 341
1 déc. 2021 à 11:16
1 déc. 2021 à 11:16
Bonjour,
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :
Clique sur Analyser
À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition, .
Ensuite envoie les rapports FRST et ADDITION sur CJOINT voir CE TUTORIEL puis donne les deux liens générés par Cjoint dans ta réponse.
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :
Clique sur Analyser
Attention de bien attendre que les messages disant que l'analyse est terminée s'affichent
À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition, .
Ensuite envoie les rapports FRST et ADDITION sur CJOINT voir CE TUTORIEL puis donne les deux liens générés par Cjoint dans ta réponse.
elchapoo
Messages postés
5
Date d'inscription
mardi 30 novembre 2021
Statut
Membre
Dernière intervention
12 février 2022
1 déc. 2021 à 12:51
1 déc. 2021 à 12:51
Bonjour, voici les liens Cjoint :
FRST.txt => https://www.cjoint.com/c/KLblX5PHQFE
Addition.txt => https://www.cjoint.com/c/KLblY6JEvEE
Merci.
FRST.txt => https://www.cjoint.com/c/KLblX5PHQFE
Addition.txt => https://www.cjoint.com/c/KLblY6JEvEE
Merci.
bazfile
Messages postés
56684
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
22 décembre 2024
19 341
>
elchapoo
Messages postés
5
Date d'inscription
mardi 30 novembre 2021
Statut
Membre
Dernière intervention
12 février 2022
Modifié le 1 déc. 2021 à 13:36
Modifié le 1 déc. 2021 à 13:36
Tu as oublié de dire que ton pc a été fortement infecté il y a quelques jours, Windows Defender t'a d'ailleurs prévenu à plusieurs reprises exemple :
Tu as deux extensions suspectes dans Google Chrome si tu ne les connais pas supprime-les, il s'agit de :
Extension com.uberspot.a2048
Extension ARChon Custom Runtime 1.2 - x86_64
Pour supprimer le processus "settings" suspect ainsi que des processus obsolètes, fait ce qui suit :
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne le lien généré par Cjoint dans ton prochain message.
.
Date: 2021-11-28 20:55:15
Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Pour plus d’informations, reportez-vous aux éléments suivants :
https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win64/Glupteba!MTB&threatid=2147784707&enterprise=0
Nom : Trojan:Win64/Glupteba!MTB
ID : 2147784707
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : file:_C:\Users\jb\AppData\Local\Temp\csrss\injector\injector.exe
Origine de la détection : Ordinateur local
Tu as deux extensions suspectes dans Google Chrome si tu ne les connais pas supprime-les, il s'agit de :
Extension com.uberspot.a2048
Extension ARChon Custom Runtime 1.2 - x86_64
Pour supprimer le processus "settings" suspect ainsi que des processus obsolètes, fait ce qui suit :
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction ?
Policies: C:\ProgramData\NTUSER.pol: Restriction
HKLM\SOFTWARE\Policies\Google: Restriction
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction
HKU\S-1-5-21-2436656290-95857483-763142646-1001\...\Run: [Settings] => C:\Users\jb\AppData\Roaming\Settings\Settings.exe [12579286 2021-11-24] (SettingsSoftware) [Fichier non signé]
C:\Users\jb\AppData\Roaming\Settings\Settings.exe
S3 wuauserv; C:\WINDOWS\system32\svchost.exe [57360 2020-12-31] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)
S3 wuauserv; C:\WINDOWS\SysWOW64\svchost.exe [47016 2020-12-31] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)
HKU\S-1-5-21-2436656290-95857483-763142646-1001\Software\Classes\exefile: <==== ATTENTION
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [Lightshot] => C:\Program Files (x86)\Skillbrains\lightshot\Lightshot.exe (Pas de fichier)
HKU\S-1-5-21-2436656290-95857483-763142646-1001\...\Run: [livelywpf] => "C:\Program Files (x86)\Lively Wallpaper\livelywpf.exe" (Pas de fichier)
HKU\S-1-5-21-2436656290-95857483-763142646-1001\...\Run: [] => [X]
Task: {3E6DA7CB-3609-429C-A63B-D46B9D947CF6} - System32\Tasks\TaskbarX DESKTOP-1NSGKR8jb => C:\tweaks\TaskbarX_1.7.3.0_x64\TaskbarX.exe -tbs=3 -color=0;0;0;50 -tpop=100 -tsop=100 -as=quinteaseinout -obas=cubiceaseinout -tbr=0 -asp=150 -ptbo=0 -stbo=0 -lr=400 -oblr=400 -sr=0 -sr2=0 -sr3=0 -ftotc=1 -rzbt=1 (Pas de fichier)
Task: {AA2B79D6-E31E-49E3-B644-B7A09F9AF754} - System32\Tasks\Antivirus Emergency Update => C:\Program Files\AVG\Antivirus\AvEmUpdate.exe (Pas de fichier)
Task: {B1F1F2BA-566F-4459-8EAE-19C6C98839E4} - \AVG\Overseer -> Pas de fichier
Task: {FD96C2D0-679B-47E5-A8E7-448E4E047664} - System32\Tasks\ASC_SkipUac_jb => C:\Program Files (x86)\IObit\Advanced SystemCare\ASC.exe /SkipUac (Pas de fichier)
S3 AscFileFilter; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\win10_amd64\AscFileFilter.sys [X]
S3 AscRegistryFilter; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\win10_amd64\AscRegistryFilter.sys [X]
EmptyTemp:
End::
3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne le lien généré par Cjoint dans ton prochain message.
5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT
POUR INFORMATION:
Ta version de Windows 10 n'est pas à jour, pour le vérifier va sur cette page clique sur Mettre à jour maintenant, cela lancera le téléchargement de l'outil de Microsoft, il suffira de l'ouvrir et il te permettra de mettre à jour Windows 10 vers la dernière version et te dira si elle est compatible avec ton pc, attention cette mise à jour dure un certain temps, ton pc Acer étant un pc portable branche-le au secteur, car ce serait dommage de tomber en panne de batterie avant que la mise à jour ne soit terminée..
thalaos
Messages postés
1
Date d'inscription
mardi 31 janvier 2023
Statut
Membre
Dernière intervention
31 janvier 2023
>
bazfile
Messages postés
56684
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
22 décembre 2024
31 janv. 2023 à 04:38
31 janv. 2023 à 04:38
Start:: CreateRestorePoint: CloseProcesses: GroupPolicy: Restriction ? Policies: C:\ProgramData\NTUSER.pol: Restriction HKLM\SOFTWARE\Policies\Google: Restriction HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction HKU\S-1-5-21-2436656290-95857483-763142646-1001\...\Run: [Settings] => C:\Users\jb\AppData\Roaming\Settings\Settings.exe [12579286 2021-11-24] (SettingsSoftware) [Fichier non signé] C:\Users\jb\AppData\Roaming\Settings\Settings.exe S3 wuauserv; C:\WINDOWS\system32\svchost.exe [57360 2020-12-31] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL) S3 wuauserv; C:\WINDOWS\SysWOW64\svchost.exe [47016 2020-12-31] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL) HKU\S-1-5-21-2436656290-95857483-763142646-1001\Software\Classes\exefile: <==== ATTENTION HKLM\...\Run: [] => [X] HKLM-x32\...\Run: [Lightshot] => C:\Program Files (x86)\Skillbrains\lightshot\Lightshot.exe (Pas de fichier) HKU\S-1-5-21-2436656290-95857483-763142646-1001\...\Run: [livelywpf] => "C:\Program Files (x86)\Lively Wallpaper\livelywpf.exe" (Pas de fichier) HKU\S-1-5-21-2436656290-95857483-763142646-1001\...\Run: [] => [X] Task: {3E6DA7CB-3609-429C-A63B-D46B9D947CF6} - System32\Tasks\TaskbarX DESKTOP-1NSGKR8jb => C:\tweaks\TaskbarX_1.7.3.0_x64\TaskbarX.exe -tbs=3 -color=0;0;0;50 -tpop=100 -tsop=100 -as=quinteaseinout -obas=cubiceaseinout -tbr=0 -asp=150 -ptbo=0 -stbo=0 -lr=400 -oblr=400 -sr=0 -sr2=0 -sr3=0 -ftotc=1 -rzbt=1 (Pas de fichier) Task: {AA2B79D6-E31E-49E3-B644-B7A09F9AF754} - System32\Tasks\Antivirus Emergency Update => C:\Program Files\AVG\Antivirus\AvEmUpdate.exe (Pas de fichier) Task: {B1F1F2BA-566F-4459-8EAE-19C6C98839E4} - \AVG\Overseer -> Pas de fichier Task: {FD96C2D0-679B-47E5-A8E7-448E4E047664} - System32\Tasks\ASC_SkipUac_jb => C:\Program Files (x86)\IObit\Advanced SystemCare\ASC.exe /SkipUac (Pas de fichier) S3 AscFileFilter; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\win10_amd64\AscFileFilter.sys [X] S3 AscRegistryFilter; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\win10_amd64\AscRegistryFilter.sys [X] EmptyTemp: End::
bazfile
Messages postés
56684
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
22 décembre 2024
19 341
>
thalaos
Messages postés
1
Date d'inscription
mardi 31 janvier 2023
Statut
Membre
Dernière intervention
31 janvier 2023
Modifié le 31 janv. 2023 à 08:56
Modifié le 31 janv. 2023 à 08:56
Ce n'est pas ce qui a été demandé, en plus on ne répond pas à un script de désinfection 14 mois plus tard, si tu as un problème créé un nouveau post et pose ta question.
Je ferme ce post.
30 nov. 2021 à 22:01
Je viens de recevoir à l'instant même une notification sur Chrome, alors que j'ai réinitialisé tout les paramètres (avec ZHPCleaner), et par conséquent supprimé toute la liste de notifications :
J'ai aussi eu une alerte de sécurité du Pare-feu Windows Defender :
Est-ce que cela serait possible de voir vers quels domaines / adresses IP le programme tente de se connecter ?
Et aussi de voir à quels fichiers le programme accède et modifie ?
30 nov. 2021 à 22:07
Supprimes le programme et les notifications avec UnHackMe ou Reanimator
Tu pourrais voir les adresses IP si tu avais un pare feu comme Comodo Free Firewall, mais le pare feu Windows, sais pas.
Modifié le 30 nov. 2021 à 22:21
Bon tout compte fait juste Glasswire a suffit pour voir les adresses IP.
Et on dirait bien que OpenDNS a bloqué une connexion.
30 nov. 2021 à 22:31