ZONE ANTIMALWARE

Le forum de Nicolas Coolman a pour objectif de détecter et d'informer sur les nouvelles menaces malwares présentes sur le web. 

Vous avez des messages d'avertissement qui s'affichent, votre système est lent à démarrer, votre navigation est redirigée.
Ce sont peut-être les signes d'une infection. Vous avez fait une analyse de votre PC et vous ne savez pas analyser le rapport.
Dans cette section, vous pouvez désinfecter gratuitement votre ordinateur.
Des experts bénévoles vous assistent et vous conseillent tout le long de votre prise en charge.
Si vous sollicitez une aide dans ce forum, évitez de faire une demande similaire dans un autre site d'assistance.
 #57333  par papyrazzi
 
Bonjour,

Mon OS : WIN7-64
Mon Internet explorer : Mozilla Firefox V.54 - 32 bits (je ne comprends pas pourquoi la MAJ est passée en 32 bits, mais la question est en cours chez Mozilla).

Ce qui m'occupe pour l'heure est bien plus stressant et cette fois, je crois que j'ai un "big problem" !

Alors que je surfais sur des sites non dangereux (jardinage), AVAST m'a soudain averti qu'il avait bloqué une menace :
  - type : Win32:Evo-gen
  - processus : explorer.exe
  - agresseur : C:\Users\Ma session\AppData\Local\Temp\Temp1_Abbonnee15638445.zip\Abbonnee15638445.exe

Rapport de AVAST :
Image

Evidemment, le programme Abbonnee15638445.exe avait disparu lorsque j'ai été consulter le répertoire dans lequel il se trouvait. Probablement dû à l'intervention d'AVAST.

Par contre, j'ai constaté dans le dossier C:\Users\Ma session\AppData\Local\Temp qu'il y avait une multitude de dossiers (71 au total) qui avaient été "créés" quelques minutes avant le déclenchement de cette alarme. Leur nom commencent par "Temp", suivi d'un "numéro", puis d'un "underscore" ( _ ), puis d'un "titre", puis d'un ".ZIP"
Exemples :
Temp1_Backup files 1.ZIP
Temp2_DXO Optics Pro V8 logs.ZIP
...
...
Temp22_AllMLR.ZIP

Voici ce que cela donne (petite partie du dossier TEMP) : sorry, les caractère sont fort petits, mais avec mon explication ci-dessus, on parvient à déchiffrer les premiers caractères "Temp + n° + _ + ... + .ZIP"
Image


En premier réflexe, j'ai créé un dossier sur mon 'bureau' avec un nom autre que TEMP et j'ai transféré tous ces dossier "bizarres" vers ce nouveau répertoire afin de pouvoir vérifier plus tard si les données copiées dans ces dossiers bizarres n'avaient pas été effacées de leur adresse initiale. J'ai ensuite procédé à un nettoyage de disque via Ordinateur\Disque C:\Propriétés, ce qui a effacé plein de fichier temporaires.

Et j'ai repris mes consultations Internet afin de trouver des explications sur cet agresseur (virus potentiel) qui semblait avoir infecté mon ordinateur.
Lorsque, à nouveau, AVAST se manifeste pour m'informer de la même menace !
Et, rebelotte, à nouveau un paquet de dossiers Tempxx_nom.ZIP avaient été créés (378, cette fois !!!) dans le dossier C:\Users\Ma session\AppData\Local\Temp\

Parmi ceux-ci, deux dossiers portant des noms différents pour l'hébergement du potentiel virus : Temp1_Abbonnee15638445.zip et Temp2_Abbonnee15638445.zip.

Là, c'est la panique ! Que se passe-t-il ? Nul doute que mon ordi (en réseau avec un autre) a dû être infecté. Mais par quoi ???

Que faire maintenant ? J'ai tellement de fichier, dossiers et programmes particuliers qu'une réinstallation est impensable.


Merci de tout coeur pour votre intérêt à mon problème et pour votre aide.

PS : Alors que j'essayais d'héberger des photos sur l'hébergeur SERVIMG pour illustrer ce problème, AVAST s'est à nouveau manifesté et me donne le message suivant :
http://siteteam-234239296.bid/?h=MjM%3D
Infection : JS:FakeAlert-J [Trj]
Processus : C:/Program Files (x86)\Mozilla Firefox\firefox.exe

Je vous envoie donc ce message et je ne bouge plus !
Modifié en dernier par papyrazzi le 14 août 2017, 14:22, modifié 1 fois.
 #57336  par did80
 
salut  papyrazzi

Je m'appelle Didier et je vais tenter de résoudre votre problème.
Pourriez vous suivre les consignes du lien ci dessous.

>> avant poster pour une désinfection <<

il est vivement conseillé de faire une sauvegarde des données avant de commencer la désinfection

je désinfecte gratuitement mais si vous souhaitez contribuer aux travaux de Nicolas

c'est Don Ici Merci
 #57338  par papyrazzi
 
Bonsoir Didier
Merci pour cette réponse rapide.
Je ferai un don sans hésiter, mais seulement dès que je serai certain que mes données de sites sensibles ne pourront être détournées (banques, Avast, Visa, etc...). J'ai bien trop peur d'aller sur ce type de sites pour l'instant.

Je copie généralement mes données sur un disque externe. Mais ne risque-t-il pas d'être également infecté ?

J'ai oublié de relater que, depuis hier, mon ordi effectue un travail de recherche (toujours en cours !) de tous les fichiers .ppininfocache que je voudrais effacer. C'est lent, mais j'ai plusieurs disques annexés à mon système.
Ces fichiers sont des index créés par le programme PaperPort de NUANCE (programme bureautique). Je ne pense pas que cela ait un lien de cause à effet avec le problème qui nous préoccupe, mais je tenais à le signaler.
 #57340  par did80
 
pour répondre a tes questions

si tu as un détournement dns le but est de récupérer et revendre des données

le disque externe peut être aussi infecté

si tu acceptes la prise en charge je suis dans l'attente de tes rapports

@+
 #57345  par papyrazzi
 
J'ai trouvé !

CKScanner 2.5 s'exécute. Enfin... jecrois : Dans la barre bleue de la fenêtre, il est noté (Ne répond pas). Par contre, quand je mets la flèche de la souris dans la fenêtre, le sablier fonctionne. Je laisse donc faire.
Hélas, ma machine est devenue bien lente avec le temps. Dès que j'ai le rapport, j'expédie et je lance Winchk_2.0.exe pour ensuite passer à ZHPDiag3.exe

Je sens que ma nuit sera bien longue et monotone.
 #57350  par papyrazzi
 
Voila, on y est !
Rapport de Winchk_2.0 :

Rapport WinChk v2.0 - 10/08/2017 à 20:12
Mis à jour le 08/07/11 à 16h par Xplode
Système d'exploitation : Windows 7 Home Premium (64 bits) [version 6.1.7601]
Nom d'utilisateur : Se7en - SE7EN-PC (Administrateur)
Exécuté depuis : C:\Users\Se7en\Desktop\Téléchargements\winchk_2.0.exe

¤¤¤¤¤ Information | Licence ¤¤¤¤¤

¤ Etat de la licence :

Nom : Windows(R) 7, HomePremium edition
Description : Windows Operating System - Windows(R) 7, OEM_COA_NSLP channel
Clé de produit partielle : 3MFVT
État de la licence : avec licence

¤ Etat de l'activation :

Windows(R) 7, HomePremium edition:
L'ordinateur est définitivement activé.



¤¤¤¤¤ Recherche | Loader ¤¤¤¤¤

... OK !

¤¤¤¤¤ Recherche | Emulation SLIC ¤¤¤¤¤

... OK !

¤¤¤¤¤ Recherche | KMS ¤¤¤¤¤

... OK !

¤¤¤¤¤ Recherche | Fichiers suspect ¤¤¤¤¤

... OK !

¤¤¤¤¤ Vérification | Fichiers système ¤¤¤¤¤

... OK !

¤¤¤¤¤ Vérification | User32.dll.mui ¤¤¤¤¤

¤ Fichier : C:\Windows\system32\fr-FR\user32.dll.mui
¤ Taille : 20480 bytes
¤ Version : 6.1.7601.17514
¤ Date de création : 20/11/2010 - 14:00
¤ Date de dernière modification : 20/11/2010 - 14:00
¤ MD5 : 129F80D7868E30DF3E3DE33A1D3132B4

Vérification de l'intégrité du fichier ...

Offset String
----------------------------------------------------------

7714 %wsWindows %ws

7820 des fins de test uniquement.

8898 Mode test"Licence Windows valide pour %d %ws3La p

8856 est pas authentique.


Checksum OK ... Le fichier est intègre.

¤¤¤¤¤ Vérification | Protection Logicielle ¤¤¤¤¤

¤ Nom du service : SppSvc ( Protection Logicielle )
¤ Statut : Automatique
¤ Etat : Démarré

¤ Fichier : C:\Windows\system32\sppcomapi.dll
¤ ACLs : OK

¤¤¤¤¤ Vérification | Fichier Hosts ¤¤¤¤¤

... OK !

¤¤¤¤¤ Vérification | Windows Update ¤¤¤¤¤

¤ Paramètres : Les mises à jour automatiques sont activées, mais ne sont pas installées automatiquement.

¤ Dernière mise à jour détectée le 2017-08-10 à 00:08:39
¤ Dernière mise à jour téléchargée le 2017-08-09 à 06:18:26
¤ Dernière mise à jour installée le 2017-07-19 à 11:02:48

¤ Mise à jour KB971033 : Installée

########## EOF - "C:\WinChk.txt" - [2307 octets] ##########
Sujets similaires Statistiques Dernier message
Bugs ipod, création et upload sites Web, pc: un gros bazar
par AOLCreeks  dans : Analyse de rapports et Désinfection.
2 Réponses
2162 Vues
par g3n-h@ckm@n
Multiples écrans bleus
par Frouk  dans : Analyse de rapports et Désinfection.
46 Réponses
17778 Vues
par El Magnifico
Multiples avis de sécurité IBM du 28 février 2024.
par NicolasCoolman  dans : Les nouvelles
1 Réponses
51 Vues
par NicolasCoolman
Avis de sécurité de SolarWinds de multiples failles critiques.
par NicolasCoolman  dans : Les nouvelles
0 Réponses
109 Vues
par NicolasCoolman
Découverte de multiples vulnérabilités dans les produits Trend Micro
par NicolasCoolman  dans : Les nouvelles
0 Réponses
1632 Vues
par NicolasCoolman