Identification
Pas encore inscrit ? Cliquez-ici
Bug, pannes et Cie... Les bonnes résolutions informatiques 2018 :
  • Je vais bien, tout va bien : aucun soucis, que cela continue !
      82%
  • Plug and pray : qu'il y ait toujours quelqu'un pour m'aider sur SOSOrdi.net !
      5%
  • Technologic : des produits connectés pour me facilier la vie sans trop réfléchir !
      2%
  • Analyse, configuration, éradication : la technologie, oui, mais avec parcimonie et bienveillance !
      7%
  • Ne sait pas / Pas d'opinion : C'quoi les produits connectés ?!
      4%
Voir les derniers sondages

Infection probable

Bonjour,

Depuis ce matin j'ai un popup windows dans le coin inférieur droit de mon écran, qui sent bien bon le scam de base.

J'ai fait des scans avec adwcleaner et zhpcleaner, qui n'ont strictement rien trouvé.

Je précise que ça s'ouvre apparemment quand chrome est ouvert. Un clic sur "validate" m'ouvre une sorte de petite fenêtre superposée à mon onglet chrome. Le truc est sans conséquence, il ne se passe rien que je le ferme ou que je le clique, mais bon j'aimerais assez trouver d'où ça vient et l'éliminer, sinon c'est la porte ouverte à toutes les fenêtres...

Merci aux helpers qui viendront m'aider :)

Liens des captures écran:
popup windows
tab popup 1
tab popup 2

(W7/64 all up to date)
fermer avec la note: Modération - Clôture question 19/02/2018
posté le 12 Fév dans la catégorie Sécurité / Virus par Fredator
fermé depuis 1 jour par LEELOO74

21 Réponses

Bonjour Fredator,

As-tu regarde dans le gestionnaire de tâches si tu avais des infos à ce sujet là ?
répondu le 13 Fév par bird
Bonsoir Bird,

oui bien sûr j'ai regardé, aucun processus suspect à vue de nez.
Je soupçonne une extension pour facebook dans chrome (genre 'Super Viewer for Facebook'), je suis en plein essais en les désactivant une par une...

A part ça je n'ai trouvé une clef de registre bien pleine dans
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing
Le terme "tracing" ne me plait guère et cette clef est pleine de valeurs. Hélas je n'ai pas les compétences pour les analyser.

capture

ceci dit ce n'est qu'un intuition, aucun scan n'a relevé quoi que ce soit dans le registre... Donc je continue mes recherches.

Merci et bonne soirée Bird
répondu le 13 Fév par Fredator
Dans Chrome il n'y aurais pas un module à désactiver ?

Regarde un peu ce lien =>https://support.microsoft.com/fr-fr/help/4027592/microsoft-account-how-to-opt-out-of-microsoft-rewards
répondu le 13 Fév par bird
Mais ne suis pas inscrit à Microsoft rewards ^^

du reste j'ai un peu fouiné:
-Déja l'annonce 1 sur le 1er popup (voir 1er message) est moitié en anglais, moitié en français: "Microsoft Reward Programme"...
-Ensuite il n'existe aucun reward microsoft qui distribue de l'argent réel ou virtuel (même en bitcoin)
-Enfin le truc demande un virement de 0.01 bitcoin (720€) pour valider un gain de 10 BTC (soit 72.000€), arf. Je sais bien que plus c'est gros plus ça marche mais quand même... ;)

Non il y a bien quelque chose qui lance ce popup, et plus ça va plus je suspecte le "Super Viewer for Facebook", qui été updaté très récemment et qui depuis demande des autorisations délirantes comme:
'accéder à toutes les données que vous consultez sur les sites web et les modifier'... :-O
'afficher les notifications'...
Il est actuellement désactivé et je l'ai plus eu ces popups pour l'instant (ce soir)
J'attends un peu avant de crier victoire

Par contre si c'est ça je m'étonne que ce ne soit détecté par rien (adwcleaner, zhpcleaner, malewarebytes, ou même eset Nod 32 ou Hitman pro)

Good night Bird
répondu le 14 Fév par Fredator
Bonjour Fredator

Avant de faire quoi que soit nous allons établir un diagnostic de ton pc pour rechercher d'éventuelles traces d'infection

Scan ZHPDiag

Le rapport de ZHPDiag doit être posté en lien, il est trop long pour tenir dans une réponse.
t-l-charger-4b0f2dd.jpg ZHPDiag (de Nicolas coolman)
  • Il ne nécessite aucune installation.
  • Pour XP lance ZHPDiag en double cliquant sur son icône présente sur le bureau zhpdiag3-4bd49a6.jpg
  • Pour Vista Windows 7/8 et Windows 10 clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
  • Accepte la licence
  • Clique sur Scanner
    zhpdiag2015-4bd4875.jpg
  • Laisse le scan se dérouler. ac
  • Le scan terminé le rapport sera automatiquement sauvegardé sur le bureau sous ce nom ZHPDiag.txt
  • Sinon le rapport se trouvera aussi ici ==> c:\ZHP\ZHPDiag.txt

Pour poster le rapport en lien dans ta réponse utilise cet hébergeur de fichiers : http://www.cjoint.com/
  • Clique sur Parcourir et va jusqu'au rapport qui a été sauvegardé, clic gauche dessus puis clique sur Ouvrir

    cjoint_1_gf-4b87b55.jpg

    Clique sur cjoint_2-4b7b051.jpg
  • Une fois l'upload fini un lien apparaît clic droit dessus choisis Copier l'adresse du lien
    cjoint_3-4bd4a2d.jpg
  • Colle le lien dans ta prochaine réponse.
répondu depuis 6 jours par Geronimo
Bonjour Géronimo
et merci de m'accorder un peu de votre temps

voici le log: LOG

bonne journée à vous
répondu depuis 6 jours par Fredator
Il n'y a pas de races d'infection dans le rapport posté, je te fais passer un autre scan :

Paramètre Chrome pour avoir le choix du lieu d'enregistrement d'un fichier.
  • Clique sur le menu Google Chrome snp_2696434_en_v1-3977e85.png dans la barre d'outils du navigateur
  • Clique ensuite sur Paramètres ==> Afficher les paramètres avancés puis au paragraphe Téléchargements
  • Coche la case devant Toujours demander où enregistrer les fichiers

Correctif à appliquer

Avertissement : Ces instructions ne concernent que cet ordinateur. Elles ne doivent pas être appliquées sur un autre sous peine de l'endommager
Le temps de téléchargement du script a été volontairement limité à 4 jours passé ce délai il ne sera plus disponible
  • Clique sur ce lien https://www.cjoint.com/data3/HBoqKEwZUgY_fixlist.txt
  • Sur la page qui s'ouvre clic droit et Tout sélectionner, refais un clic droit et Copier ou utilise les séquences de touche Ctrl V et Ctrl C
  • Ferme toutes les applications, y compris ton navigateur
  • Relance FRST64
  • Pour Vista, Windows 7/8 et 10 clic droit sur FRST64.exe choisis Exécuter en tant qu'administrateur pour le lancer
  • clique une seule fois sur Corriger et patiente le temps de la correction
  • Ce n'est pas la peine de coller FRST se sers du presse papier pour utiliser le script
  • L'outil va créer un rapport de correction Fixlog.txt
  • Poste ce rapport en lien dans ta prochaine réponse.

Quels sont les problèmes encore rencontrés avec ce pc après le passage du correctif ?
répondu depuis 6 jours par Geronimo
ok merci, Geronimo.
Apparemment il manque une partie du texte mais j'ai compris le principe. Je fais ça un peu plus tard dès que j'ai trouvé la bonne version de FRST64
répondu depuis 6 jours par Fredator
Tu as Windows 7 Ultimate, 64-bit c'est la bonne version de FRST, désactive provisoirement ton antivirus avant de recommencer le scan.

Je te remets la procédure :

FRST64 Scan

Télécharge Farbar Recovery Scan Tool sur le bureau et pas ailleurs
  • Clic droit sur FRST64.exe choisis Exécuter en tant qu'administrateur pour le lancer
  • Laisse les cases cochées par défaut
    frst_gf-4c6790f.jpg
  • Clique sur le bouton Analyser
  • Un rapport FRST.txt va être crée sur ton bureau.
  • Poste le contenu de FRST.txt et celui de addition.txt en lien en utilisant cet hébergeur de fichiers http://www.cjoint.com/

Note : Tu as deux rapports à me faire parvenir.

Note : surtout n'applique pas le correctif qui dans ma précédente réponse il n'est pas prévu pour ton pc il y a eu un mélange de réponses vec un autre forum.
répondu depuis 6 jours par Geronimo
Bon, j'ai bien fait de ne pas me précipiter on dirait ;)

voici les fichiers demandés:

FRST.txt

Addition.txt

merci
répondu depuis 6 jours par Fredator
Bonjour Fredator

Tu as posté deux fois le rapport de FRST, il manque celui de Addition.
Il faut recommencer le scan.
répondu depuis 5 jours par Geronimo
oups désolé je devais être un peu fatigué, le voilà je l'avais conservé:
Addition.txt
répondu depuis 5 jours par Fredator
 
Solution
Bonjour Fredator

Procédure à suivre :

Nettoyage de la zone d'intrusion

Clic droit sur Deldomains choisis dans liste Enregistrer la clible sous...
  • Choisis le bureau comme lieu d'enregistrement
  • A la ligne Type choisis Tous les fichiers
  • Clique sur Enregistrer
  • Ferme ton navigateur
  • Désactive tous les logiciels de protection (Antivirus, antispyware et antimalwre)
  • Fais un clic droit sur DelDomains.inf
  • Choisis Installer dans la liste.
  • Cela va très vite tu ne verra rien et il n'y a pas de rapport à poster

Correctif à appliquer

Avertissement : Ces instructions ne concernent que cet ordinateur. Elles ne doivent pas être appliquées sur un autre sous peine de l'endommager
Le temps de téléchargement du script a été volontairement limité à 4 jours passé ce délai il ne sera plus disponible
  • Clique sur ce lien https://www.cjoint.com/data3/HBpt1CzW7s6_fixlist.txt
  • Sur la page qui s'ouvre clic droit et Tout sélectionner, refais un clic droit et Copier ou utilise les séquences de touche Ctrl V et Ctrl C
  • Ferme toutes les applications, y compris ton navigateur
  • Relance FRST64
  • Pour Vista, Windows 7/8 et 10 clic droit sur FRST64.exe choisis Exécuter en tant qu'administrateur pour le lancer
  • clique une seule fois sur Corriger et patiente le temps de la correction
  • Ce n'est pas la peine de coller FRST se sers du presse papier pour utiliser le script
  • L'outil va créer un rapport de correction Fixlog.txt
  • Poste ce rapport en lien dans ta prochaine réponse.

Quels sont les problèmes encore rencontrés avec ce pc après le passage du correctif ?
répondu depuis 5 jours par Geronimo
élue depuis 2 jours par Fredator
Salut Geronimo,

j'ai fait ce que tu me demandais, et voici le LOG

je vois qu'il va déja falloir que je restaure mon beau fichier hosts moulé à la louche que ça m'a remis à zéro pour une raison inconnue, (vu que mettre des domaines en 127.0.0.1 c'est tout le contraire d'un risque), mais bon j'ai un backup donc ça va.

Sinon tu peux m'expliquer en gros les services supprimés (surtout des éléments iinutiles non? traces d'anciennes installs?), et ça:
KLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{684EF6E5-9839-434A-8C4E-68EF95D824DC} => impossible à supprimer clé. ErrorCode1: 0x00000001

Merci encore


PS: Une autre question svp: ce popup n'est pas réapparu pour le moment, et tout à l'air de fonctionner normalement y compris après ce nettoyage. Est-ce que j'essaye de réactiver l'extension que je suspectais au départ, histoire de voir. Si ça revient direct alors il y aurait une bonne chance que ça vienne de là, non?
répondu depuis 5 jours par Fredator
modifié depuis 5 jours par Fredator
Bonjour Fredator

As tu tenté de supprimer cette clé :
Citation:
KLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{684EF6E5-9839-434A-8C4E-68EF95D824DC}
Citation:
Est-ce que j'essaye de réactiver l'extension que je suspectais au départ, histoire de voir

Réactive la si c'est elle la coupable supprime la séance tenante
répondu depuis 4 jours par Geronimo
Salut Gero,

Concernant la clef, malgré le message d'erreur elle a disparu.

bon je remets l'extension, on va bien voir O:) Je vous tiens au courant.

Merci à toi et Bird, et bon weekend
répondu depuis 4 jours par Fredator
Bonjour Fredator

Quelles sont les nouvelles du front depuis hier ?
répondu depuis 3 jours par Geronimo
Bonjour Gero,

J'ai attendu un peu avant de répondre. Extension réactivée depuis 24h, il ne s'est plus rien passé :)
Tu as une idée de ce que ça pouvait être?
Merci

)je passerai le sujet en résolu demain ou après ta réponse)

bon dimanche
répondu depuis 3 jours par Fredator
Bonjour Fredator

Ce pc était infecté Chrome aussi voilà la source de tes problèmes.

Il ne te reste plus qu'à procéder au nettoyage des outils téléchargés pour désinfecter ton pc, suivre ensuite les consignes de sécurité et de passer en résolu ton sujet comme indiqué en fin de ma réponse

Suppression des outils téléchargés.

Ces outils sont mis à jour plusieurs fois par semaine voire par jour pour certains et très vites obsolètes d’où l'importance de les supprimer du PC et de télécharger la dernière mouture lors d'une désinfection.

Delfix purge
  • Télécharge Delfix (d'Xplode) sur ton bureau.
  • Coche Supprimer les outils de désinfection
  • Coche Purger la restauration système
    delfix_gf-437e45c.jpg
  • Clique sur Exécuter

Je te donne quelques consignes de sécurité :
  • Window parfaitement à jour.
  • Antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut).
  • Une attitude prudente vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scannés avant d'être ouverts)
  • Évite aussi les téléchargements sur 01net, SourceForge, BrotherSoft ou Softonic ces sites sont connus pour repacker certains logiciels.
  • Une attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système)
  • Scan hebdomadaire avec un anti-malware.

Lecture recommandée

Valide la répone qui t'a le plus aidé en suivant les instructions de ce lien.
répondu depuis 2 jours par Geronimo
Salut Gero,

Bon c'est fait, restauration purgée et nouveau point créé
Merci beaucoup pour ton aide :)

(Je ne trouve pas comment passer la question en résolue, il manque le lien dans ton message)

Bon dimanche, et grand merci, chef! :)
répondu depuis 2 jours par Fredator
modifié depuis 2 jours par Fredator
[Modération]

:hello:

"Je ne trouve pas comment passer la question en résolue, il manque le lien dans ton message" >>> http://blog.sosordi.net/2014/03/nouvel-sosordi-mais-comment-valider.html (il te suffit de cliquer sur la "coche" gauche d'une des solutions proposées qui a le mieux solutionné ton problème, Fredator ;-)

Petit rappel pour pour Géronimo dont nous saluons l'aide précieuse ainsi que l'ensemble des dépanneurs :

- Merci de pas abuser de liens publicitaires vers d'autres sites à outrance ("lecture recommandée") sauf dans le cadre d'une proposition de solution(s) à une question de dépannage exposée. Les contenus "relatifs" ou "annexes" sont là pour ça. Ici on dépanne en servant l'utilisateur. Pas de promotions superflues ou en "cascade" avec des listings de liens pointant vers d'autres sites ;

- C'est avec grand plaisir, comme déjà proposé également, que nous accueillons tout type de contenu côté blog pouvant orienter ou guider l'utilisateur. Vous pouvez nous les proposer via le formulaire de contact, aucun soucis ;

- Enfin, merci de veiller à mettre le plus possible des liens explicites (à la place de "ce lien", il serait judicieux d'y mettre, par exemple, "valider une réponse" ou, tout simplement, l'url "brute", peu importe).

Tout le monde aide du mieux qu'il peut et bénévolement. Un grand merci encore à toute et tous. Merci, toutefois, de le faire selon les recommandations évoquées, entre-autres, ci-dessus. Bonne fin d'après-midi :-) !

L'équipe SOSOrdi.net [/modération]
répondu depuis 2 jours par LEELOO74
modifié depuis 2 jours par LEELOO74

Actualités / Articles / Astuces associés :

Questions associées:

1 réponse 39 vues
posté le 12 Jan 2017 dans la catégorie Multimédia par GBM
1 réponse 336 vues
posté le 3 Jan 2016 dans la catégorie Sécurité / Virus par Pimousse2
14 réponses 142 vues
posté le 14 Mai 2015 dans la catégorie Sécurité / Virus par fredlouon
1 réponse 50 vues
posté le 22 Avr 2015 dans la catégorie Windows 8/8.1 par cheyenne72
18 réponses 47 vues
posté le 13 Mar 2014 dans la catégorie Spywares / Malwares / Virus par fred1
Retour en haut
...