Sujet Précédent Sujet Suivant

Picto d'explorateur de fichier qui est remplacé: malware?

Résolu/Fermé
fleur9 - Modifié le 13 mars 2022 à 14:25
bazfile Messages postés 56333 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 7 novembre 2024 - 14 mars 2022 à 14:45
Bonjour,

Je viens vers vous pour vous demander de l'aide car j'ai un truc bizarre sur mon ordinateur. Je suis sous windows 7.
Je vous explique, j'ai remarqué que d'une manière subite, le pictogramme "exploration de documents" a changé sur ma barre de taches, sans altérer le fonctionnement. Aprés quelques recherches j'ai trouvé que le picto correspondait a un petit jeu video, que je n'ai jamais installé, "war thunder".

J'ouvre l'explorateur de fichiers en cliquant sur le raccourci (image dossier), ca m'ouvre effectivement l'explorateur mais le picto n'est plus le même (cf ci dessous)
https://www.cjoint.com/c/LCni1LkJ2Qb

Avec un clic droit sur ce picto bizarre je vois des raccourcis vers des repertoire recents puis un raccourci vers ledit jeu video
https://www.cjoint.com/c/LCni2ulUAGb

Avec un clic droit puis propriétés sur ce raccourci de jeu video : la cible est explore.exe. Evidemment je n'ai jamais essayé de cliquer dessus.
https://www.cjoint.com/c/LCni3UrZSqb


Qu'est ce donc? j'ai lancé un coup de cccleaner puis adwcleaner en mode sans echec, qui n'ont rien trouvé. Comment enlever ca ?

merci de votre aide!


Configuration: Windows / Firefox 97.0
A voir également:

3 réponses

Réponse 1 / 3
bazfile Messages postés 56333 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 7 novembre 2024 19 260
13 mars 2022 à 14:27
Bonjour,
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :

Clique sur Analyser

Attention, attendre que les messages disant que l'analyse est terminée s'affichent




À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition



Ensuite envoie les rapports FRST et ADDITION sur CJOINT voir CE TUTORIEL puis donne les deux liens générés par Cjoint dans ta réponse.
1
bazfile Messages postés 56333 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 7 novembre 2024 19 260 > fleur9
Modifié le 14 mars 2022 à 08:43
Pas d'infection sur ton pc, ce raccourci à probablement était installé lors de l'installation d'un logiciel ou un jeu, c'est une pub pour un jeu en ligne voir cette page.
Il n'y a rien dans le rapport FRST fait une nouvelle analyse FRST mais en cochant la case Shortcut tu auras trois rapports donne le lien du rapport shortcut.
1
fleur9 > bazfile Messages postés 56333 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 7 novembre 2024
Modifié le 14 mars 2022 à 12:35
Voici. Je remarque ces lignes qui sont suspectes, ce sont des jeux que je n'ai jamais installés.

Shortcut: C:\Users\Gally9\AppData\Roaming\Microsoft\Windows\Start Menu\Crossout.lnk -> C:\Windows\explorer.exe (Microsoft Corporation)
Shortcut: C:\Users\Gally9\AppData\Roaming\Microsoft\Windows\Start Menu\War Thunder.lnk -> C:\Windows\explorer.exe (Microsoft Corporation)
Shortcut: C:\Users\Gally9\AppData\Roaming\Microsoft\Windows\Start Menu\World of Tanks.lnk -> C:\Windows\explorer.exe (Microsoft Corporation)
Shortcut: C:\Users\Gally9\AppData\Roaming\Microsoft\Windows\Start Menu\World of Warships.lnk -> C:\Windows\explorer.exe (Microsoft Corporation)

Fichier shortcut :
https://www.cjoint.com/c/LColJhVmNtb
0
bazfile Messages postés 56333 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 7 novembre 2024 19 260 > fleur9
14 mars 2022 à 12:48
Juste des adwares sous forme de raccourcis vers des jeux en ligne, ces raccourcis s'ajoutent quand tu installes un logiciel ou un jeu si durant l'installation tu ne décoches pas les cases autorisant leur ajout, c'est juste de la pub.

Si tu veux les supprimer :
Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit : 
Start::
CreateRestorePoint:
CloseProcesses:
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-2937895557-2293347824-2835100846-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
FirewallRules: [{BBD71EA1-5355-48CB-88C3-CE66D442EC18}] => (Allow) C:\Program Files\BlueStacks_nxt\HD-Player.exe => Pas de fichier
Shortcut: C:\Users\Gally9\AppData\Roaming\Microsoft\Windows\Start Menu\Crossout.lnk -> C:\Windows\explorer.exe (Microsoft Corporation)
Shortcut: C:\Users\Gally9\AppData\Roaming\Microsoft\Windows\Start Menu\War Thunder.lnk -> C:\Windows\explorer.exe (Microsoft Corporation)
Shortcut: C:\Users\Gally9\AppData\Roaming\Microsoft\Windows\Start Menu\World of Tanks.lnk -> C:\Windows\explorer.exe (Microsoft Corporation)
Shortcut: C:\Users\Gally9\AppData\Roaming\Microsoft\Windows\Start Menu\World of Warships.lnk -> C:\Windows\explorer.exe (Microsoft Corporation)
HKU\S-1-5-18\...\Run: [ZoneAlarm Windows 10 Upgrader] => "C:\ProgramData\CheckPoint\ZoneAlarm\Data\Updates\unpacked==win10=update_win10.zip\upgrade.exe" /delay (Pas de fichier)
S3 fiddrv64; pas de ImagePath
S3 RtlWlanu; system32\DRIVERS\rtwlanu.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
C:\Users\Gally9\AppData\Roaming\Microsoft\Windows\Start Menu\War Thunder.lnk
C:\Users\Gally9\AppData\Roaming\Microsoft\Windows\Start Menu\Crossout.lnk
C:\Users\Gally9\AppData\Roaming\Microsoft\Windows\Start Menu\War Thunder.lnk
C:\Users\Gally9\AppData\Roaming\Microsoft\Windows\Start Menu\World of Warships.lnk
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.



Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne le lien généré par Cjoint dans ton prochain message.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

.
1
bazfile Messages postés 56333 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 7 novembre 2024 19 260 > fleur9
Modifié le 14 mars 2022 à 13:53
Tout est OK.
Quand tu installes des logiciels gratuits, lors de l'installation il faut bien lire les différents écrans afin de ne pas te faire piéger.
Il faut décocher les cases proposées elle ne sont pas toujours visibles du premier coup, exemple:


Tu peux désinstaller FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.
1
Réponse 2 / 3
quentin2121 Messages postés 8925 Date d'inscription lundi 24 mai 2010 Statut Membre Dernière intervention 7 novembre 2024 Ambassadeur 1 250
13 mars 2022 à 10:55
Bonjour,
Aller dans le dossier "programmes and files", essayer de repérer "war thunder" et désinstallez-le !
0
fleur9
13 mars 2022 à 11:17
Il n'y est pas puisque je n'ai jamais installé ce jeu.
0
Réponse 3 / 3
secur
13 mars 2022 à 11:09
Bonjour fais un scan en ligne avec f secure online scanner
https://www.f-secure.com/fr/home/free-tools/online-scanner
-1
fleur9
13 mars 2022 à 11:45
Je viens de le faire, et rien n'a été trouvé.
0

Discussions similaires

Chemin Logo du site de la Cité de l'espace
Keiios -
blux -

11 réponses
comment donner les droits sur fichier partage
ch'ti du 57 -
fil1958 -

2 réponses