[RESOLU →did80] Virus inconnu ? Création sauvage de multiples dossiers ZIP !

Vous avez des messages d'avertissement qui s'affichent, votre système est lent à démarrer, votre navigation est redirigée. Ce sont peut-être les signes d'une infection. Vous avez fait une analyse de votre PC et vous ne savez pas analyser le rapport. Dans cette section, vous pouvez désinfecter gratuitement votre ordinateur. Des experts bénévoles vous assistent et vous conseillent tout le long de votre prise en charge. Si vous sollicitez une aide dans ce forum, évitez de faire une demande similaire dans un autre site d'assistance.
Avatar du membre
did80
Helper
Helper
Messages : 6371
Enregistré le : mar. 13 juin 2017 13:21

Re: [did80] Virus inconnu ? Création sauvage de multiples dossiers ZIP avec plein de choses dedans !

Message par did80 » jeu. 10 août 2017 21:15

re  papyrazzi

1/ je ne vois pas le lien zhpdiag

2/ ceci stp

Télécharger FARBAR et l' enregistrez-le sur le Bureau

prendre la version compatible 32 ou 64 bits


http://www.bleepingcomputer.com/downloa ... scan-tool/


ou

http://www.nicolascoolman.fr/telecharger/


Faites un clic droit sur le fichier téléchargé (FRST.exe/FRST64.exe) et choisissez Exécuter en tant qu'administrateur


coche les cases comme sur l'image ci dessous

Cliquez sur le bouton Scan


Image



L'outil va créer un fichier rapport nommé FRST.txt situé dans le dossier depuis lequel l'outil s'exécute.



le scan terminé tu auras deux rapports sur le bureau


La première fois où l'outil est exécuté, il crée un autre rapport nommé Addition.txt- situé également dans le même dossier que FRST.exe/FRST64


Mets les 3 rapports frst addition et shorcut ici car ils prennent bien de la place.

http://cjoint.com/ et donne moi les liens

@+
L'urgent est fait, l'impossible est en cours
Pour les miracles prévoir des délais.
A Lire Charte du forum

Re: [did80] Virus inconnu ? Création sauvage de multiples dossiers ZIP avec plein de choses dedans !

Publicité
 

Avatar du membre
papyrazzi
Membre
Membre
Messages : 32
Enregistré le : mer. 4 mars 2015 11:46

Re: [did80] Virus inconnu ? Création sauvage de multiples dossiers ZIP avec plein de choses dedans !

Message par papyrazzi » jeu. 10 août 2017 21:22

Hello Didier,

Voici la fin : http://www.cjoint.com/c/GHktvCiMDjR

Avatar du membre
did80
Helper
Helper
Messages : 6371
Enregistré le : mar. 13 juin 2017 13:21

Re: [did80] Virus inconnu ? Création sauvage de multiples dossiers ZIP avec plein de choses dedans !

Message par did80 » jeu. 10 août 2017 21:59

re papyrazzi

1/ désinstaller quicktime plus maintenu

anciennes versions java 101 121


2/ télécharges ZHPFIX

Si tu ne l'as pas


https://www.nicolascoolman.com/fr/download/zhpfix/



Image



Sélectionne et copie les lignes suivantes

Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.
Lance ZHPFIX


colles les lignes dans le cadre blanc

Image

tu supprimes avec le bouton GO


Image

copies colles le rapport

qui est sur ton bureau ou C:\Users\....\AppData\Roaming\ZHP\ZHPFix[R1].txt



2/ tu penseras a m'envoyer les 3 liens farbar demandés plus haut aussi

@+

@+
L'urgent est fait, l'impossible est en cours
Pour les miracles prévoir des délais.
A Lire Charte du forum

Avatar du membre
papyrazzi
Membre
Membre
Messages : 32
Enregistré le : mer. 4 mars 2015 11:46

Re: [did80] Virus inconnu ? Création sauvage de multiples dossiers ZIP avec plein de choses dedans !

Message par papyrazzi » ven. 11 août 2017 02:08

Voici les liens pour les rapports de FARBAR
FRST.txt → http://www.cjoint.com/c/GHkxAhcXLgR
Shortcut.txt → http://www.cjoint.com/c/GHkxDFQIXBR
Addition.txt → http://www.cjoint.com/c/GHkxCCnoQLR

Par contre durant la phase d'analyse des raccourcis, une fenêtre s'est ouverte annonçant un problème bizarre.
J'en ai fait une copie puis ai simplement fermé la fenêtre.
Voici le lien de cette copie : http://www.cjoint.com/c/GHkxGPfi6RR


Maintenant, je passe aux désinstallations, puis à ZHPFIX.

Au fait, concernant le script que tu as concocté pour ZHPFIX, deux questions avant que je ne fasse une bêtise :

1° HKCU\SOFTWARE\IM
IM vient de Incredimail qui est mon programme de mails. Hélas, je ne puis en changer car les data ne sont pas transférables vers un autre programme. Cependant, il fonctionne correctement et je sais par expérience que quand on change quelque chose à ce qu'il a installé, il plante avec, souvent, pertes de données (et j'y ai des mails professionnels depuis près de 20 ans... glups !)

2° HKCU\SOFTWARE\TeleCharger
- O43 - CFD: ... C:\Users\Se7en\AppData\Local\Z-Deployement
- O43 - CFD: ... C:\Users\Se7en\AppData\Local\Z-Deshaker
- O43 - CFD: ... C:\Users\Se7en\AppData\Local\Z-Diagnostics
Avant de détruire définitivement un dossier ou un fichier que je trouve suspect, je mets un "Z-" devant son nom. C'est ce que j'ai fait ce matin pour les dossiers "Deployement, Deshaker et Diagnostics" qui étaient "vides" et présents dans le répertoire C:\Users\Se7en\AppData\Local. Je ne savais pas d'où ils venaient ni la raison de leur création.

Au regard de mes questions, maintiens-tu ton script inchangé ?

 
 

Avatar du membre
papyrazzi
Membre
Membre
Messages : 32
Enregistré le : mer. 4 mars 2015 11:46

Re: [did80] Virus inconnu ? Création sauvage de multiples dossiers ZIP avec plein de choses dedans !

Message par papyrazzi » ven. 11 août 2017 04:08

Que s'est-il passé ? :o
Je n'ai pas encore procédé au ZHPFIX puisque j'attends ta réponse à mes questions.
Mais...
Par je ne sais par quelle opération du Saint-Esprit, la quasi totalité des dossiers "temp1_NOM.zip" qui s'étaient créés intempestivement dans le répertoire C:\Users\Se7en\AppData\Local\temp ont disparu ! :P
Or, la seule chose que j'ai faite, outre les analyses et les désinstallations de programmes que tu m'as demandées, c'est de stopper la recherche des fichiers .ppinfocache

Pour l'heure, il ne reste de "bizarre" dans le répertoire C:\Users\Se7en\AppData\Local\temp que les 3 dossiers suivants et un seul fichier :
~nsuA.tmp    contenant un fichier potentiellement dangereux    →   Un_A.exe
Temp1_Backup files 4.zip \ C \ Users \ Se7en \ AppData \ Roaming \ AVAST Software \ Avast \
 "Le dossier est vide."
Temp1_Backup files 73.zip \ C \ Users \ Se7en \ AppData \ Roaming \ AVAST Software \ Avast \ "Le dossier est vide."

Tous créés le 10/08/2017 → je ne sais évidemment pas du tout d'où cela vient ni ce que c'est. :roll:
 
De toutes façons, je vais poursuivre la "désinfection" en cours.

 

Avatar du membre
did80
Helper
Helper
Messages : 6371
Enregistré le : mar. 13 juin 2017 13:21

Re: [did80] Virus inconnu ? Création sauvage de multiples dossiers ZIP avec plein de choses dedans !

Message par did80 » ven. 11 août 2017 10:54

salut

je passe du temps a écrire un script que tu n'exécutes pas

tu as du farfouiller jusqu' a 4h08 dans le pc en ouvrant tout pour propager l'infection

2/ tes questions


1° HKCU\SOFTWARE\IM
IM vient de Incredimail


HKCU\SOFTWARE\IM =>Adware.InstallCore
infecté

2/
HKCU\SOFTWARE\TeleCharger
O43 - CFD: 07/12/2014 - [0] D -- C:\Users\Se7en\AppData\Local\Secunia PSI
O43 - CFD: 28/08/2015 - [0] D -- C:\Users\Se7en\AppData\Local\Z-Deployment
O43 - CFD: 27/09/2016 - [0] D -- C:\Users\Se7en\AppData\Local\Z-Deshaker
O43 - CFD: 24/02/2017 - [0] D -- C:\Users\Se7en\AppData\Local\Z-Diagnostics
C:\Users\Se7en\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_static.audienceinsights.net_0.localstorage
C:\Users\Se7en\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_static.audienceinsights.net_0.localstorage-journal
superflus

avast est infecté par certlock

ciao
L'urgent est fait, l'impossible est en cours
Pour les miracles prévoir des délais.
A Lire Charte du forum

Avatar du membre
papyrazzi
Membre
Membre
Messages : 32
Enregistré le : mer. 4 mars 2015 11:46

Re: [did80] Virus inconnu ? Création sauvage de multiples dossiers ZIP avec plein de choses dedans !

Message par papyrazzi » ven. 11 août 2017 12:26

Hello,
Je n'ai trifouillé dans rien du tout. J'ai seulement et strictement fait ce que tu m'as demandé et... posé des questions.
Seul Firefox était ouvert sur la page de ce fil, aux fins de mise à jour en enfonçant la touche [F5].
Pour tuer le temps, j'ai simplement lu le rapport de ZHPDiag, enfin... essayé, car je me suis endormi sur mon bureau... et je viens seulement de me réveiller.
Le dossier Temp est resté constamment ouvert, mais en veille dans la barre des tâches. Lorsque je l'ai constaté, j'ai cliqué pour ouvrir la fenêtre et, ainsi, pouvoir la fermer en cliquant sur le "X" en haut à droite de la fenêtre.
C'est à ce moment que j'ai constaté la disparition des fichiers.

Concernant IM...
C'est dans le "dossier" IM (créé automatiquement par Incredimail) que ce trouvent tous les datas de mes mails. Rien à voir avec l'exécutable qui est effectivement IncMail.exe. De là ma confu sion, sorry.

Je lance donc le ZHPFIX.

Avatar du membre
papyrazzi
Membre
Membre
Messages : 32
Enregistré le : mer. 4 mars 2015 11:46

Re: [did80] Virus inconnu ? Création sauvage de multiples dossiers ZIP avec plein de choses dedans !

Message par papyrazzi » ven. 11 août 2017 12:55

Voila, c'est fait.
Voici le lien du rapport : http://www.cjoint.com/c/GHlkZyFtSrR

Par contre, en fin de job, ZHPFIX a affiché une fenêtre pour annoncer que le programme ne s'était pas déroulé correctement. Voici le lien : http://www.cjoint.com/c/GHlk2rETl0R

J'attends tes instructions.

Avatar du membre
did80
Helper
Helper
Messages : 6371
Enregistré le : mar. 13 juin 2017 13:21

Re: [did80] Virus inconnu ? Création sauvage de multiples dossiers ZIP avec plein de choses dedans !

Message par did80 » ven. 11 août 2017 13:35

re

je peux voir le rapport de celui ci

C:\Users\Se7en\AppData\Roaming\ZHP\ZHPFix[R1].txt - 10/08/2017 13:29:28 [2145]

@+
L'urgent est fait, l'impossible est en cours
Pour les miracles prévoir des délais.
A Lire Charte du forum

Avatar du membre
papyrazzi
Membre
Membre
Messages : 32
Enregistré le : mer. 4 mars 2015 11:46

Re: [did80] Virus inconnu ? Création sauvage de multiples dossiers ZIP avec plein de choses dedans !

Message par papyrazzi » ven. 11 août 2017 13:46

Désolé, ce fichier n'existe pas.
Par contre, j'en ai un qui porte le même nom mais qui date du 08/03/2015 - 13:29 H
Voir copie du répertoire Roaming/ZHP → http://www.cjoint.com/c/GHllR0M5uDR

Voici la copie de ce fichier → http://www.cjoint.com/c/GHllWFYXIwR

Répondre