Virus possible ? Résolu

Question

Bonjour, 

J'ai récemment téléchargé Nox, mais ne m'ayant pas servi je l'ai désinstallé. Hier je découvre que j'ai RAV antivirus d'installé sur mon pc alors que je n'ai jamais téléchargé cette appli. Je décide donc de lancer la désinstallation du programme et les potentiels problèmes arrivent...

Durant la désinstallation je vois qu'il y a powershell qui pop dans mon gestionnaire des tâches, mon windows defender est devenu étrange ( il me dit qu'il a détecté des menaces et qu'il faut intervenir or il n'y a aucune menace quand je clique dessus...) et enfin j'ai 80 svchost.exe qui tournent sur mon pc avec comme nom d'utilisateur "mpol59" (c'est mon username), "système" et "SERVICE LOCAL". De plus j'ai des hote de service : "Service pour utilistateur de plateforme d'appareiuls connectées_9f89d" ,
service de chiffrement que je n'avait jamais vu aupravant.

J'ai fait un FRST, une analyse spybot et je fais actuellement une analyse complète avec Windows Defender.
Je peux vous donner ces fichiers si vous en avez besoin.

Je ne sais si j'ai réelement un virus sur monc pc mais je m'inquiète car je ne souhaite pas contaminer tout le réseau domestique...

Merci de bien vouloir m'aider.
Cordialement

MisteryBean · Answer

Salut,

J'ai fait un FRST, une analyse spybot  

Désinstalles Spybot , il sert à rien

Puisque tu as fait une analyse FRST :

Sont attendus les rapports FRST.txt et Addition.txt

Tous les rapports doivent être hébergés sur https://security-x.fr/up/ et tu indiques les liens obtenus dans ta réponse

mpol59 · Answer

Bonsoir, Merci de votre réponse.

Voila le lien du fichier FRST.txt : 
https://up.security-x.fr/file.php?h=R33dbbe5e46a744c46bf02b9707a231b7
et celui du addition.txt :
 https://up.security-x.fr/file.php?h=Rd64cdffdf6ff03da4764e0264bddc3e7

J'ai bien désinstallé spybot comme vous me l'avez dit.

MisteryBean · Answer

RE_

A faire dans l'ordre

Désinstalles ou mets à jour :

=> Java 8 Update 251 (64-bit)
=> Java 8 Update 251
=> Java SE Development Kit 8 Update 191 (64-bit)
=> Java(TM) SE Development Kit 11.0.1 (64-bit)
=> Java(TM) SE Development Kit 14 (64-bit)
=> Mozilla Firefox 85.0 (x64 fr)
=> Mozilla Maintenance Service 

Desinstalles :

=> Web Bar 5.6.6830.25570
=> WebAdvisor par McAfee

-----------------------
---------------------------------------------------
 
--> Copie ce qui se trouve ici : https://textup.fr/600942j2 de start:: à end:: (sans le coller nulle part)

--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger
Si FRST semble se bloquer ou ne répond pas , laisse tourner

--> Un fichier fixlog est créé au même endroit que FRST , postes le sur  https://security-x.fr/up/ et tu indiques le lien obtenu dans ta réponse  

--> Dis moi si tu as encore des problèmes .

mpol59 · Answer

Salut je fais ce que tu as dis juste après, 
Entre temps j'ai remarqué ceci : 

https://up.security-x.fr/file.php?h=Re2459dab0ab02cd72744ba10373c2e44
et 
https://up.security-x.fr/file.php?h=R152568c38b4090fa405368fb08cfe1cd

C'est possiblement une connexion à distance d'un hacker sur mon pc qui fait tourner du code malveillant ou impossible ?

MisteryBean · Answer

RE_

Fais ce que j'ai indiqué puis regardes si tu as toujours ces processus , mais dans les rapports , il n'y a rien de malveillant à part Web bar .

Vu que tu as pas mal de logiciels , ça doit venir de l'un d'eux

mpol59 · Answer

Bonjour,

J'ai cette erreur lorsque je souhaite désinstaller Web Bar 5.6.6830.25570
https://up.security-x.fr/file.php?h=Rd257aea0b9ee8f14d0b309698fc176db

J'ai supprimé tout les java/ mozilla/ Webadvisor McAfee, et je n'ai pas encore fait le textup. Cela pose t-il un problème qu'il  y ait cette erreur  et puis-je procéder a la correction avec FRST ?

MisteryBean · Answer

RE_

Dans ta capture , cliques sur OUI et passes à la suite , l'entrée sera supprimée

mpol59 · Answer

Très bien je fais ça dès que le programme de desinstallation de WebAdvisor sera terminé mais cela fait plusieurs minutes qu'il tourne mais c'est bizarre qu'il mette autant de temps pour supprimer 57Mo

mpol59 · Answer

Ok ca fait 20 minutes que le programme de désinstallation tourne sauf qu'il ne se passe rien a part une fenetre WebAdvisor avec "Desoe de vous voir partir. Nous desinstallons votre logiciel..." avec une boucle.
Je pense qu'il tourne dans le vent car 0.1 Mo/s dans le gestionnaire des taches.
Que suis je sensé faire ?

MisteryBean · Answer

Redémarres le PC et fais la suite

mpol59 · Answer

Et voila le fichier généré après la correction !
https://up.security-x.fr/file.php?h=R0d798e57472a9c0531326b246164eb2b

Il y a toujours les hotes de services et ce problème dans le windows defender ( quand je cliques sur intervenir il ne se passe rien)
https://up.security-x.fr/file.php?h=R9dc155eb67625ddfd1fcf3be47dbcf28

Je pense faire une réparation de windows ou une réinstallation ou quelque chose de ce genre la qu'en pensez vous ?

MisteryBean · Answer

Il y a toujours les hotes de services et ce problème dans le windows defender ( quand je cliques sur intervenir il ne se passe rien)  

Pour les hôtes de service , comme dit auparavant, ça doit venir d'un de tes programmes , tu peux essayer de tout désactiver sauf Windows defender dans l'onglet démarrage du gestionnaire des tâches.
Vois ensuite si c'est mieux après redémarrage

Pour Windows Defender , vois dans historique des détections pour voir ce qu'il a détecté

-----------
---------------------- 
 
Je pense faire une réparation de windows ou une réinstallation ou quelque chose de ce genre la qu'en pensez vous ? 

Je ne pense pas que ça change grand chose , mais tu peux faire cette méthode pour garder données et applications:

/!\ toujours penser à sauvegarder ses données importantes avant toutes manipulations du système , bien que les données doivent être sauvegardées de façon permanente et régulière


--> Télécharge l'ISO Windows 10 correspondant à ton PC

--> Une fois téléchargé , double clic pour le monter dans le lecteur virtuel (ou clic droit => Ouvrir avec => Explorateur Windows)

--> Clic droit et exécuter en tant qu'administrateur sur setup.exe

--> Clic sur Suivant

--> Clic sur Accepter

--> Vérifier que Conserver les fichiers et les applications soit coché

--> Clic sur Installer


Windows 10 va se réinstaller sur lui même en conservant les données et les programmes .

mpol59 · Answer

Bonsoir, 

J'ai redémarré mon pc avec le strict minimum en application au démarrage ( sauf windows defender) mais il y a toujours les mêmes hôtes de service.

Pour windows defender j'ai juste un message qui me dit qu'il faut que je configure onedrive et un autre avec une application ( MediaGet_id2848212ids1s.exe) dans mon fichier téléchargement qui serait indésirable or quand je vais dans mon fichier de téléchargement et que je cherche MediaGet il n'y a aucune trace de ce fichier et que je ne l'ai jamais lancé. De plus je ne peux pas le supprimer avec Windows Defender car quand j'appuies sur le bouton rien ne se passe.

Je pense que je vais attendre avant de tenter de réinstaller Windows si vous dites que cela n'est pas utile. 

Je pense également que je vais arrêter de me focaliser sur les hôtes de services bien que cela me dérange qu'il y en ait autant avec des intitulés qui ressemblent à des choses malveillantes mais si vous dites qu'il n'y a plus de menaces sur mon pc cela doit être vrai.

Je vous remercie d'avoir pris du temps pour répondre à mes problèmes et à m'apporter des solutions. 

Je reposterai un message d'aide si je vois que la situation empire et que d'autres problèmes apparaissent.
Je vais également installer un antivirus que je vais acheter afin d'être mieux protégé des virus.

Merci encore pour votre aide.

MisteryBean · Answer

RE_

Refait une analyse et poste les nouveaux rapports .

Pour Onedrive , si tu ne t'en sers pas , cliques sur ignorer.

Pour la détection , ce fichier à dû être supprimer , on verra après pour supprimer l'historique de Windows Defender

mpol59 · Answer

Bonjour;

Voici le fichier FRST.txt : 
https://up.security-x.fr/file.php?h=R8195231ab70b449c0ced7d3b70b89709
et le fichier Addition.txt : 
https://up.security-x.fr/file.php?h=R80d683923dea895f047f11359b7ee2e9

J'ai laissé les 6 choses cochés dans Liste blanche pour faire l'analyse.

MisteryBean · Answer

RE_

Le PC est propre .

Pour  les services , vois ICI , en descendant dans la page , tu verras certains services de ta capture , ils sont donc légitimes.

Pour les hôtes de service , ils sont également légitimes. Si tu as un doute , fais une recherche sur chacun (clic droit dessus et recherche en ligne)

--------------------
----------------------------------

Pour Windows Defender , soit tu laisses comme ça , et ça devrait se régler seul , soit tu vides l'historique 

--------------------
----------------------------------

Je pense que je vais attendre avant de tenter de réinstaller Windows si vous dites que cela n'est pas utile. 

C'est une réparation, ça peut être utile si Windows plante ou fonctionne mal .

--------------------
----------------------------------

Pour moi , c'est OK :

Essaie de désinstaller WebAdvisor par McAfee . Je pense qu'il est désinstallé et qu'il ne reste que l'entrée, tu dois pouvoir la supprimer

mpol59 · Answer

Très bien du coup je ne vais plus me faire de soucis pour les hotes de services et les services.

Pour Windows Defender je vais laisser comme c'est actuellement, si cela ne s'en va pas au bout d'un moment je viderai l"historique.

Et Windows ne plante pas et fonctionne plustôt bien donc je ne vais pas m'embêter pour le moment si c'est inutile.

Il reste juste WebAdvisor par McAfee  qui ne veut toujours pas se désinstaller avec toujours la meme fenetre qui s'ouvre et qui tourne indéfiniment dans le vide ... https://up.security-x.fr/file.php?h=R7122a5b2c2c6e7db03dee0b80b05aeea

N'y aurait t-il pas un moyen de forcer la désinstallation sans passer par le désinstalleur fourni avec le programme ?

MisteryBean · Answer

RE_

Ce qui est bizarre , c'est qu'il n'y a plus traces de Webadvisor à part dans la liste des programmes .

Essaie de le désinstaller avec REVO en mode avancé :
TUTO

mpol59 · Answer

Malheureusement quand j'utilise REVO, cela ne change rien car il utilise le désinstalleur fourni par le programme Web Advisor ...
Et c'est toujours pareil. 0.1 Mo/s dans le gestionnaire des tâches, mais même si j'attendais 2h il n'aurait pas fini de désintaller je pense

MisteryBean · Answer

RE_

OK , dans la fenêtre chercher  de FRST , tapes SearchAll: Webadvisor;McAfee , puis cliques sur Chercher fichiers , un fichier search.txt est créé , postes le

mpol59 · Answer

Voila le fichier généré après 40 longues minutes de recherche
https://up.security-x.fr/file.php?h=R941842c8457f0926baea713b504a99d6

MisteryBean · Answer

RE_

OK , je te fais un correctif ce soir ou demain

MisteryBean · Answer

RE_

--> Copie ce qui se trouve ici : https://textup.fr/601435ZH de start:: à end:: (sans le coller nulle part)

--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger
Si FRST semble se bloquer ou ne répond pas , laisse tourner

--> Un fichier fixlog est créé au même endroit que FRST , postes le

--> Dis moi si tu as toujours le problème .

mpol59 · Answer

Merci d'avoir sorti ce correctif si rapidement !

J'ai regardé dans le panneau Programme et Fonctionnalité et WebAdvisor n'est plus affiché. Votre correctif a donc du bien fonctionner.
Voici le fichier fixlog.txt : 
https://up.security-x.fr/file.php?h=R891a169f0870fbc970a756f08f5a9eb8

MisteryBean · Answer

RE_

OK , j'ai fait le ménage dans le registre , il ne devrait plus y avoir de traces de Webadvisor.

Pour moi , c'est OK , pour terminer :

Pour supprimer automatiquement tous les fichiers/dossiers créés par FRST et l'outil lui-même, renomme FRST/FRST64.exe en uninstall.exe et exécute-le. 

La procédure nécessite un redémarrage 

Bonne continuation et prudence sur le net ;-)

mpol59 · Answer

Je vais donc procéder à la dernière manipulation et ce sera terminé (enfin).

Merci beaucoup pour avoir pris du temps pour résoudre mes problèmes avec des explications claires et qui fonctionnent très bien !

Je vais arreter de télécharger plein d'applications et faire un nettoyage dans celles que j'ai déjà.

Bonne continuation à vous aussi et si j'ai de nouveaux problèmes je n'hésiterai pas a créer un nouveau fil.

Virus possible ? - Page 2

Discussions similaires

Newsletters