[Résolu 13/02/18] fichier suspect

Votre PC est infecté ? : postez dans cette rubrique pour obtenir de l'aide
Image Aucune désinfection ne sera menée sur une version de Windows illégale
Image Les rapports ZHPDiag ne doivent pas être postés tels quels mais doivent être impérativement hébergés
Image Si vous avez effectué, avant de poster votre demande, des analyses avec Malwarebytes et AdwCleaner, merci de poster les rapports

Règles du forum
Image Aucune désinfection ne sera menée sur une version de Windows illégale
Image Les rapports ZHPDiag ne doivent pas être postés tels quels mais doivent être impérativement hébergés
Image Si vous avez effectué, avant de poster votre demande, des analyses avec Malwarebytes et AdwCleaner, merci de poster les rapports

[Résolu 13/02/18] fichier suspect

Messagede newmember » 21 Jan 2018 00:28

Bonjour,

mon antirus aira a détecté un fichier suspect (menace EXP/CVE-2015-2426) et apparemment ce n est pas la premiere fois. (je n'ai pas reussi a vous joindre l' impression ecran). Il a mis le fichier en quarantaine.
Mais par la suite lorsque je scan completement mon systeme il ne trouve rien!!!!
Je trouve que mon PC est plus lent et j ai eu dernierement des icones non voulues qui sont apparues (groupe residentiel) et des soucis avec la corbeille. De plus depuis la migration vers windows 10 j ai perdu le wifi (il ne tient pas)

Pouvez vous m aider a eradiquer ce virus?

Merci
bien cordialement
newmember
Nouveau membre
Nouveau membre
 
Années en tant que membreAnnées en tant que membreAnnées en tant que membre
 
Messages: 74
Inscription: 10 Oct 2014 17:51
Sexe: Non spécifié
Firefox 57.0 64 bits Firefox 57.0 64 bits
Windows NT 64 bits Windows NT 64 bits
Résolution d’écran: 1366 x 768 1366 x 768

fichier suspect

Messagede didier68 » 23 Jan 2018 10:02

Bjr Newmember :coucou:

Je te recommande de nous poster un rapport ZhpDiag afin qu'on puisse faire un diagnostique de ton pc.Voilà comment:

ZHPDiag

  • ImageDésactive ton antivirus avant le téléchargement et pendant l'utilisation de l'outil
  • Depuis cette page télécharge ZHPDiag (secours)

      Image

  • Enregistre-le sur le biureau

      Image

  • Lance l'exécution par clic-droit -> "Exécuter en tant qu':flèche: [b]Nouveau ZHPDiag

    • Relance ZHPDiag (clic-droit -> "Exécuter en tant qu'administrateur")


    • Si une nouvelle version est disponible cette fenêtre s'ouvrira :

        cliquez ici pour agrandir



    • Clique sur [Fermer]
        La mise à jour se fera automatiquement...
        Le navigateur se fermera puis s'ouvrira sur une page d'information

    • Relance ZHPDiag (clic-droit ...)


    • Clique sur [Scanner]

        cliquez ici pour agrandir


    • Héberge le rapport sur Cjoint et communique le lien.
    administrateur"[/b]

      Image

  • Clique sur [Scanner]... patiente


  • Un rapport ZHPDiag.txt sera généré sur le bureau

      Image

  • Héberge ce rapport sur CJoint et communique le lien créé.

    Pour Cjoint :

      Image

      Image

      Image

L'un d'entre nous l'analysera et te donnera la marche a suivre

Cdlmt
Image
Avatar de l’utilisateur
didier68
Sécurité
Sécurité
 
Années en tant que membreAnnées en tant que membreAnnées en tant que membre
 
Messages: 1137
Âge: 55
Inscription: 26 Nov 2014 08:20
Localisation: Alsace
Sexe: Homme
Firefox 57.0 Firefox 57.0
Windows 7 64 bits Windows 7 64 bits
Résolution d’écran: 1760 x 1100 1760 x 1100

fichier suspect

Messagede newmember » 24 Jan 2018 11:41

Bonjour,

et merci pour votre aide. voila le lien du rapport:
https://www.cjoint.com/c/HAykNp18ciF

il a trouve des choses. Durant l execution de ZHP il y a eu une copie d un fichier vers le repertoire temp j ai trouve cela bizarre
Merci !
newmember
Nouveau membre
Nouveau membre
 
Années en tant que membreAnnées en tant que membreAnnées en tant que membre
 
Messages: 74
Inscription: 10 Oct 2014 17:51
Sexe: Non spécifié
Firefox 57.0 64 bits Firefox 57.0 64 bits
Windows NT 64 bits Windows NT 64 bits
Résolution d’écran: 1366 x 768 1366 x 768

fichier suspect

Messagede didier68 » 25 Jan 2018 11:00

Bjr Newmember

1) Désinstalle Mcafee Security Scan
2) Désinstalle les anciennes versions de Java >>> https://www.java.com/fr/download/faq/re ... rsions.xml
3) Mettre a jour Java >>> https://www.java.com/fr/

• Télécharge ZHPFix de Nicolas Coolman sur ton bureau
• Clic droit ensuite sur l'icône de ZHPFix et "exécuter en tant qu'administrateur"


Sélectionne et copie les lignes en gras ci-dessous situées entre les deux lignes sans oublier la première ligne "Script ZHPFix"

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Script Zhpfix
O38 - TASK: {31C5C108-3D33-48F5-808E-5092C6A5F4BC} [64Bits][\ASUS Smart Gesture Launcher] - (.ASUSTeK - ASUS Smart Gesture Launcher.) -- C:\Program Files (x86)\ASUS\ASUS Smart Gesture\AsTPCenter\x64\AsusTPLauncher.exe (.not file.) [0] (.Orphan.) =>.SUP.Orphan
O108 - CMH1: 7-Zip [64Bits] - {23170F69-40C1-278A-1000-000100020000} . (.Orphan.)
O108 - CMH3: BackupContextMenuExtension [64Bits] - {b1b96b20-da1d-4a3c-92c1-7229b32f2325} . (...) -- mscoree.dll (.not file.)
O108 - CMH4: 7-Zip [64Bits] - {23170F69-40C1-278A-1000-000100020000} . (.Orphan.)
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\7-Zip =>.SUP.Orphan
HKLM\Software\Classes\CLSID\{23170F69-40C1-278A-1000-000100020000} =>.SUP.Orphan
HKLM\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers\BackupContextMenuExtension =>.SUP.Orphan
HKLM\Software\Wow6432Node\Classes\CLSID\{b1b96b20-da1d-4a3c-92c1-7229b32f2325} =>.SUP.Orphan
HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers\7-Zip =>.SUP.Orphan
HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers\igfxcui =>.SUP.Orphan
C:\WINDOWS\Installer\114b6b12.msp =>.SUP.Obsolete.Adobe
C:\WINDOWS\Installer\1925ee42.msp =>.SUP.Obsolete.Adobe
C:\WINDOWS\Installer\23c3ff0.msp =>.SUP.Obsolete.Adobe
C:\WINDOWS\Installer\2a0b573f.msp =>.SUP.Obsolete.Adobe
C:\WINDOWS\Installer\3240be83.msp =>.SUP.Obsolete.Adobe
C:\WINDOWS\Installer\9f753bf1.msp =>.SUP.Obsolete.Adobe
C:\WINDOWS\Installer\a0595c6.msp =>.SUP.Obsolete.Adobe
C:\WINDOWS\Installer\d7d90.msp =>.SUP.Obsolete.Adobe
C:\WINDOWS\Installer\dd329.msp =>.SUP.Obsolete.Adobe
C:\WINDOWS\Installer\e7c1811.msp =>.SUP.Obsolete.Adobe
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID]:{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} =>PUP.Optional.XTab
[MD5.73EB6B068B819C2BC1CB07103210C7B6] [WIS][2012/11/16 15:47:06] (.McAfee.) -- C:\WINDOWS\Installer\15680.msi [1448448] =>.McAfee
O87 - FAEL: "{2D26D65C-FF58-42FA-B1ED-F353D3F3F341}" [In-None-P17-TRUE] .(...) -- C:\Program Files (x86)\HP\hp software update\hpwucli.exe (.not file.)
O43 - CFD: 28/10/2016 - [] D -- C:\ProgramData\McAfee =>.McAfee
O43 - CFD: 28/10/2016 - [] D -- C:\ProgramData\McAfee Security Scan =>.McAfee
O43 - CFD: 28/10/2016 - [] D -- C:\Program Files (x86)\McAfee Security Scan =>.McAfee
HKCU\SOFTWARE\TeleCharger =>.SUP.Downloader
HKLM\SOFTWARE\WOW6432Node\McAfee.com =>.McAfee Inc.
HKLM\SOFTWARE\McAfee.com =>.McAfee Inc.
ProxyFix
EmptyPrefetch
ShortcutFix
Emptytemp
EmptyClsid
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

• Lance ZHPFix à partir du raccourci sur ton Bureau ou sur ModernUI si Windows 8 (si tu es sous Windows Vista, Windows 7 ou Windows 8, fais le par un clic-droit --> Exécuter en tant qu'administrateur)

Image ou Image

• Clique sur le bouton Importer

Image

• Les lignes précédemment copiées vont se coller d'elles-mêmes dans la fenêtre de ZHPFix (si ce n'est pas le cas, clic droit dans la fenêtre et Coller)
NB (W8) : Dans certains cas le script se colle automatiquement dans la zone de script et ne nécessite pas de cliquer sur le bouton "IMPORTER".
• Clique sur le bouton GO pour lancer le nettoyage

Image

• Clique sur Oui à la demande de confirmation de nettoyage des données

Image

• Une boîte de dialogue va te demander si tu souhaites vider la corbeille : clique sur oui ou non selon ton choix. Si tu cliques sur Oui, le temps de nettoyage sera plus ou moins allongé

Image

• Copie/colle la totalité du rapport qui s'ouvre dans le bloc-notes à la fin du nettoyage et colle-le dans ta prochaine réponse
• Le rapport se trouve aussi sous C:\ZHP\ZHPFix[RX].txt


Si tu le désires tu peux optimiser le démarrage et la réactivité de ton pc en désactivant les applications se lançant inutilement au démarrage

Suis ce tuto >>> http://www.tomsguide.fr/faq/id-2999303/ ... ndows.html
Désactive:
- iTunesHelper
- Skype
- Spotify
- ASUSPRP (ASUS Product Register Program)
- ASUSWebStorage (si tu ne l'utilises pas UNIQUEMENT)
- OneDriveSetup (si tu ne l'utilises pas UNIQUEMENT)

2 rapports attendu:
- le rapport ZhpFix (doit se trouver sur ton bureau)
- Re-lance un nouveau ZhpDiag et post le rapport


Lorsque tu auras fait tout ceci,on désinstallera puis on réinstallera Avira
Image
Avatar de l’utilisateur
didier68
Sécurité
Sécurité
 
Années en tant que membreAnnées en tant que membreAnnées en tant que membre
 
Messages: 1137
Âge: 55
Inscription: 26 Nov 2014 08:20
Localisation: Alsace
Sexe: Homme
Firefox 57.0 Firefox 57.0
Windows 7 64 bits Windows 7 64 bits
Résolution d’écran: 1760 x 1100 1760 x 1100

fichier suspect

Messagede newmember » 25 Jan 2018 16:02

Bonjour merci encor epour l aide..j'ai commence la procédure.
Mais sous zhpdiag 2018 je ne trouve pas le bouton "importer".
Je ne vois pas la procédure à suivre pour lancer le script de nettoyage. Pouvez vous préciser ?

Merci beaucoup
newmember
Nouveau membre
Nouveau membre
 
Années en tant que membreAnnées en tant que membreAnnées en tant que membre
 
Messages: 74
Inscription: 10 Oct 2014 17:51
Sexe: Non spécifié
Firefox 58.0 64 bits Firefox 58.0 64 bits
Windows NT 64 bits Windows NT 64 bits
Résolution d’écran: 1366 x 768 1366 x 768

fichier suspect

Messagede didier68 » 25 Jan 2018 17:55

Re re Newmember

:grin: 2 - 3 choses.

1) C'est dans le cadre de ZhpFix qu'il faut coller l'ensemble du script et non dans ZhpDiag.Tu peux aussi copier/coller le script dans ZhpFix plutôt que d'importer.Vérifie bien que tu colles TOUT.Tout ce qu'il y a entre les pointillés,de ScriptZhpfix a EmptyClsid daccord.

Prends ton temps,fais une chose après l'autre.Ton pc ne comporte pas de grosses infections mais des composants optionnels qui sont de vrais plaies.
Je te donnerais quelques conseils en fin de procédure pour les éviter au mieux.Je te dirais lorsqu'on aura terminer puis on nettoiera les outils que je te fais utiliser ainsi que les diverses rapports se trouvant sur ton bureau.

2) Mis a part la mise la jours Java et les les outils utilisés,ne télécharge rien pour le moment stp.

Dis-moi comment se comporte ton pc et si tu as toujours cette "alerte" de Avira.Si tu désactives déja les applications que je t'ai suggérées ce sera déjà un peu mieux.Moins il y en a,plus ton pc sera réactif.Bien sur les applications seront tjrs utilisables mais ne seront plus lancées pour rien ;)
N'oubli pas de me poster les 2 rapports

@ ++++
Image
Avatar de l’utilisateur
didier68
Sécurité
Sécurité
 
Années en tant que membreAnnées en tant que membreAnnées en tant que membre
 
Messages: 1137
Âge: 55
Inscription: 26 Nov 2014 08:20
Localisation: Alsace
Sexe: Homme
Firefox Mobile 57.0 Firefox Mobile 57.0
Android Android
Résolution d’écran: 360 x 640 360 x 640

fichier suspect

Messagede newmember » 26 Jan 2018 09:39

Bonjour didier et merci !

Je n'ai pas pu désactiver tous les processus de démarrage listés certains ne figuraient pas dans la liste.
Mais le PC démarre plus rapidement et je pense qu'il est plus réactif. Avira na l"a pas encore réaffiché le message.
Sinon firefox est toujours lent au démarrage.
zhpfix:
https://www.cjoint.com/c/HAAiK08f3XF
zhpdiag :
https://www.cjoint.com/c/HAAiMOGRpkF

tiens moi au courant pour la suite des operations.
Merci!
newmember
Nouveau membre
Nouveau membre
 
Années en tant que membreAnnées en tant que membreAnnées en tant que membre
 
Messages: 74
Inscription: 10 Oct 2014 17:51
Sexe: Non spécifié
Firefox 58.0 64 bits Firefox 58.0 64 bits
Windows NT 64 bits Windows NT 64 bits
Résolution d’écran: 1366 x 768 1366 x 768

fichier suspect

Messagede didier68 » 26 Jan 2018 11:18

Bjr Newmember

Oui je vois que tu n'as rien désactivé.Je peux te le faire faire via un script mais il me faut confirmation quant a l'utilisation des applications en question.Je te propose de désactivé:

iTunesHelper
Skype
Spotify
Spotify Web Helper
ASUSPRP . (.ASUSTek Computer Inc. - ASUS Product Register Program.)
ASUSWebStorage. (.ASUS Cloud Corporation - ASUS WebStorage Panel.)
WebStorage Sync Agent\1.1.18.159\AsusWSPanel.exe =>.ASUS Cloud
SunJavaUpdateSched
OneDriveSetup

C'est surtout pour OneDrive et Asus Cloud que j'ai besoin de savoir si tu les utilises ou non

Il est possible de rafraîchir/réinitialiser Firefox.Vois ce que cela implique ici (Certains éléments et paramètres seront supprimés) >>> https://support.mozilla.org/fr/kb/reini ... parametres

On fonction de tes réponses on avisera ;)
Image
Avatar de l’utilisateur
didier68
Sécurité
Sécurité
 
Années en tant que membreAnnées en tant que membreAnnées en tant que membre
 
Messages: 1137
Âge: 55
Inscription: 26 Nov 2014 08:20
Localisation: Alsace
Sexe: Homme
Firefox 57.0 Firefox 57.0
Windows 7 64 bits Windows 7 64 bits
Résolution d’écran: 1760 x 1100 1760 x 1100

fichier suspect

Messagede newmember » 29 Jan 2018 22:06

Bonjour,

j'ai désactivé le démarrage de tous les programmes listés qui étaient disponibles dans la liste. Effectivement cela démarre plus rapidement. Mais certains je n'ai pas pu car ils n'apparaissaient pas.Je n'utilise pas asuscloud et onedrive mais desormais je suis satisfait du démarrage.
Je souhaiterais du coup enlever les outils installés? il y a aussi un fichier quarantine vide qui s est crée sur mon bureau. Puis je le retirer?
Pour firefox je verrais pas la suite si je suis la procédure.

Merci!
newmember
Nouveau membre
Nouveau membre
 
Années en tant que membreAnnées en tant que membreAnnées en tant que membre
 
Messages: 74
Inscription: 10 Oct 2014 17:51
Sexe: Non spécifié
Firefox 58.0 64 bits Firefox 58.0 64 bits
Windows NT 64 bits Windows NT 64 bits
Résolution d’écran: 1366 x 768 1366 x 768

fichier suspect

Messagede didier68 » 30 Jan 2018 09:56

Bjr Newmember

je suis satisfait du démarrage


Daccord

Je souhaiterais du coup enlever les outils installés?


Oui bien sur,c'est prévu en fin de procédure ;) Ce petit soft va faire le travail,télécharge le >>> https://toolslib.net/downloads/viewdownload/2-delfix/
Tu le lance >>> tu coche la case "supprimer les outils de désinfections" >>> exécuter. Delfix se supprimera lui-même à la fin des opérations
Si il reste un rapport ou ce fichier "quarantaine",oui tu peux les supprimer manuellement sans problème.

Sauf si tu as une question,nous avons terminé.Voici quelques conseils (clic sur spoiler)

Ton ordinateur était rempli de programmes malsains notamment de type PUP ( programmes potentiellement indésirables ) de toolbars et de adwares, tu as été vraisemblablement contaminé par des logiciels téléchargés aussi je te conseillerais :

  • De t'assurer que ton pc est protégé au moins par un antivirus et un pare-feu à jour.
    
  • De faire régulièrement un contrôle complet du PC par ton antivirus.
    
  • De tenir à jour tes logiciels, notamment les navigateurs internet et les logiciels sensibles comme Adobe Reader Java ou Adobe Flash Reader.Tu peux être tenu au courant des mises à jour par le logiciel FileHippo App Manager ( attention les téléchargements proposés sont souvent en version anglaise ).
    
  • De compléter ton navigateur internet avec des extensions de sécurité Adblockplus pour bloquer les publicités et WOT pour t'indiquer les sites dangereux.
    
  • De télécharger des logiciels sur des sites de confiance et d'éviter des sites comme 01.net et Softonic qui arrivent souvent en têtes des résultats de recherche.
    
  • Lors de l'installation d'un programme lis bien les conditions d’utilisation et évite l'installation des logiciels complémentaires qui peuvent être proposés ( en particulier des barres d'outils ) et regarde bien ce qu'il t'est proposé en précoché (très souvent indésirables)
    
  • D'éviter de télécharger des cracks qui te font courir un grand danger d'infection et d'utiliser prudemment les sites Peer to Peer.
    
  • De faire très attention aux courrier électroniques contenant des pièces attachées et notamment ceux de correspondants inconnus, et en cas de pièce suspecte l'éliminer ou au moins la faire analyser par Virus total avant de l'ouvrir.
    ::!: parfois l'identité de correspondant connu peut être utilisée pour camoufler une adresse suspecte en utilisant une adresse d'envoi du type <correspondantconnu@fai.com>correspondantinconnu@vol.com
    
  • De vérifier les fichiers téléchargés douteux sur le site Virus total

Je te conseille également la lecture de ce document : http://www.malekal.com/fichiers/projeta ... courte.pdf


Sois prudent :coucou:
Image
Avatar de l’utilisateur
didier68
Sécurité
Sécurité
 
Années en tant que membreAnnées en tant que membreAnnées en tant que membre
 
Messages: 1137
Âge: 55
Inscription: 26 Nov 2014 08:20
Localisation: Alsace
Sexe: Homme
Firefox 57.0 64 bits Firefox 57.0 64 bits
Windows 7 64 bits Windows 7 64 bits
Résolution d’écran: 1600 x 1000 1600 x 1000

fichier suspect

Messagede newmember » 31 Jan 2018 23:33

Bonjour,

et merci pour les conseils ! J'ai bien utilisé delflix pour effacer les outils

Parcontre avira m a encore affiché un message : "accès au fichier hote bloqué" et j'ai déjà eu cela l autre jour. Donc j ai peur qu il reste des choses ? Une idée ?

Merci d avance
newmember
Nouveau membre
Nouveau membre
 
Années en tant que membreAnnées en tant que membreAnnées en tant que membre
 
Messages: 74
Inscription: 10 Oct 2014 17:51
Sexe: Non spécifié
Firefox 58.0 64 bits Firefox 58.0 64 bits
Windows NT 64 bits Windows NT 64 bits
Résolution d’écran: 1366 x 768 1366 x 768

fichier suspect

Messagede didier68 » 01 Fév 2018 11:26

newmember a écrit:Bonjour,

et merci pour les conseils ! J'ai bien utilisé delflix pour effacer les outils

Parcontre avira m a encore affiché un message : "accès au fichier hote bloqué" et j'ai déjà eu cela l autre jour. Donc j ai peur qu il reste des choses ? Une idée ?

Merci d avance


Bonjour

Ouvre Avira >>> Dans l'onglet "Action si résultat positif", choisissez, "Automatique", puis sélectionnez "Quarantaine" >>> clic sur Ok. De cette façon, si Avira trouve une menace, il la supprime directement

Image

Peux-tu regarder dans "rapports" ou dans "quarantaine" quelle est exactement cette détection.Cela peut être un faux-positif


Selon ta réponse on supprimera le fichier ou pas (Administration >>> Quarantaine >>> supprimme les fichiers présents)

@+++
Image
Avatar de l’utilisateur
didier68
Sécurité
Sécurité
 
Années en tant que membreAnnées en tant que membreAnnées en tant que membre
 
Messages: 1137
Âge: 55
Inscription: 26 Nov 2014 08:20
Localisation: Alsace
Sexe: Homme
Firefox 57.0 64 bits Firefox 57.0 64 bits
Windows 7 64 bits Windows 7 64 bits
Résolution d’écran: 1600 x 1000 1600 x 1000

fichier suspect

Messagede newmember » 01 Fév 2018 22:05

Je suis bien embete car je ne peux plus demarrer avira. si je clique sur l icone il ne se passe rien. De meme lorsque j essaye de l ouvrir via le menu demarrer. il etait désactivé du démarrage automatique je l ai réactivé mais ca ne change rien. Du coup j ai activé windows defender mais je suis perplexe . Faut il que je telecharge un autre antivirus ?
Merci de me tenir au courant !
newmember
Nouveau membre
Nouveau membre
 
Années en tant que membreAnnées en tant que membreAnnées en tant que membre
 
Messages: 74
Inscription: 10 Oct 2014 17:51
Sexe: Non spécifié
Firefox 58.0 64 bits Firefox 58.0 64 bits
Windows NT 64 bits Windows NT 64 bits
Résolution d’écran: 1366 x 768 1366 x 768

Suivante

Retourner vers Virus-Sécurité - Aide à la Désinfection

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 6 invités