PUP.optional et Adware.Elex.ShrtCln
Résolubazfile Messages postés 56240 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 25 octobre 2024 - 24 févr. 2024 à 19:18
13 réponses
23 févr. 2024 à 16:58
J'ajoute que les fichiers de PUP.optional datent de 2020. Pour Chrome, c'est plus délicat comme ils sont mis à jour régulièrement par le logiciel, ça fausse la date.
Modifié le 23 févr. 2024 à 23:09
Bonjour @Sylvain1980 StatutMembre .
Rien de grave ce ne sont que des adwares rien de bien sérieux.
Si ça peut te rassurer fait ce qui suit.
Télécharge FRST .
Une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :
Attend que le message l'outil est prêt à fonctionner s'affiche puis clique sur Analyser
Attention, attendre que les messages disant que l'analyse est terminée s'affichent.
À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition.
Ensuite envoie les rapports FRST et ADDITION sur https://www.cjoint.com/ puis donne les deux liens générés par https://www.cjoint.com/ dans ta réponse.
24 févr. 2024 à 13:29
Bonjour,
pas de souci.
Le premier lien : https://www.cjoint.com/c/NBymCE3t76o
et le second : https://www.cjoint.com/c/NBymDqgltCo
Modifié le 24 févr. 2024 à 13:51
@Sylvain1980 StatutMembre .
Le pc est infecté ou plutôt c'est Google Chrome qui est infecté mais pas par un adware.
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
VirusTotal: C:\Program Files (x86)\Google\GoogleUpdater\124.0.6315.0\updater.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction
Task: {E7888C5F-2D05-48BC-92A7-886D7FB9D89A} - System32\Tasks\GoogleSystem\GoogleUpdater\GoogleUpdaterTaskSystem124.0.6315.0{0722B847-BC34-485D-AE68-87418CF0C83B} => C:\Program Files (x86)\Google\GoogleUpdater\124.0.6315.0\updater.exe [4698400 2024-02-22] (Google LLC -> Google LLC)
CHR Notifications: Default -> hxxps://na.op.gg; hxxps://www.pathofexile.com
S2 GoogleUpdaterInternalService124.0.6315.0; C:\Program Files (x86)\Google\GoogleUpdater\124.0.6315.0\updater.exe [4698400 2024-02-22] (Google LLC -> Google LLC)
S2 GoogleUpdaterService124.0.6315.0; C:\Program Files (x86)\Google\GoogleUpdater\124.0.6315.0\updater.exe [4698400 2024-02-22] (Google LLC -> Google LLC)
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-3487580874-3088295095-1575381273-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
FirewallRules: [{4050004F-D793-482E-A518-67DB63A49894}] => (Allow) C:\Users\Sylvain\AppData\Roaming\uTorrent\uTorrent.exe => Pas de fichier
FirewallRules: [{970CE508-FA60-49A4-974A-CF3865784508}] => (Allow) C:\Users\Sylvain\AppData\Roaming\uTorrent\uTorrent.exe => Pas de fichier
FirewallRules: [UDP Query User{30EE0E5F-0459-4ADD-9DA7-380E9EC8DEFE}C:\riot games\league of legends\game\league of legends.exe] => (Allow) C:\riot games\league of legends\game\league of legends.exe => Pas de fichier
FirewallRules: [TCP Query User{70AEA18D-9A41-4082-A396-7D415574C6C9}C:\riot games\league of legends\game\league of legends.exe] => (Allow) C:\riot games\league of legends\game\league of legends.exe => Pas de fichier
FirewallRules: [{ADA2E0D3-1C96-42AF-9714-99D64BF411B6}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Pas de fichier
FirewallRules: [{F43968F7-3243-4F9F-886E-34ABEF155C5F}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Pas de fichier
FirewallRules: [{281DCB77-0C69-4623-B696-BB7BE738073F}] => (Allow) C:\Riot Games\League of Legends\LeagueClient.exe => Pas de fichier
FirewallRules: [{27CBDB1D-B1B2-4072-8F9F-58AA037FB8BF}] => (Allow) C:\Riot Games\League of Legends\LeagueClient.exe => Pas de fichier
FirewallRules: [{8B5A67C6-D843-4B17-89C8-561B682441FA}] => (Allow) D:\SteamLibrary\steamapps\common\Don't Starve Together\bin\dontstarve_steam.exe => Pas de fichier
FirewallRules: [{87C505B6-C98C-4024-8B2C-E6E8AD1D799B}] => (Allow) D:\SteamLibrary\steamapps\common\Don't Starve Together\bin\dontstarve_steam.exe => Pas de fichier
FirewallRules: [{747F8BB2-92D4-4295-B6B4-D9599F4683FC}] => (Allow) C:\Program Files (x86)\Popcorn Time\Updater.exe => Pas de fichier
FirewallRules: [{E1D0E793-3974-4D01-AA34-096FD885DC9B}] => (Allow) C:\Program Files (x86)\Popcorn Time\Updater.exe => Pas de fichier
FirewallRules: [{E3D41E97-986A-448D-B915-A01EB64F43A1}] => (Allow) C:\Program Files (x86)\Popcorn Time\PopcornTimeDesktop.exe => Pas de fichier
FirewallRules: [{F75966C7-18B6-43EC-B34B-9BD8E17EA5DE}] => (Allow) C:\Program Files (x86)\Popcorn Time\PopcornTimeDesktop.exe => Pas de fichier
FirewallRules: [{0E8B6895-3742-42FF-8722-038E6DA90097}] => (Allow) C:\Program Files (x86)\Popcorn Time\nodejs\node.exe => Pas de fichier
FirewallRules: [{BD89FC0A-010D-41C6-B496-BA11D3572725}] => (Allow) C:\Program Files (x86)\Popcorn Time\nodejs\node.exe => Pas de fichier
FirewallRules: [{E8DF5AED-76A8-4F51-8E81-90B144159743}] => (Allow) C:\Program Files (x86)\Popcorn Time\chromecast\node.exe => Pas de fichier
FirewallRules: [{B13864E4-217D-46A2-AE38-13688443330D}] => (Allow) C:\Program Files (x86)\Popcorn Time\chromecast\node.exe => Pas de fichier
FirewallRules: [{FA688DAE-ED45-4EA2-AF61-7A3F9116D3CF}] => (Allow) C:\Users\Sylvain\AppData\Local\Programs\safe-watch\safe-watch.exe => Pas de fichier
FirewallRules: [{47351015-ED3C-48B2-8D3F-BE3B3958F8A6}] => (Allow) D:\SteamLibrary\steamapps\common\killingfloor2\Binaries\Win64\KFGame.exe => Pas de fichier
FirewallRules: [{0CFB71D2-9BE1-4BFD-8BA5-87BB21FE261C}] => (Allow) D:\SteamLibrary\steamapps\common\killingfloor2\Binaries\Win64\KFGame.exe => Pas de fichier
FirewallRules: [TCP Query User{9AB8D32E-E3F0-460B-8186-2D372B196C26}D:\steamlibrary\steamapps\common\night of the dead\lf\binaries\win64\lf-win64-shipping.exe] => (Allow) D:\steamlibrary\steamapps\common\night of the dead\lf\binaries\win64\lf-win64-shipping.exe => Pas de fichier
FirewallRules: [UDP Query User{B31D7CF3-8CB1-40F9-9A46-F05252FC8F4B}D:\steamlibrary\steamapps\common\night of the dead\lf\binaries\win64\lf-win64-shipping.exe] => (Allow) D:\steamlibrary\steamapps\common\night of the dead\lf\binaries\win64\lf-win64-shipping.exe => Pas de fichier
FirewallRules: [{99403F14-950D-4D19-8104-D44211AE187A}] => (Allow) C:\Users\Sylvain\AppData\Local\Temp\HouseCall\tmase\nmap\nmap.exe => Pas de fichier
FirewallRules: [{75DD299C-5A73-4401-8809-128BF2BE3EED}] => (Allow) D:\SteamLibrary\steamapps\common\killingfloor2\Binaries\Win64\KFGame.exe => Pas de fichier
FirewallRules: [{8724FCA9-D5F4-424C-9ACE-647EFC55C13C}] => (Allow) D:\SteamLibrary\steamapps\common\killingfloor2\Binaries\Win64\KFGame.exe => Pas de fichier
C:\Program Files (x86)\Google\GoogleUpdater\124.0.6315.0\updater.exe
EmptyTemp:
End::
3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://www.cjoint.com/ puis donne le lien généré par https://www.cjoint.com/ dans ta réponse.
5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question24 févr. 2024 à 14:11
Mince.
Savez-vous par quoi ? Quels risques ?
24 févr. 2024 à 14:17
Fait la correction FRST les conseils viendront après.
24 févr. 2024 à 14:19
Voici le lien :
https://www.cjoint.com/c/NBynrqbzcko
Modifié le 24 févr. 2024 à 14:36
@Sylvain1980 StatutMembre .
Il y avait un exécutable dans le dossier GoogleUpdater qui n'est pas un exécutable avec un nom normal.
Par prudence :
- Change tes mots de passe en ligne qui sont sensibles et importants pour toi.
- Réinitialise Chrome https://support.google.com/chrome/answer/3296214?hl=fr
Le fixlog est OK.
Désinstalle FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.
Tu penses que j'ai eu ça quand ?
A priori ça n'est sûr que ce soir une vérole ?
C'est quoi le nom du fichier concerné ?
Modifié le 24 févr. 2024 à 16:12
@Sylvain1980 StatutMembre .
Tu penses que j'ai eu ça quand ?
Apparemment il y a deux jours.
A priori ça n'est sûr que ce soir une vérole ?
À mon avis c'est une infection.
C'est quoi le nom du fichier concerné ?
Le fichier updater.exe n'a rien à faire dans ce dossier de Chrome le nom normal c'est Googleupdate.exe.
Saurais tu la dangerosité du virus ? Et son type ?
Aurais je pu l'attraper en juste surfant ? Ou plutôt en installant quelque chose ?
Modifié le 24 févr. 2024 à 16:10
@Sylvain1980 StatutMembre .
Saurais tu la dangerosité du virus ? Et son type ?
Je pense à une possibilité d'un cheval de Troie mais sans certitude, vu que dans le script FRST j'avais demandé son analyse sur VT et qu'elle a été bloquée, je n'ai donc aucun moyen de le savoir, tout ce que je peux te dire c'est que ce fichier me parait suspect, j'ai vérifié sur plusieurs pc et il n'est présent sur aucun des pc, c'est pour cela que j'ai préféré le supprimer.
Aurais je pu l'attraper en juste surfant ? Ou plutôt en installant quelque chose ?
Impossible à dire cela peut avoir plusieurs causes.
Tout ce que j'ai tapé même des conversations privées ont pu être capturées?
24 févr. 2024 à 17:04
Non c'est sans intérêt pour un pirate, de toute façon je t'ai bien dit que par prudence il fallait changer tes mots de passe, c'est juste par prudence pas par certitude.
24 févr. 2024 à 17:34
Je suis désolé de te poser tant de questions. Je suis tellement dépassé.
Tu penses que j'ai pu l'attraper quand ? Et si quelqu'un m'a ciblé spécifiquement ou si c'est "juste" une campagne de piratage plus grande ?
Tu saurais me dire le moment précis de la journée où j'ai attrapé ce virus ?
24 févr. 2024 à 17:40
Non, écoute tout ça n'est pas très grave l'infection n'est plus sur ton pc c'est tout ce qui compte.
En fait je m'inquiète pour ce qui as pu être pris de moi ou appris et ce qu'il pourrait en être fait
24 févr. 2024 à 18:04
Peut-être que rien n'a été pris comme je te l'ai dit c'est par prudence qu'il faut changer les mots de passe, c'est du "au cas où".
Voilà je pense que tout a été dit.
24 févr. 2024 à 18:47
Je me demande si c'est bien un virus après la lecture du lien suivant où quelqu'un a le même problème que moi sauf que la version du sous-répertoire change (post plus vieux) :
https://answers.microsoft.com/en-us/windows/forum/all/updaterexe-when-opening-chrome/f73e15e3-544c-474b-a61a-bcd2913224af?page=1
Qu'en penses-tu ?
Modifié le 24 févr. 2024 à 19:42
J'ai déjà trouvé ce fichier sur plusieurs pc infectés et sa suppression a arrangé les choses, si ce fichier était normal il serait sur tous les pc qui utilisent Chrome et ce n'est pas la cas donc pour l'instant je pense que la prudence est de mise.
Voilà pour ma part ce sera tout, bonne soirée.