Nicolas Coolman

Bonjour,

Mon OS : WIN7-64
Mon Internet explorer : Mozilla Firefox V.54 - 32 bits (je ne comprends pas pourquoi la MAJ est passée en 32 bits, mais la question est en cours chez Mozilla).

Ce qui m'occupe pour l'heure est bien plus stressant et cette fois, je crois que j'ai un "big problem" !

Alors que je surfais sur des sites non dangereux (jardinage), AVAST m'a soudain averti qu'il avait bloqué une menace :
  - type : Win32:Evo-gen
  - processus : explorer.exe
  - agresseur : C:\Users\Ma session\AppData\Local\Temp\Temp1_Abbonnee15638445.zip\Abbonnee15638445.exe

Rapport de AVAST :


Evidemment, le programme Abbonnee15638445.exe avait disparu lorsque j'ai été consulter le répertoire dans lequel il se trouvait. Probablement dû à l'intervention d'AVAST.

Par contre, j'ai constaté dans le dossier C:\Users\Ma session\AppData\Local\Temp qu'il y avait une multitude de dossiers (71 au total) qui avaient été "créés" quelques minutes avant le déclenchement de cette alarme. Leur nom commencent par "Temp", suivi d'un "numéro", puis d'un "underscore" ( _ ), puis d'un "titre", puis d'un ".ZIP"
Exemples :
Temp1_Backup files 1.ZIP
Temp2_DXO Optics Pro V8 logs.ZIP
...
...
Temp22_AllMLR.ZIP

Voici ce que cela donne (petite partie du dossier TEMP) : sorry, les caractère sont fort petits, mais avec mon explication ci-dessus, on parvient à déchiffrer les premiers caractères "Temp + n° + _ + ... + .ZIP"



En premier réflexe, j'ai créé un dossier sur mon 'bureau' avec un nom autre que TEMP et j'ai transféré tous ces dossier "bizarres" vers ce nouveau répertoire afin de pouvoir vérifier plus tard si les données copiées dans ces dossiers bizarres n'avaient pas été effacées de leur adresse initiale. J'ai ensuite procédé à un nettoyage de disque via Ordinateur\Disque C:\Propriétés, ce qui a effacé plein de fichier temporaires.

Et j'ai repris mes consultations Internet afin de trouver des explications sur cet agresseur (virus potentiel) qui semblait avoir infecté mon ordinateur.
Lorsque, à nouveau, AVAST se manifeste pour m'informer de la même menace !
Et, rebelotte, à nouveau un paquet de dossiers Tempxx_nom.ZIP avaient été créés (378, cette fois !!!) dans le dossier C:\Users\Ma session\AppData\Local\Temp\

Parmi ceux-ci, deux dossiers portant des noms différents pour l'hébergement du potentiel virus : Temp1_Abbonnee15638445.zip et Temp2_Abbonnee15638445.zip.

Là, c'est la panique ! Que se passe-t-il ? Nul doute que mon ordi (en réseau avec un autre) a dû être infecté. Mais par quoi ???

Que faire maintenant ? J'ai tellement de fichier, dossiers et programmes particuliers qu'une réinstallation est impensable.

Merci de tout coeur pour votre intérêt à mon problème et pour votre aide.

PS : Alors que j'essayais d'héberger des photos sur l'hébergeur SERVIMG pour illustrer ce problème, AVAST s'est à nouveau manifesté et me donne le message suivant :
http://siteteam-234239296.bid/?h=MjM%3D
Infection : JS:FakeAlert-J [Trj]
Processus : C:/Program Files (x86)\Mozilla Firefox\firefox.exe

Je vous envoie donc ce message et je ne bouge plus !

salut  papyrazzi

Je m'appelle Didier et je vais tenter de résoudre votre problème.
Pourriez vous suivre les consignes du lien ci dessous.

>> avant poster pour une désinfection <<

il est vivement conseillé de faire une sauvegarde des données avant de commencer la désinfection

je désinfecte gratuitement mais si vous souhaitez contribuer aux travaux de Nicolas

c'est Don Ici Merci

Bonsoir Didier
Merci pour cette réponse rapide.
Je ferai un don sans hésiter, mais seulement dès que je serai certain que mes données de sites sensibles ne pourront être détournées (banques, Avast, Visa, etc...). J'ai bien trop peur d'aller sur ce type de sites pour l'instant.

Je copie généralement mes données sur un disque externe. Mais ne risque-t-il pas d'être également infecté ?

J'ai oublié de relater que, depuis hier, mon ordi effectue un travail de recherche (toujours en cours !) de tous les fichiers .ppininfocache que je voudrais effacer. C'est lent, mais j'ai plusieurs disques annexés à mon système.
Ces fichiers sont des index créés par le programme PaperPort de NUANCE (programme bureautique). Je ne pense pas que cela ait un lien de cause à effet avec le problème qui nous préoccupe, mais je tenais à le signaler.

pour répondre a tes questions

si tu as un détournement dns le but est de récupérer et revendre des données

le disque externe peut être aussi infecté

si tu acceptes la prise en charge je suis dans l'attente de tes rapports

@+

Euh... quels rapports ?

a lire et a faire

>> avant poster pour une desinfection <<

@+

J'ai trouvé !

CKScanner 2.5 s'exécute. Enfin... jecrois : Dans la barre bleue de la fenêtre, il est noté (Ne répond pas). Par contre, quand je mets la flèche de la souris dans la fenêtre, le sablier fonctionne. Je laisse donc faire.
Hélas, ma machine est devenue bien lente avec le temps. Dès que j'ai le rapport, j'expédie et je lance Winchk_2.0.exe pour ensuite passer à ZHPDiag3.exe

Je sens que ma nuit sera bien longue et monotone.

C'est fini (déjà !) pour CKScanner.
Voici le rapport :
CKScanner 2.5 - Additional Security Risks - These are not necessarily bad
scanner sequence 3.MN.11.QHAPQZ
----- EOF -----

J'ai stoppé la recherche en cours des fichiers .ppinfocache pour libérer de la mémoire et espérer, ainsi, une plus grande célérité de la machine.

Winchk est en cours depuis l'envoi du rapport de CKScanner

Voila, on y est !
Rapport de Winchk_2.0 :

Rapport WinChk v2.0 - 10/08/2017 à 20:12
Mis à jour le 08/07/11 à 16h par Xplode
Système d'exploitation : Windows 7 Home Premium (64 bits) [version 6.1.7601]
Nom d'utilisateur : Se7en - SE7EN-PC (Administrateur)
Exécuté depuis : C:\Users\Se7en\Desktop\Téléchargements\winchk_2.0.exe

¤¤¤¤¤ Information | Licence ¤¤¤¤¤

¤ Etat de la licence :

Nom : Windows(R) 7, HomePremium edition
Description : Windows Operating System - Windows(R) 7, OEM_COA_NSLP channel
Clé de produit partielle : 3MFVT
État de la licence : avec licence

¤ Etat de l'activation :

Windows(R) 7, HomePremium edition:
L'ordinateur est définitivement activé.



¤¤¤¤¤ Recherche | Loader ¤¤¤¤¤

... OK !

¤¤¤¤¤ Recherche | Emulation SLIC ¤¤¤¤¤

... OK !

¤¤¤¤¤ Recherche | KMS ¤¤¤¤¤

... OK !

¤¤¤¤¤ Recherche | Fichiers suspect ¤¤¤¤¤

... OK !

¤¤¤¤¤ Vérification | Fichiers système ¤¤¤¤¤

... OK !

¤¤¤¤¤ Vérification | User32.dll.mui ¤¤¤¤¤

¤ Fichier : C:\Windows\system32\fr-FR\user32.dll.mui
¤ Taille : 20480 bytes
¤ Version : 6.1.7601.17514
¤ Date de création : 20/11/2010 - 14:00
¤ Date de dernière modification : 20/11/2010 - 14:00
¤ MD5 : 129F80D7868E30DF3E3DE33A1D3132B4

Vérification de l'intégrité du fichier ...

Offset String
----------------------------------------------------------

7714 %wsWindows %ws

7820 des fins de test uniquement.

8898 Mode test"Licence Windows valide pour %d %ws3La p

8856 est pas authentique.


Checksum OK ... Le fichier est intègre.

¤¤¤¤¤ Vérification | Protection Logicielle ¤¤¤¤¤

¤ Nom du service : SppSvc ( Protection Logicielle )
¤ Statut : Automatique
¤ Etat : Démarré

¤ Fichier : C:\Windows\system32\sppcomapi.dll
¤ ACLs : OK

¤¤¤¤¤ Vérification | Fichier Hosts ¤¤¤¤¤

... OK !

¤¤¤¤¤ Vérification | Windows Update ¤¤¤¤¤

¤ Paramètres : Les mises à jour automatiques sont activées, mais ne sont pas installées automatiquement.

¤ Dernière mise à jour détectée le 2017-08-10 à 00:08:39
¤ Dernière mise à jour téléchargée le 2017-08-09 à 06:18:26
¤ Dernière mise à jour installée le 2017-07-19 à 11:02:48

¤ Mise à jour KB971033 : Installée

########## EOF - "C:\WinChk.txt" - [2307 octets] ##########