Votre système est lent à démarrer, vous avez des messages d'avertissement qui s'affichent, votre navigation est redirigée, ce sont les signes d'une infection. Désinfectez votre ordinateur gratuitement !
  • Avatar du membre
par Nathy78
#98261
Bonjour,
Sur conseil d'un contact informaticien, j'ai fait appel aux deux outils ZHP diag et ZHP Cleaner pour faire un checkup de mon PC acheté en décembre (équipé windows 10).
ZHP cleaner a trouvé deux fichiers aria-debug, visibles dans les données utilisateurs/appdata/local/temp. Impossible de les supprimer.
ZHP diag m'annonce 30 fichiers infectés dont voici le rapport
Code : Tout sélectionner
---\ ÉTAT DU CENTRE DE SÉCURITÉ WINDOWS (7) - 0s
[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified
[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\policies\system] EnableLUA: OK
[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN] CheckedValue: Modified

---\ TÂCHES PLANIFIÉES EN AUTOMATIQUE (Registre) (26) - 8s
O38 - TASK: {17BA4D35-9F72-41DC-8B3E-233A337F9009} [64Bits][\ASUS Hello] - (.SSD,ASUS Tek - .) -- C:\Program Files (x86)\ASUS\ASUS Hello\ASUSHelloBG.exe  [642448] 
C:\WINDOWS\System32\Tasks\ASUS Hello - (.SSD,ASUS Tek.) -- C:\Program Files (x86)\ASUS\ASUS Hello\ASUSHelloBG.exe  [] 

---\ FIREFOX, Plugins,Démarrage,Recherche,Extensions (30) - 3s
P2 - EXT FILE: (...) -- C:\Users\Nathy-AC\AppData\Roaming\Mozilla\Firefox\Profiles\58q9fc0q.default-1557062796146\extensions\hotfix-update-xpi-intermediate@mozilla.com.xpi
P2 - EXT FILE: (...) -- C:\Users\Nathy-AC\AppData\Roaming\Mozilla\Firefox\Profiles\58q9fc0q.default-1557062796146\extensions\{20a15a74-371f-5098-a362-bd127db4f8bc}.xpi
C:\Users\Nathy-AC\AppData\Roaming\Mozilla\Firefox\Profiles\58q9fc0q.default-1557062796146\browser-extension-data\{059cddf1-f66c-4b63-a79a-c35ac7e6ac65}

---\ RACCOURCIS GLOBAL STARTUP (74) - 5s
O4 - GS\CommonDesktop [Public]: Evernote.lnk . (...) C:\WINDOWS\Installer\{B47B6F80-6143-11E9-9F8E-005056951CAD}\Evernote.ico  
O4 - GS\ProgramsCommon [Public]: Evernote.lnk . (...) C:\WINDOWS\Installer\{B47B6F80-6143-11E9-9F8E-005056951CAD}\Evernote.ico  

---\ CLÉ DE REGISTRE EXPLORER StartupApproved (2) - 0s
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder]:ASUSCD64.cmd

---\ LOGICIELS INSTALLÉS (103) - 18s
O42 - Logiciel: Freizeitkarte_FRA (Ausgabe 18.09) - (..) [HKLM][64Bits] -- Freizeitkarte_FRA

---\ CLÉ DE REGISTRE SOFTWARE HKCU & HKLM (170) - 18s
HKLM\SOFTWARE\ELAN
HKLM\SOFTWARE\Screenovate
HKLM\SOFTWARE\WOW6432Node\Screaming Frog SEO Spider
[highlight=yellow]HKU\S-1-5-21-1093500070-1876523435-424729120-1001\SOFTWARE\67ab15dc-0a8b-5db2-8ebe-bd4994c956f6  =>Adware.CrossRider[/highlight]

---\ CONTENU DES DOSSIERS PROGRAMMES (227) - 4s
O43 - CFD: 27/01/2019 - [] D -- C:\Program Files (x86)\Code Postal
O43 - CFD: 06/05/2019 - [] D -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Communication
O43 - CFD: 19/03/2019 - [] RD -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Création GPS
O43 - CFD: 27/04/2019 - [] RD -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Internet & Web
O43 - CFD: 06/05/2019 - [] RD -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Medias
O43 - CFD: 06/05/2019 - [] RD -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Utilitaires
O43 - CFD: 07/12/2018 - [0] D -- C:\Users\Nathy-AC\AppData\Roaming\HeidiSQL
O43 - CFD: 11/02/2019 - [] D -- C:\Users\Nathy-AC\AppData\Roaming\Local by Flywheel
O43 - CFD: 21/04/2019 - [] D -- C:\Users\Nathy-AC\AppData\Roaming\OpenConcerto
O43 - CFD: 21/01/2019 - [] D -- C:\Users\Nathy-AC\AppData\Roaming\Poedit
O43 - CFD: 29/01/2019 - [] D -- C:\Users\Nathy-AC\AppData\Roaming\uk.co.screamingfrog.seospider.i.b
O43 - CFD: 10/02/2019 - [] D -- C:\Users\Nathy-AC\AppData\Local\local-by-flywheel-updater
O43 - CFD: 10/04/2019 - [] D -- C:\Users\Nathy-AC\AppData\Local\OneDrive
O43 - CFD: 21/04/2019 - [] D -- C:\Users\Nathy-AC\AppData\Local\OpenConcerto
O43 - CFD: 13/03/2019 - [] D -- C:\Users\Nathy-AC\AppData\Local\Suite
O43 - CFD: 11/02/2019 - [] D -- C:\Users\Nathy-AC\AppData\Local\Programs\local-by-flywheel
O43 - CFD: 05/05/2019 - [] AD -- C:\Users\Nathy-AC\OneDrive\Bureau\Anciennes données de Firefox

---\ LISTE DES EXCEPTIONS DU PAREFEU WINDOWS (44) - 3s
O87 - FAEL: 'UDP Query User{651DBCDA-A495-4575-B141-E81117F1A50B}C:\programmesutilisateur\uwamp\bin\database\mysql-5.7.11\bin\mysqld.exe' [In-None-P17-TRUE] .(...) -- C:\programmesutilisateur\uwamp\bin\database\mysql-5.7.11\bin\mysqld.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: 'TCP Query User{1E629DCF-A74F-44DD-BA96-1CE3D88AE1CC}C:\programmesutilisateur\uwamp\bin\database\mysql-5.7.11\bin\mysqld.exe' [In-None-P6-TRUE] .(...) -- C:\programmesutilisateur\uwamp\bin\database\mysql-5.7.11\bin\mysqld.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: 'UDP Query User{B9A93787-569E-47E8-8D37-67579F429E4F}C:\programmesutilisateur\uwamp\bin\apache\bin\httpd.exe' [In-None-P17-TRUE] .(...) -- C:\programmesutilisateur\uwamp\bin\apache\bin\httpd.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: 'TCP Query User{C80B609B-03A0-4B62-B8E2-4754D2B4DFD4}C:\programmesutilisateur\uwamp\bin\apache\bin\httpd.exe' [In-None-P6-TRUE] .(...) -- C:\programmesutilisateur\uwamp\bin\apache\bin\httpd.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: 'UDP Query User{C32D9A9C-ADB9-4B2B-80C5-DE57DFF5F46C}C:\programmesutilisateur\laragon\bin\memcached\memcached-1.4.5\memcached.exe' [In-None-P17-TRUE] .(...) -- C:\programmesutilisateur\laragon\bin\memcached\memcached-1.4.5\memcached.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: 'TCP Query User{AF398036-11D6-45A0-8D84-3752040A99DD}C:\programmesutilisateur\laragon\bin\memcached\memcached-1.4.5\memcached.exe' [In-None-P6-TRUE] .(...) -- C:\programmesutilisateur\laragon\bin\memcached\memcached-1.4.5\memcached.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: 'UDP Query User{AE3B50C4-A293-4820-9897-8EFA7C371802}C:\programmesutilisateur\laragon\bin\apache\httpd-2.4.35-win64-vc15\bin\httpd.exe' [In-None-P17-TRUE] .(...) -- C:\programmesutilisateur\laragon\bin\apache\httpd-2.4.35-win64-vc15\bin\httpd.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: 'TCP Query User{2FD23ED1-EB17-467B-8A93-D8EE1B4A82FF}C:\programmesutilisateur\laragon\bin\apache\httpd-2.4.35-win64-vc15\bin\httpd.exe' [In-None-P6-TRUE] .(...) -- C:\programmesutilisateur\laragon\bin\apache\httpd-2.4.35-win64-vc15\bin\httpd.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: 'UDP Query User{3BE1F19C-C885-4633-95CD-011216366B29}C:\programmesutilisateur\laragon\bin\mysql\mariadb-10.3.10-winx64\bin\mysqld.exe' [In-None-P17-TRUE] .(...) -- C:\programmesutilisateur\laragon\bin\mysql\mariadb-10.3.10-winx64\bin\mysqld.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: 'TCP Query User{51A8D50F-972D-4038-8D81-64CF8C2151E4}C:\programmesutilisateur\laragon\bin\mysql\mariadb-10.3.10-winx64\bin\mysqld.exe' [In-None-P6-TRUE] .(...) -- C:\programmesutilisateur\laragon\bin\mysql\mariadb-10.3.10-winx64\bin\mysqld.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: '{DF8EBB85-D106-4E8E-AC53-FFA724AE31C5}' [In-None-P17-TRUE] .(...) -- C:\Program Files\Microsoft Office\Office16\UcMapi.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: '{8D8F8989-9B8F-4338-A378-005FA2266848}' [In-None-P6-TRUE] .(...) -- C:\Program Files\Microsoft Office\Office16\UcMapi.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: '{245DA219-84C7-4E78-961F-D8A157883F38}' [In-None-P17-TRUE] .(...) -- C:\Program Files\Microsoft Office\Office16\lync.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: '{E009B421-4CEA-4C06-A7D0-69D0B8C96DA6}' [In-None-P6-TRUE] .(...) -- C:\Program Files\Microsoft Office\Office16\lync.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: '{311EA091-1EF7-401D-A985-3BA84EB7B909}' [In-None-P17-TRUE] .(...) -- C:\ProgrammesUtilisateur\CCUpdate.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: '{42981DCC-F120-414C-A0FA-A646EF39C262}' [In-None-P6-TRUE] .(...) -- C:\ProgrammesUtilisateur\CCUpdate.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: '{19CE610A-BE96-4CB0-B007-1DEC0C8DA060}' [In-None-P17-TRUE] .(...) -- C:\Program Files\CCleaner\CCUpdate.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: '{40AFBF22-A594-406E-9D83-CCBD568B776A}' [In-None-P6-TRUE] .(...) -- C:\Program Files\CCleaner\CCUpdate.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: 'UDP Query User{714A79B5-8BD3-4C00-8E9A-86DAE5D375D7}C:\programmesutilisateur\laragon\bin\mysql\mariadb-10.3.10-winx64\bin\mysqld.exe' [In-None-P17-TRUE] .(...) -- C:\programmesutilisateur\laragon\bin\mysql\mariadb-10.3.10-winx64\bin\mysqld.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: 'TCP Query User{C70FC769-A074-4FBA-B52E-DADBE0CC9348}C:\programmesutilisateur\laragon\bin\mysql\mariadb-10.3.10-winx64\bin\mysqld.exe' [In-None-P6-TRUE] .(...) -- C:\programmesutilisateur\laragon\bin\mysql\mariadb-10.3.10-winx64\bin\mysqld.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: 'UDP Query User{0F5BE52E-EFE6-448B-908D-88158E4C817C}C:\programmesutilisateur\laragon\bin\apache\httpd-2.4.35-win64-vc15\bin\httpd.exe' [In-None-P17-TRUE] .(...) -- C:\programmesutilisateur\laragon\bin\apache\httpd-2.4.35-win64-vc15\bin\httpd.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: 'TCP Query User{CA0B8F89-9D74-4C02-9AAA-61E70CF63ABA}C:\programmesutilisateur\laragon\bin\apache\httpd-2.4.35-win64-vc15\bin\httpd.exe' [In-None-P6-TRUE] .(...) -- C:\programmesutilisateur\laragon\bin\apache\httpd-2.4.35-win64-vc15\bin\httpd.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: '{9E0DC1E6-3FF5-4526-AA07-DBF76AEFC2CD}' [In-None-P6-TRUE] .(...) -- C:\ProgrammesUtilisateur\CCUpdate.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: '{25401A7F-5544-41A3-B243-5DE3A0341FDF}' [In-None-P17-TRUE] .(...) -- C:\ProgrammesUtilisateur\CCUpdate.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: '{35D81FBA-A035-4781-826A-E13DBD4B3CB0}' [In-None-P17-TRUE] .(...) -- C:\Users\Nathy-AC\AppData\Roaming\Zoom\bin\airhost.exe (.not file.)  =>.SUP.Orphan

---\ CODES PRODUITS LOGICIELS (50) - 1s
O90 - PUC: '32C3CBF34D3A9F74C907ABE0F1C068C4' [HKLM] . (.PDF-XChange Editor.) -- C:\WINDOWS\Installer\{3FBC3C23-A3D4-47F9-9C70-BA0E1F0C864C}\AppIco

---\ SCAN ADDITIONNEL (1) - 1s
HKCU\Software\undefined  =>.SUP.Downloader

---\ RÉCAPITULATIF DES ÉLÉMENTS TROUVÉS SUR VOTRE STATION (3) - 0s
[highlight=yellow]https://nicolascoolman.eu/2017/03/11/pup-optional-crossrider/  =>Adware.CrossRider[/highlight]
https://nicolascoolman.eu/2017/12/22/sup-downloader/  =>.SUP.Downloader
https://nicolascoolman.eu/2017/09/12/origine-lignes-orphelines/  =>.SUP.Orphan

~ Unselected Options:  O82,
~ End of the scan, 8845 items in 01mn43s (2014)(0)
Je n'ai laissé que les lignes signalant quelque chose. Mais je ne sais faire la différence entre les couleurs des lignes. J'ai surligné ce qui ressort en rouge dans le rapport ZHPDiag.

J'ai téléchargé les logiciels anti malvare recommandés et les ai lancé. Ils n'indiquent aucune contamination.

Que dois-je comprendre ? Infecté ou pas infecté mon PC ?

Merci infiniment pour votre soutien et surtout, pour ces outils si précieux.
A bientôt
Modifié en dernier par Nathy78 le mer. 29 mai 2019 12:23, modifié 1 fois.
Avatar du membre
par did80
#98262
Bonjour,

Je m'appelle Didier et je vais tenter de résoudre votre problème.

Pourriez vous suivre les consignes du lien ci dessous. Prendre le temps de bien lire

>> Comment poster pour une désinfection <<

il est vivement conseillé de faire une sauvegarde des données avant de commencer la désinfection

je désinfecte gratuitement mais si vous souhaitez contribuer aux travaux de Nicolas

c'est Don Ici Merci


ce n'est pas une obligation

Fournir les rapports au format.txt

Je vais te prendre en charge, n'effectue que les procédures demandées
et ne télécharge rien d'autre pouvant fausser mon analyse.
Tous les logiciels demandés sur cette désinfection seront à télécharger sur ton bureau et pas ailleurs.
En dehors du forum, j'ai une vie privée, je ne pourrais te répondre de suite. Soit patient.
#98452
Bonsoir

Merci Didier pour votre proposition d'aide. J'ai donc relancé un diagnostic en suivant la procédure indiquée avec point de restauration sur C (j'utilise mon disque D pour stockage de documents). J'ai eu depuis une MAJ windows 10 et maintenant, j'ai 19 fichiers suspects....

J'ai déposé le rapport sur Cjoint https://www.cjoint.com/c/IEjtvoIjfpn

Si nécessaire, dites moi de quoi vous auriez besoin pour savoir comment nettoyer ces fichiers indésirables.

Merci tout plein ;)
Nathalie
Avatar du membre
par did80
#99038
Image Nathalie


Lance Farbar

Image


Copies les lignes suivantes dans le cadre rouge
Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.
Corrige et heberge le rapport fixlog

@+ Didier

El Magnifico, :oops: j'ai recommencé l'o[…]

Re, Aucun AV n 'est efficace à 100%, cela […]

https://www.cjoint.com/c/IGwuraCkas3

Parfait Bonne soirée