ZONE ANTIMALWARE

Le forum de Nicolas Coolman a pour objectif de détecter et d'informer sur les nouvelles menaces malwares présentes sur le web. 

Vous avez des messages d'avertissement qui s'affichent, votre système est lent à démarrer, votre navigation est redirigée.
Ce sont peut-être les signes d'une infection. Vous avez fait une analyse de votre PC et vous ne savez pas analyser le rapport.
Dans cette section, vous pouvez désinfecter gratuitement votre ordinateur.
Des experts bénévoles vous assistent et vous conseillent tout le long de votre prise en charge.
Si vous sollicitez une aide dans ce forum, évitez de faire une demande similaire dans un autre site d'assistance.
 #98261  par Nathy78
 
Bonjour,
Sur conseil d'un contact informaticien, j'ai fait appel aux deux outils ZHP diag et ZHP Cleaner pour faire un checkup de mon PC acheté en décembre (équipé windows 10).
ZHP cleaner a trouvé deux fichiers aria-debug, visibles dans les données utilisateurs/appdata/local/temp. Impossible de les supprimer.
ZHP diag m'annonce 30 fichiers infectés dont voici le rapport
Code : Tout sélectionner
---\ ÉTAT DU CENTRE DE SÉCURITÉ WINDOWS (7) - 0s
[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified
[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\policies\system] EnableLUA: OK
[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN] CheckedValue: Modified

---\ TÂCHES PLANIFIÉES EN AUTOMATIQUE (Registre) (26) - 8s
O38 - TASK: {17BA4D35-9F72-41DC-8B3E-233A337F9009} [64Bits][\ASUS Hello] - (.SSD,ASUS Tek - .) -- C:\Program Files (x86)\ASUS\ASUS Hello\ASUSHelloBG.exe  [642448] 
C:\WINDOWS\System32\Tasks\ASUS Hello - (.SSD,ASUS Tek.) -- C:\Program Files (x86)\ASUS\ASUS Hello\ASUSHelloBG.exe  [] 

---\ FIREFOX, Plugins,Démarrage,Recherche,Extensions (30) - 3s
P2 - EXT FILE: (...) -- C:\Users\Nathy-AC\AppData\Roaming\Mozilla\Firefox\Profiles\58q9fc0q.default-1557062796146\extensions\hotfix-update-xpi-intermediate@mozilla.com.xpi
P2 - EXT FILE: (...) -- C:\Users\Nathy-AC\AppData\Roaming\Mozilla\Firefox\Profiles\58q9fc0q.default-1557062796146\extensions\{20a15a74-371f-5098-a362-bd127db4f8bc}.xpi
C:\Users\Nathy-AC\AppData\Roaming\Mozilla\Firefox\Profiles\58q9fc0q.default-1557062796146\browser-extension-data\{059cddf1-f66c-4b63-a79a-c35ac7e6ac65}

---\ RACCOURCIS GLOBAL STARTUP (74) - 5s
O4 - GS\CommonDesktop [Public]: Evernote.lnk . (...) C:\WINDOWS\Installer\{B47B6F80-6143-11E9-9F8E-005056951CAD}\Evernote.ico  
O4 - GS\ProgramsCommon [Public]: Evernote.lnk . (...) C:\WINDOWS\Installer\{B47B6F80-6143-11E9-9F8E-005056951CAD}\Evernote.ico  

---\ CLÉ DE REGISTRE EXPLORER StartupApproved (2) - 0s
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder]:ASUSCD64.cmd

---\ LOGICIELS INSTALLÉS (103) - 18s
O42 - Logiciel: Freizeitkarte_FRA (Ausgabe 18.09) - (..) [HKLM][64Bits] -- Freizeitkarte_FRA

---\ CLÉ DE REGISTRE SOFTWARE HKCU & HKLM (170) - 18s
HKLM\SOFTWARE\ELAN
HKLM\SOFTWARE\Screenovate
HKLM\SOFTWARE\WOW6432Node\Screaming Frog SEO Spider
[highlight=yellow]HKU\S-1-5-21-1093500070-1876523435-424729120-1001\SOFTWARE\67ab15dc-0a8b-5db2-8ebe-bd4994c956f6  =>Adware.CrossRider[/highlight]

---\ CONTENU DES DOSSIERS PROGRAMMES (227) - 4s
O43 - CFD: 27/01/2019 - [] D -- C:\Program Files (x86)\Code Postal
O43 - CFD: 06/05/2019 - [] D -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Communication
O43 - CFD: 19/03/2019 - [] RD -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Création GPS
O43 - CFD: 27/04/2019 - [] RD -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Internet & Web
O43 - CFD: 06/05/2019 - [] RD -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Medias
O43 - CFD: 06/05/2019 - [] RD -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Utilitaires
O43 - CFD: 07/12/2018 - [0] D -- C:\Users\Nathy-AC\AppData\Roaming\HeidiSQL
O43 - CFD: 11/02/2019 - [] D -- C:\Users\Nathy-AC\AppData\Roaming\Local by Flywheel
O43 - CFD: 21/04/2019 - [] D -- C:\Users\Nathy-AC\AppData\Roaming\OpenConcerto
O43 - CFD: 21/01/2019 - [] D -- C:\Users\Nathy-AC\AppData\Roaming\Poedit
O43 - CFD: 29/01/2019 - [] D -- C:\Users\Nathy-AC\AppData\Roaming\uk.co.screamingfrog.seospider.i.b
O43 - CFD: 10/02/2019 - [] D -- C:\Users\Nathy-AC\AppData\Local\local-by-flywheel-updater
O43 - CFD: 10/04/2019 - [] D -- C:\Users\Nathy-AC\AppData\Local\OneDrive
O43 - CFD: 21/04/2019 - [] D -- C:\Users\Nathy-AC\AppData\Local\OpenConcerto
O43 - CFD: 13/03/2019 - [] D -- C:\Users\Nathy-AC\AppData\Local\Suite
O43 - CFD: 11/02/2019 - [] D -- C:\Users\Nathy-AC\AppData\Local\Programs\local-by-flywheel
O43 - CFD: 05/05/2019 - [] AD -- C:\Users\Nathy-AC\OneDrive\Bureau\Anciennes données de Firefox

---\ LISTE DES EXCEPTIONS DU PAREFEU WINDOWS (44) - 3s
O87 - FAEL: 'UDP Query User{651DBCDA-A495-4575-B141-E81117F1A50B}C:\programmesutilisateur\uwamp\bin\database\mysql-5.7.11\bin\mysqld.exe' [In-None-P17-TRUE] .(...) -- C:\programmesutilisateur\uwamp\bin\database\mysql-5.7.11\bin\mysqld.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: 'TCP Query User{1E629DCF-A74F-44DD-BA96-1CE3D88AE1CC}C:\programmesutilisateur\uwamp\bin\database\mysql-5.7.11\bin\mysqld.exe' [In-None-P6-TRUE] .(...) -- C:\programmesutilisateur\uwamp\bin\database\mysql-5.7.11\bin\mysqld.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: 'UDP Query User{B9A93787-569E-47E8-8D37-67579F429E4F}C:\programmesutilisateur\uwamp\bin\apache\bin\httpd.exe' [In-None-P17-TRUE] .(...) -- C:\programmesutilisateur\uwamp\bin\apache\bin\httpd.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: 'TCP Query User{C80B609B-03A0-4B62-B8E2-4754D2B4DFD4}C:\programmesutilisateur\uwamp\bin\apache\bin\httpd.exe' [In-None-P6-TRUE] .(...) -- C:\programmesutilisateur\uwamp\bin\apache\bin\httpd.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: 'UDP Query User{C32D9A9C-ADB9-4B2B-80C5-DE57DFF5F46C}C:\programmesutilisateur\laragon\bin\memcached\memcached-1.4.5\memcached.exe' [In-None-P17-TRUE] .(...) -- C:\programmesutilisateur\laragon\bin\memcached\memcached-1.4.5\memcached.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: 'TCP Query User{AF398036-11D6-45A0-8D84-3752040A99DD}C:\programmesutilisateur\laragon\bin\memcached\memcached-1.4.5\memcached.exe' [In-None-P6-TRUE] .(...) -- C:\programmesutilisateur\laragon\bin\memcached\memcached-1.4.5\memcached.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: 'UDP Query User{AE3B50C4-A293-4820-9897-8EFA7C371802}C:\programmesutilisateur\laragon\bin\apache\httpd-2.4.35-win64-vc15\bin\httpd.exe' [In-None-P17-TRUE] .(...) -- C:\programmesutilisateur\laragon\bin\apache\httpd-2.4.35-win64-vc15\bin\httpd.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: 'TCP Query User{2FD23ED1-EB17-467B-8A93-D8EE1B4A82FF}C:\programmesutilisateur\laragon\bin\apache\httpd-2.4.35-win64-vc15\bin\httpd.exe' [In-None-P6-TRUE] .(...) -- C:\programmesutilisateur\laragon\bin\apache\httpd-2.4.35-win64-vc15\bin\httpd.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: 'UDP Query User{3BE1F19C-C885-4633-95CD-011216366B29}C:\programmesutilisateur\laragon\bin\mysql\mariadb-10.3.10-winx64\bin\mysqld.exe' [In-None-P17-TRUE] .(...) -- C:\programmesutilisateur\laragon\bin\mysql\mariadb-10.3.10-winx64\bin\mysqld.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: 'TCP Query User{51A8D50F-972D-4038-8D81-64CF8C2151E4}C:\programmesutilisateur\laragon\bin\mysql\mariadb-10.3.10-winx64\bin\mysqld.exe' [In-None-P6-TRUE] .(...) -- C:\programmesutilisateur\laragon\bin\mysql\mariadb-10.3.10-winx64\bin\mysqld.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: '{DF8EBB85-D106-4E8E-AC53-FFA724AE31C5}' [In-None-P17-TRUE] .(...) -- C:\Program Files\Microsoft Office\Office16\UcMapi.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: '{8D8F8989-9B8F-4338-A378-005FA2266848}' [In-None-P6-TRUE] .(...) -- C:\Program Files\Microsoft Office\Office16\UcMapi.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: '{245DA219-84C7-4E78-961F-D8A157883F38}' [In-None-P17-TRUE] .(...) -- C:\Program Files\Microsoft Office\Office16\lync.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: '{E009B421-4CEA-4C06-A7D0-69D0B8C96DA6}' [In-None-P6-TRUE] .(...) -- C:\Program Files\Microsoft Office\Office16\lync.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: '{311EA091-1EF7-401D-A985-3BA84EB7B909}' [In-None-P17-TRUE] .(...) -- C:\ProgrammesUtilisateur\CCUpdate.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: '{42981DCC-F120-414C-A0FA-A646EF39C262}' [In-None-P6-TRUE] .(...) -- C:\ProgrammesUtilisateur\CCUpdate.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: '{19CE610A-BE96-4CB0-B007-1DEC0C8DA060}' [In-None-P17-TRUE] .(...) -- C:\Program Files\CCleaner\CCUpdate.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: '{40AFBF22-A594-406E-9D83-CCBD568B776A}' [In-None-P6-TRUE] .(...) -- C:\Program Files\CCleaner\CCUpdate.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: 'UDP Query User{714A79B5-8BD3-4C00-8E9A-86DAE5D375D7}C:\programmesutilisateur\laragon\bin\mysql\mariadb-10.3.10-winx64\bin\mysqld.exe' [In-None-P17-TRUE] .(...) -- C:\programmesutilisateur\laragon\bin\mysql\mariadb-10.3.10-winx64\bin\mysqld.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: 'TCP Query User{C70FC769-A074-4FBA-B52E-DADBE0CC9348}C:\programmesutilisateur\laragon\bin\mysql\mariadb-10.3.10-winx64\bin\mysqld.exe' [In-None-P6-TRUE] .(...) -- C:\programmesutilisateur\laragon\bin\mysql\mariadb-10.3.10-winx64\bin\mysqld.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: 'UDP Query User{0F5BE52E-EFE6-448B-908D-88158E4C817C}C:\programmesutilisateur\laragon\bin\apache\httpd-2.4.35-win64-vc15\bin\httpd.exe' [In-None-P17-TRUE] .(...) -- C:\programmesutilisateur\laragon\bin\apache\httpd-2.4.35-win64-vc15\bin\httpd.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: 'TCP Query User{CA0B8F89-9D74-4C02-9AAA-61E70CF63ABA}C:\programmesutilisateur\laragon\bin\apache\httpd-2.4.35-win64-vc15\bin\httpd.exe' [In-None-P6-TRUE] .(...) -- C:\programmesutilisateur\laragon\bin\apache\httpd-2.4.35-win64-vc15\bin\httpd.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: '{9E0DC1E6-3FF5-4526-AA07-DBF76AEFC2CD}' [In-None-P6-TRUE] .(...) -- C:\ProgrammesUtilisateur\CCUpdate.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: '{25401A7F-5544-41A3-B243-5DE3A0341FDF}' [In-None-P17-TRUE] .(...) -- C:\ProgrammesUtilisateur\CCUpdate.exe (.not file.)  =>.SUP.Orphan
O87 - FAEL: '{35D81FBA-A035-4781-826A-E13DBD4B3CB0}' [In-None-P17-TRUE] .(...) -- C:\Users\Nathy-AC\AppData\Roaming\Zoom\bin\airhost.exe (.not file.)  =>.SUP.Orphan

---\ CODES PRODUITS LOGICIELS (50) - 1s
O90 - PUC: '32C3CBF34D3A9F74C907ABE0F1C068C4' [HKLM] . (.PDF-XChange Editor.) -- C:\WINDOWS\Installer\{3FBC3C23-A3D4-47F9-9C70-BA0E1F0C864C}\AppIco

---\ SCAN ADDITIONNEL (1) - 1s
HKCU\Software\undefined  =>.SUP.Downloader

---\ RÉCAPITULATIF DES ÉLÉMENTS TROUVÉS SUR VOTRE STATION (3) - 0s
[highlight=yellow]https://nicolascoolman.eu/2017/03/11/pup-optional-crossrider/  =>Adware.CrossRider[/highlight]
https://nicolascoolman.eu/2017/12/22/sup-downloader/  =>.SUP.Downloader
https://nicolascoolman.eu/2017/09/12/origine-lignes-orphelines/  =>.SUP.Orphan

~ Unselected Options:  O82,
~ End of the scan, 8845 items in 01mn43s (2014)(0)
Je n'ai laissé que les lignes signalant quelque chose. Mais je ne sais faire la différence entre les couleurs des lignes. J'ai surligné ce qui ressort en rouge dans le rapport ZHPDiag.

J'ai téléchargé les logiciels anti malvare recommandés et les ai lancé. Ils n'indiquent aucune contamination.

Que dois-je comprendre ? Infecté ou pas infecté mon PC ?

Merci infiniment pour votre soutien et surtout, pour ces outils si précieux.
A bientôt
Modifié en dernier par Nathy78 le 29 mai 2019, 12:23, modifié 1 fois.
 #98262  par did80
 
Bonjour,

Je m'appelle Didier et je vais tenter de résoudre votre problème.

Pourriez vous suivre les consignes du lien ci dessous. Prendre le temps de bien lire

>> Comment poster pour une désinfection <<

il est vivement conseillé de faire une sauvegarde des données avant de commencer la désinfection

je désinfecte gratuitement mais si vous souhaitez contribuer aux travaux de Nicolas

c'est Don Ici Merci


ce n'est pas une obligation

Fournir les rapports au format.txt

Je vais te prendre en charge, n'effectue que les procédures demandées
et ne télécharge rien d'autre pouvant fausser mon analyse.
Tous les logiciels demandés sur cette désinfection seront à télécharger sur ton bureau et pas ailleurs.
En dehors du forum, j'ai une vie privée, je ne pourrais te répondre de suite. Soit patient.
 #98452  par Nathy78
 
Bonsoir

Merci Didier pour votre proposition d'aide. J'ai donc relancé un diagnostic en suivant la procédure indiquée avec point de restauration sur C (j'utilise mon disque D pour stockage de documents). J'ai eu depuis une MAJ windows 10 et maintenant, j'ai 19 fichiers suspects....

J'ai déposé le rapport sur Cjoint https://www.cjoint.com/c/IEjtvoIjfpn

Si nécessaire, dites moi de quoi vous auriez besoin pour savoir comment nettoyer ces fichiers indésirables.

Merci tout plein ;)
Nathalie
 #98453  par did80
 
bonsoir Nathalie

dans l'attente de tes 4 rapports

zhpdiag

et les 3 liens farbar

didier
 #98989  par did80
 
Bonjour Nathalie

je vais regarder les liens farbar

pour zhpdiag tu as mis un zhpcleaner :)

Didier
 #99038  par did80
 
Image Nathalie


Lance Farbar

Image


Copies les lignes suivantes dans le cadre rouge
Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.
Corrige et heberge le rapport fixlog

@+ Didier
Sujets similaires Statistiques Dernier message
Je n'aurais sans doute pas dû cliquer
par fp2A  dans : Analyse de rapports et Désinfection.
5 Réponses
811 Vues
par El Magnifico
( résolu ) vérification
par LeChe  dans : Analyse de rapports et Désinfection.
3 Réponses
4218 Vues
par El Magnifico
( résolu ) vérification
par LeChe  dans : Analyse de rapports et Désinfection.
7 Réponses
5548 Vues
par ab_web
( résolu ) vérification
par LeChe  dans : Analyse de rapports et Désinfection.
2 Réponses
3106 Vues
par LeChe
( résolu ) superflus ?
par LeChe  dans : Analyse de rapports et Désinfection.
9 Réponses
5484 Vues
par LeChe