Appareil neuf avec des dossiers qui apparaissent
Résolubazfile Messages postés 58685 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
je viens d'acquérir un ordinateur portable qui vient de Chine et à l'ouverture j'ai eu à constater 2 fichiers sans nom sur le bureau je les ai supprimer mais a chaque démarrage du système ils apparaissent donc j'ai installer Malwarebyte qui a détecter 2 éléments CRUN.EXE et CLEARPE.EXE qui ont été mis en quarantaine. J'ai 16 Gb de RAM et facilement je suis à 60% de mémoire utilisé alors que je n'ouvre que Chrome car il n'ya pas d'autres applications installés
J'ai installer FRST et lancer l'analyse voici le résultat, l'analyse a été réalisé avec les 2 éléments mis en quarantaine
Addition.txt https://pjjoint.malekal.com/files.php?id=20260214_k7u10w9u7j10
Shortcut.txt https://pjjoint.malekal.com/files.php?id=20260214_e13c8f7s12r12
Frst https://pjjoint.malekal.com/files.php?id=FRST_20260214_n5l5f108x8
Merci de votre aide
Windows / Chrome 145.0.0.0
- Appareil neuf avec des dossiers qui apparaissent
- Appareil électrique - Guide
- Votre appareil ne dispose pas des correctifs de qualité et de sécurité importants - Guide
- Appareil connecté facebook - Guide
- Comment supprimer les pubs qui apparaissent sans arrêt - Guide
- Identifier appareil avec adresse mac - Guide
3 réponses
Bonjour .
Plus de trace des exécutables que tu indiques, apparemment pas d'infction sur ton pc, que la RAM soit occupée à 60% n'a rien de bien significatif sur mon pc avec 16 GB de RAM c'est pareil.
Il y a juste le fichier non signé nommé service.exe qui est éventuellement suspect il est dans : C:\Windows\SysWOW64\service.exe
Va sur le site VirusTotal, tu cliques sur Choose file tu choisis le fichier service.exe, si le fichier a déjà été analysé clique sur la petite flèche (reanalyze) comme sur la photo :
une fois l'analyse terminée une page de résultat apparaîtra donne-moi le lien de cette page dans ta réponse.
Bjr une marque chinoise? Si tu veux être sûr tu refais l'os complètement à partir d'une clé USB bootable Windows, le tout est de savoir lequel est le mieux adapté ex: win 7 10 11 par rapport au processeur et la RAM
Si tu l'effaces et qui reviens c'est qu'il y a un script le tout est et de le trouver ouais perso moi ça me dit rien du tout pas confiance
je vote pour réinitialisation du système à partir de Windows ou carrément avec une clé USB formatage complet
Attends les avis des experts
Perso sur 32Go je suis à 25% Microsoft Edge steam ouvert c'est pas normal effectivement tu devrais être à 30% max avec un seul programme
Bonjour,
Voyez si Reanimator détecte quelque chose de probant, (Lire sous PS:)
Et ce que vous pouvez réduire en démarrages automatiques (Autoruns, services.msc)
https://forums.commentcamarche.net/forum/affich-38206831-alors-vous-voulez-supprimer-les-virus-vous-meme-comment
Si vous souhaitez formater, prenez le temps de sauvegarder vos pilotes sur une clé USB avant avec ce programme, ça sera du temps gagné ensuite.
https://github.com/lostindark/DriverStoreExplorer/releases
https://www.virustotal.com/gui/file/4ada1f96457de05401063ab99c4c98e128c7417e502d222e38eed76246db1b2d?nocache=1
Après analyse voici le lien
Merci de ton aide
Bingo !
D'après l'analyse de VirusTotal ce fichier est apparemment un trojan stealer, en général cette infection enregistre les frappes sur le clavier afin de dérober par exemple tes mots de passe ou ton numéro de CB.
Pour supprimer cette infection fait ce qui suit.
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start:: CreateRestorePoint: CloseProcesses: HKU\S-1-5-19\...\RunOnce: [OneDrive] => C:\Program Files (x86)\Microsoft OneDrive\OneDrive.exe /background /setautostart (Pas de fichier) HKU\S-1-5-20\...\RunOnce: [OneDrive] => C:\Program Files (x86)\Microsoft OneDrive\OneDrive.exe /background /setautostart (Pas de fichier) Task: {C885B7DB-DB6B-45F6-8EA1-F8B919E23D1C} - System32\Tasks\Microsoft\Windows\Location\Notifications => %windir%\System32\LocationNotificationWindows.exe (Pas de fichier) Task: {A37AD9EC-7D60-41AA-B128-1297296188A3} - System32\Tasks\Microsoft\Windows\PI\SecureBootEncodeUEFI => %WINDIR%\system32\SecureBootEncodeUEFI.exe (Pas de fichier) Task: {EEC49C91-BCB0-4E42-BEA6-CB620E01EB5F} - System32\Tasks\Microsoft\Windows\UNP\RunUpdateNotificationMgr => %windir%\System32\UNP\UpdateNotificationMgr.exe (Pas de fichier) Task: {F3E6E7ED-A196-4E44-8803-55FAB3AD4E29} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe (Pas de fichier) HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction S2 Intel(R) HD Graphics Control Panel Service Impl; C:\Windows\SysWOW64\service.exe [4025212 2021-12-30] (Microsoft Corporation) [Fichier non signé] AlternateDataStreams: C:\Users\hp\Desktop\FRST64.exe:MBAM.Zone.Identifier [450] AlternateDataStreams: C:\Users\hp\Downloads\sp164390.exe:MBAM.Zone.Identifier [478] FirewallRules: [{FEE65F09-EFED-447D-A347-17346898F3D1}] => (Allow) C:\Program Files\Microsoft Office\root\Office16\outlook.exe => Pas de fichier FirewallRules: [{3FAFEB0F-0EBF-41EA-8CEA-3072B0D21D1E}] => (Allow) C:\Program Files (x86)\MyDrivers\DriverGenius\xlmodule\download\minithunderplatform.exe => Pas de fichier FirewallRules: [{D08A7FE1-87DE-4C64-9433-962156B959D2}] => (Allow) C:\Program Files (x86)\MyDrivers\DriverGenius\xlmodule\download\minithunderplatform.exe => Pas de fichier C:\Windows\SysWOW64\service.exe EmptyTemp: End::3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://pjjoint.malekal.com/ ou https://www.catupload.com/.
Puis donne le lien généré par https://pjjoint.malekal.com/ ou https://www.catupload.com/dans ta réponse.
5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT.
6- Termine en faisant une nouvelle analyse FRST.
Merci pour ton aide, voici le lien Fixlog
https://pjjoint.malekal.com/files.php?id=20260215_b11c10e10b15g14
Après avoir appliquer les corrections voici les autres liens
FRST https://pjjoint.malekal.com/files.php?id=FRST_20260215_q15c8l15l5i13
Addition https://pjjoint.malekal.com/files.php?id=20260215_q5f9s8w13l10
Shortcut https://pjjoint.malekal.com/files.php?id=20260215_n10j8h11l11j12
Tout est OK, le trojan stealer est supprimé.
Important :
Afin de vider la quarantaine de FRST, désinstalle FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.
C'est fait merci pour votre aide, une dernière question pour c'est 2 éléments CRUN.EXE et CLEARPE.EXE qui ont été mis en quarantaine de Malwarebytes, qu'est ce que je dois en faire vue qu'ils sont en quarantaines et que se passera t'il quand je vais désinstaller l'application? est ce qu'ils sont toujours actifs malgré la correction avec FRST?