Virus possible
Résolubazfile Messages postés 60884 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
quelqu'un peut-il m'aider avec l'analyse frst pour désinfecter mon pc quand je le démarre il y a une fenêtre qui s'affiche note netsh.exe et récemment, j'ai reçu un mail d'un hacker
Windows / Edge 143.0.0.0
- Virus possible
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Virus informatique - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Undisclosed-recipients virus - Guide
5 réponses
Bonjour .
Ce n'est parce que l'on reçoit un mail louche que le pc est forcément infecté, vu que ces mails sont des arnaques pas des infections.
Télécharger FRST .
Une fois téléchargé enregistrer FRST sur le bureau puis cliquer avec le bouton droit de la souris sur FRST et choisir Exécuter en tant qu'administrateur ce qui donne ceci :
Attendre que le message l'outil est prêt à fonctionner s'affiche puis cliquer sur Analyser.
Pour information :
Si tu as une alerte de Microsoft Defender ne pas en tenir compte cliquer sur Informations complémentaires puis sur Exécuter quand même, voir ci-dessous.
Attention, attendre que les messages disant que l'analyse est terminée s'affichent.
À la fin de l'analyse les deux rapports FRST et Addition seront sur le bureau.
Envoyer les rapports FRST et ADDITION sur https://pjjoint.malekal.com/ ou https://www.catupload.com/.
Puis joindre les deux liens générés par https://pjjoint.malekal.com/ ou https://www.catupload.com/ dans ta réponse.
Bonjour,
Créer des logs FRST si vous voulez, on les verra une fois postés sur un site d'hébergement à partir de liens.
Et entre temps, vous pouvez tenter de faire ce que vous pouvez faire avec Reanimator, aussi, logiciel performant et intuitif.
https://forums.commentcamarche.net/forum/affich-38206831-alors-vous-voulez-supprimer-les-virus-vous-meme-comment
Bonne nouvelle année.
Ça peut être ExpressVPN aussi qui travaille sur les paramètres réseau avec netsh.exe, ça ne serait pas étonnant.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour .
Il n'y a aucune infection sur le pc, Windows Defender a bloqué un processus le 13 décembre probablement un téléchargement douteux le fichier douteux a été supprimé, tes logiciels Autdesk n'ont pas l'air d'être officiels.
Il n'y a que quelques processus orphelins/obsolètes, si tu souhaites les supprimer fait ce qui suit.
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2592350358-886286698-2935247486-1001\SOFTWARE\Policies\Google: Restriction
HKLM-x32\...\Run: [Autodesk Genuine Service ] => C:\Program Files\Autodesk\Genuine Service\GenuineService.exe (Pas de fichier)
HKU\S-1-5-21-2592350358-886286698-2935247486-1001\...\Run: [utweb] => "C:\Users\HP\AppData\Roaming\uTorrent Web\utweb.exe" /MINIMIZED (Pas de fichier)
Task: {A57D1A32-4B03-4A93-B5BA-D1D87AD31D08} - System32\Tasks\MSIAfterburner => C:\Program Files (x86)\MSI Afterburner\MSIAfterburner.exe /s (Pas de fichier)
CHR HKLM\...\Chrome\Extension: [ihcjicgdanjaechkgeegckofjjedodee]
CHR HKU\S-1-5-21-2592350358-886286698-2935247486-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [ihcjicgdanjaechkgeegckofjjedodee]
Edge HKLM\...\Edge\Extension: [bojobppfploabceghnmlahpoonbcbacn]
Edge HKU\S-1-5-21-2592350358-886286698-2935247486-1001\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [jcpgbnbdnakoblgfkbgggankeidkfcdl]
Edge HKLM-x32\...\Edge\Extension: [bojobppfploabceghnmlahpoonbcbacn]
Edge HKLM-x32\...\Edge\Extension: [jcpgbnbdnakoblgfkbgggankeidkfcdl]
CHR HKLM\...\Chrome\Extension: [ihcjicgdanjaechkgeegckofjjedodee]
CHR HKU\S-1-5-21-2592350358-886286698-2935247486-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [ihcjicgdanjaechkgeegckofjjedodee]
S3 MpKsl0ffbbde0; \??\C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{D6907708-4A28-4F70-A172-073F74BC94BE}\MpKslDrv.sys [X]
S3 RTCore64; \??\C:\Program Files (x86)\MSI Afterburner\RTCore64.sys [X]
CustomCLSID: HKU\S-1-5-21-2592350358-886286698-2935247486-1001_Classes\CLSID\{073CB204-6B29-46FC-AB98-451F1D068741}\InprocServer32 -> C:\Program Files\Common Files\Autodesk Shared\Inventor Interoperability 2023\Bin\TestServer.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2592350358-886286698-2935247486-1001_Classes\CLSID\{169B5B8E-E315-41C7-9574-66FC7E530D10}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2023\acad.exe /Automation => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2592350358-886286698-2935247486-1001_Classes\CLSID\{345D3165-3889-4694-AB75-A91A27B217E8}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2023\acad.exe => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2592350358-886286698-2935247486-1001_Classes\CLSID\{8B4929F8-076F-4AEC-AFEE-8928747B7AE3}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2023\acad.exe /Automation => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2592350358-886286698-2935247486-1001_Classes\CLSID\{8C23B656-4E6E-4B45-9920-9617168D39A3}\InprocServer32 -> C:\Program Files\Common Files\Autodesk Shared\Inventor Interoperability 2023\Bin\TestServer.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2592350358-886286698-2935247486-1001_Classes\CLSID\{AA46BA8A-9825-40FD-8493-0BA3C4D5CEB5}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2023\acad.exe /Automation => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2592350358-886286698-2935247486-1001_Classes\CLSID\{AF18D91C-A699-4578-ADC6-972F3BA007F0}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2024\acad.exe /Automation => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2592350358-886286698-2935247486-1001_Classes\CLSID\{DFF20505-B08F-455B-AD70-4FBD055088E0}\localserver32 -> "C:\Program Files\Google\Chrome\Application\PlatformExperienceHelper\platform_experience_helper.exe" -toastactivated => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2592350358-886286698-2935247486-1001_Classes\CLSID\{E5B0515D-48D2-4F04-906D-0192ED65A2DD}\InprocServer32 -> C:\Program Files\Common Files\Autodesk Shared\Inventor Interoperability 2023\Bin\TestServer.dll => Pas de fichier
AlternateDataStreams: C:\Windows:CM_be7995bdfc8d8ab791fbfefa187c3875a89ccddaea42f3929155d8af0adee7c6 [26]
FirewallRules: [TCP Query User{CBCAA208-AE1B-43B0-97C4-B6D91538CECA}C:\program files\windowsapps\spotifyab.spotifymusic_1.237.701.0_x64__zpdnekdrzrea0\spotify.exe] => (Allow) C:\program files\windowsapps\spotifyab.spotifymusic_1.237.701.0_x64__zpdnekdrzrea0\spotify.exe => Pas de fichier
FirewallRules: [UDP Query User{7BBC6DBA-1017-40D3-AEB6-220A15DCCD33}C:\program files\windowsapps\spotifyab.spotifymusic_1.237.701.0_x64__zpdnekdrzrea0\spotify.exe] => (Allow) C:\program files\windowsapps\spotifyab.spotifymusic_1.237.701.0_x64__zpdnekdrzrea0\spotify.exe => Pas de fichier
FirewallRules: [TCP Query User{650D9E0C-25A8-4101-A77D-61B4789E1174}C:\program files\windowsapps\spotifyab.spotifymusic_1.237.701.0_x64__zpdnekdrzrea0\spotify.exe] => (Allow) C:\program files\windowsapps\spotifyab.spotifymusic_1.237.701.0_x64__zpdnekdrzrea0\spotify.exe => Pas de fichier
FirewallRules: [UDP Query User{AE7D066E-F2AF-4B98-9EA1-B94B6E064C78}C:\program files\windowsapps\spotifyab.spotifymusic_1.237.701.0_x64__zpdnekdrzrea0\spotify.exe] => (Allow) C:\program files\windowsapps\spotifyab.spotifymusic_1.237.701.0_x64__zpdnekdrzrea0\spotify.exe => Pas de fichier
FirewallRules: [TCP Query User{F39AFBA7-241A-4DC1-BFDF-97AEEF0FC146}C:\users\hp\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\hp\appdata\roaming\utorrent\utorrent.exe => Pas de fichier
FirewallRules: [UDP Query User{E008649D-EE44-441F-93EF-8A1C871A51BC}C:\users\hp\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\hp\appdata\roaming\utorrent\utorrent.exe => Pas de fichier
FirewallRules: [{A657941D-806C-4E5A-9A9A-2D4E62B69639}] => (Allow) C:\Program Files (x86)\Microsoft Office\root\Office16\Lync.exe => Pas de fichier
FirewallRules: [{5D338CCD-9C0B-4746-8854-40FDAF2699C1}] => (Allow) C:\Program Files (x86)\Microsoft Office\root\Office16\UcMapi.exe => Pas de fichier
FirewallRules: [{E43C6C03-FFD5-4E70-B093-D84BC1D92833}] => (Allow) C:\Users\HP\AppData\Roaming\utorrent\uTorrent.exe => Pas de fichier
FirewallRules: [{7A18A3D0-5BAE-4438-A1A4-AF5DE870E81E}] => (Allow) C:\Users\HP\AppData\Roaming\utorrent\uTorrent.exe => Pas de fichier
FirewallRules: [TCP Query User{82210C63-3AD4-4E2D-8739-55C745A41BA5}C:\program files\windowsapps\telegrammessengerllp.telegramdesktop_5.5.5.0_x64__t4vj0pshhgkwm\telegram.exe] => (Allow) C:\program files\windowsapps\telegrammessengerllp.telegramdesktop_5.5.5.0_x64__t4vj0pshhgkwm\telegram.exe => Pas de fichier
FirewallRules: [UDP Query User{9002D57A-C7EB-44FB-9B90-915A56D92333}C:\program files\windowsapps\telegrammessengerllp.telegramdesktop_5.5.5.0_x64__t4vj0pshhgkwm\telegram.exe] => (Allow) C:\program files\windowsapps\telegrammessengerllp.telegramdesktop_5.5.5.0_x64__t4vj0pshhgkwm\telegram.exe => Pas de fichier
FirewallRules: [{8522E6BB-8521-498D-B5B9-C47526B1932E}] => (Allow) C:\Program Files (x86)\BlueStacks X\BlueStacksWeb.exe => Pas de fichier
FirewallRules: [{3A4B35D4-1272-4A4E-8CAB-747E3FA06167}] => (Allow) C:\Program Files (x86)\BlueStacks X\Cloud Game.exe => Pas de fichier
FirewallRules: [{E83A8448-6D87-4732-859D-729F26A9DB5E}] => (Allow) C:\Program Files\BlueStacks_nxt\HD-Player.exe => Pas de fichier
FirewallRules: [{7A196E00-D61E-42B5-AF6C-DF1D51F2C134}] => (Allow) C:\Program Files\BlueStacks_nxt\BlueStacksAppplayerWeb.exe => Pas de fichier
FirewallRules: [{69FE0065-F61A-4A90-8231-05458215CE7A}] => (Block) C:\Program Files\Graphisoft\Archicad 27\Cineware\Cineware.exe => Pas de fichier
FirewallRules: [{1D079951-E517-40B3-A0C5-5BCE49029DC0}] => (Allow) C:\Program Files\Google\Chrome\Application\chrome.exe => Pas de fichier
End::
3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://pjjoint.malekal.com/ ou https://www.catupload.com/.
Puis donne le lien généré par https://pjjoint.malekal.com/ ou https://www.catupload.com/dans ta réponse.
https://uploadnow.io/files/M25Q4mv
https://uploadnow.io/f/M25Q4mv
À mes yeux FRST ne montre pas de signe d'infection.
Je vais laisser @bazfile à qui je souhaite une bonne année le soin de décortiquer d'avantage les rapports.
Vous avez supprimé des choses nuisibles avec Reanimator, je ne sais pas si c'était lié à votre problème ou il est réglé ?
@+
Non, je pense que mon problème n'est pas encore réglé parce que quand je redémarre encore, il y a encore la fenêtre netsh.exe qui s'affiche deux fois rapidement et disparait.
Je vois des programmes qui semblent signés, ou pas de s virus en tant que ltel mais dont je n'ai jamais entendu parler, comme
(services.exe ->) (WIBU-SYSTEMS AG -> WIBU-SYSTEMS AG) C:\Program Files (x86)\WIBUKEY\Server\WkSvW32.exe
C'est un serveur réseau, ça peut être lié, je ne sais ce que ça fait mais vous ?
Puis
(services.exe ->) (Trimble Inc. and affiliates -> Trimble) C:\Program Files (x86)\Tekla Warehouse\Tekla.Warehouse.Service.Api.exe
Puis
(services.exe ->) (CYPE Ingenieros S.A.) [Fichier non signé] C:\Program Files (x86)\BIMserver.center\bimserv.exe
Puis dans le dossier Startup du menu démarrer aussi en démarrage
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\BIMserver.center.lnk [2025-11-30]
ShortcutTarget: BIMserver.center.lnk -> C:\Program Files (x86)\BIMserver.center\BIMserver.center.exe (CYPE Ingenieros S.A.) [Fichier non signé]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Serveur réseau.lnk [2025-07-26]
ShortcutTarget: Serveur réseau.lnk -> C:\Program Files (x86)\WIBUKEY\Server\WkSvMgr.exe (WIBU-SYSTEMS AG -> WIBU-SYSTEMS AG)