Suspicion d'infection par un virus

[MrMojoRisin1965]

Bonjour,

Depuis que j'ai installé un jeu sur un mauvais site (URL ressemblant), ma webcam s'active quelques secondes après le démarrage de mon ordinateur. Cela ne se produit pas lorsque je ne suis pas connecté sur Internet. Je précise que je suis sur un ordinateur portable et qu'au lancement du .exe, la console de commande s'est ouverte, donc je suis, à ma connaissance, presque sûr d'avoir été infecté.
J'ai fait un nettoyage intégral: utilisation du logiciel ZHPcleaner, Windows Defender, nettoyage de disque et j'ai également cherché à mettre à jour les drivers de ma webcam. Bref, rien n'a fonctionné.

FRST: https://pjjoint.malekal.com/files.php?i ... l11m9t12u9
addition: https://pjjoint.malekal.com/files.php?i ... 11o15u14h9

Après avoir effectué l'analyse, je me suis rendu compte que j'ai oublié de cocher la case "Shortcuts". J'ai lu sur un forum que ce n'était pas recommandé de lancer des analyses régulièrement. Si jamais vous en avez besoin et que cela est possible, je peux refaire une analyse.

Je vous remercie !

[Parisien_entraide]

Bonsoir

Je serais curieux de savoir sur quel forum tu as lu que ce n'était pas recommandé de lancer des analyses avec FRST...

Par contre ZHPCleaner e/out ZHPDiag ne sont pas adéquats pour vérifier si ton PC est infecté.
Cela ne détecte que les PUP et certains Adwares.
En plus cela peut surtout émettre des alertes sur des éléments qui n'indiquent pas qu'une infection est active et nettoyer un peu n'importe quoi

Par exemple ils peuvent émettre des alertes sur un dossier malveillant vide, une clé du registre orpheline.
A lire
https://www.malekal.com/adwcleaner-zhpc ... habitudes/

Tu ne dis pas quel jeu tu as voulu installer parce que je note que tu as du "bitorrent web".. Ce qui est fortement déconseillé et DAEMON Tools Lite le truc instable par excellence et qui sert pour les jeux... Piratés


Je note que tu utilises OverWolf
A lire
viewtopic.php?p=566810

Idem CCleaner (à virer)
viewtopic.php?t=71788

Sinon cela ne sert à rien de passer un tas de programmes (Simply Super Software, Hijacthis.qui est à la ramasse en plus, ...) espérant d'un coup de baguette magique faire disparaitre une infection. Tout ce que tu peux y a gagner surtout si l'infection est présente et que les outils n'arrivent pas à éradiquer la chose, ce sont des dysfonctionnements au mieux ou une réinstallation de Windows

Il y a un WinRar pas à jour
Voici ce que tu risques surtout avec les jeux/programmes piratés
viewtopic.php?t=74424

Quant à une possible infection Malekal ou Angélique te diront ce qu'il en est

Néanmoins tu as regardé dans les paramètres de Windows ?
https://www.malekal.com/windows-11-acti ... lications/
sans compter
https://www.malekal.com/empecher-sites- ... icrophone/

[MrMojoRisin1965]

Bonsoir,

Merci pour votre réponse rapide!

Je prends note concernant CCleaner, Overwolf et la mise à jour WinRar est en route.


Je ne sais pas si je peux être totalement transparent concernant le site utilisé, mais il est très connu. Du moins, je pensais que c'était le bon.
Je vais également jeter un oeil concernant les paramétrages de la caméra. Je signale aussi que j'ai une touche sur mon clavier qui me permet d'empêcher que la caméra puisse filmer, mais elle peut être toujours activée (voyant vert s'allume).

Edit: Je viens de remarquer que l'application ffmpeg a eu l'autorisation d'utiliser ma caméra. Après une recherche sur Internet, il s'avère, si je ne m'abuse, que c'est un logiciel de capture vidéo. Et je n'ai aucune idée si cette application est installée par défaut sur mon ordinateur, sachant que je ne le retrouve pas dans mes fichiers.

[Parisien_entraide]

Tu peux nommer le site en le nommant hxxps: //www.lejeu.com pour éviter que quelqu'un clique dessus par inadvertance

Sinon ffmpeg est utilisé par nombre de programmes
Si tu veux le retrouver tu peux utiliser Everything (Dans le menu une fois installé ; Dans l'onglet "Affichage" mettre "filtres" ca permet d'affiner)
https://www.malekal.com/everything-rech ... s-windows/

[Malekal_morte]

Bonjour,

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
Task: {63EE2F38-F337-4F70-8313-D72B98C40A65} - System32\Tasks\MicrosoftEdgeUpdateIdle => C:\WINDOWS\system32\wscript.exe [200704 2025-04-10] (Microsoft Windows -> Microsoft Corporation) -> "C:\ProgramData\Microsoft Edge\SetupMetrics\msupdateidle.vbs"
Task: {2A276D18-EF7E-4EEA-8627-FFD55321C8AE} - System32\Tasks\MicrosoftEdgeUpdateLogon => C:\WINDOWS\system32\wscript.exe [200704 2025-04-10] (Microsoft Windows -> Microsoft Corporation) -> "C:\ProgramData\Microsoft Edge\SetupMetrics\msupdatelgon.vbs"
reg: reg add "HKCU\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f
C:\Users\porqu\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\jcpgbnbdnakoblgfkbgggankeidkfcdl
2025-05-08 13:49 - 2025-05-08 14:45 - 000000000 ____D C:\Users\porqu\AppData\Roaming\ZHP
2025-05-08 13:49 - 2025-05-08 13:49 - 003366088 _____ (Nicolas Coolman) C:\Users\porqu\Downloads\ZHPCleaner.exe
2025-05-08 13:49 - 2025-05-08 13:49 - 000000883 _____ C:\Users\porqu\OneDrive\Desktop\ZHPCleaner.lnk
2025-05-08 13:49 - 2025-05-08 13:49 - 000000000 ____D C:\Users\porqu\AppData\Local\ZHP
2025-05-08 12:17 - 2025-05-08 15:15 - 000000000 ____D C:\Program Files (x86)\Trojan Remover
2025-05-08 12:17 - 2025-05-08 12:17 - 000000000 ____D C:\Users\porqu\OneDrive\Dokumente\Simply Super Software
2025-05-08 12:16 - 2025-05-08 12:16 - 014321120 _____ (Simply Super Software ) C:\Users\porqu\Downloads\trjsetup695-6.9.5.2975.exe
2025-05-07 20:50 - 2025-05-07 20:50 - 000388608 _____ (Trend Micro Inc.) C:\Users\porqu\Downloads\HijackThis.exe
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)



2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :

• Réparer Mozilla Firefox (premier paragraphe)
• Réparer Google Chrome (premier paragraphe)
• Comment réparer ou réinitialiser Microsoft Edge

3) Tu as pas mal de programmes inutiles qui ralentissent le PC, à désinstaller :

CCleaner (inutile)
DAEMON Tool
Opera (tu as déjà Chrome et Firefox)
Vivaldi (pareil)
WinRAR (préférer 7-zip)

4)
Refais un scan FRST et donne les nouveaux rapports via pjjoint

[MrMojoRisin1965]

Bonjour,

Merci pour votre réponse!

Voici ce que m'a donné votre correction:

Code : Tout sélectionner

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 09-05-2025
Exécuté par porqu (09-05-2025 12:10:45) Run:1
Exécuté depuis C:\Users\porqu\OneDrive\Desktop
Profils chargés: porqu
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Start:
CloseProcesses:
CreateRestorePoint:
Task: {63EE2F38-F337-4F70-8313-D72B98C40A65} - System32\Tasks\MicrosoftEdgeUpdateIdle => C:\WINDOWS\system32\wscript.exe [200704 2025-04-10] (Microsoft Windows -> Microsoft Corporation) -> "C:\ProgramData\Microsoft Edge\SetupMetrics\msupdateidle.vbs"
Task: {2A276D18-EF7E-4EEA-8627-FFD55321C8AE} - System32\Tasks\MicrosoftEdgeUpdateLogon => C:\WINDOWS\system32\wscript.exe [200704 2025-04-10] (Microsoft Windows -> Microsoft Corporation) -> "C:\ProgramData\Microsoft Edge\SetupMetrics\msupdatelgon.vbs"
reg: reg add "HKCU\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f
C:\Users\porqu\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\jcpgbnbdnakoblgfkbgggankeidkfcdl
2025-05-08 13:49 - 2025-05-08 14:45 - 000000000 ____D C:\Users\porqu\AppData\Roaming\ZHP
2025-05-08 13:49 - 2025-05-08 13:49 - 003366088 _____ (Nicolas Coolman) C:\Users\porqu\Downloads\ZHPCleaner.exe
2025-05-08 13:49 - 2025-05-08 13:49 - 000000883 _____ C:\Users\porqu\OneDrive\Desktop\ZHPCleaner.lnk
2025-05-08 13:49 - 2025-05-08 13:49 - 000000000 ____D C:\Users\porqu\AppData\Local\ZHP
2025-05-08 12:17 - 2025-05-08 15:15 - 000000000 ____D C:\Program Files (x86)\Trojan Remover
2025-05-08 12:17 - 2025-05-08 12:17 - 000000000 ____D C:\Users\porqu\OneDrive\Dokumente\Simply Super Software
2025-05-08 12:16 - 2025-05-08 12:16 - 014321120 _____ (Simply Super Software ) C:\Users\porqu\Downloads\trjsetup695-6.9.5.2975.exe
2025-05-07 20:50 - 2025-05-07 20:50 - 000388608 _____ (Trend Micro Inc.) C:\Users\porqu\Downloads\HijackThis.exe
RemoveProxy:
Reboot:
End:
*****************

Processus fermé avec succès.
Le Point de restauration a été créé avec succès.
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{63EE2F38-F337-4F70-8313-D72B98C40A65}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{63EE2F38-F337-4F70-8313-D72B98C40A65}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\MicrosoftEdgeUpdateIdle => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MicrosoftEdgeUpdateIdle" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{2A276D18-EF7E-4EEA-8627-FFD55321C8AE}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2A276D18-EF7E-4EEA-8627-FFD55321C8AE}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\MicrosoftEdgeUpdateLogon => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MicrosoftEdgeUpdateLogon" => supprimé(es) avec succès

========= reg add "HKCU\Software\Microsoft\Windows Script Host\Settings" /v Enabled /d 0 /f =========

L'op‚ration a r‚ussi.


========= Fin de Reg: =========


"C:\Users\porqu\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\jcpgbnbdnakoblgfkbgggankeidkfcdl" Dossier déplacer:

C:\Users\porqu\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\jcpgbnbdnakoblgfkbgggankeidkfcdl => déplacé(es) avec succès

"C:\Users\porqu\AppData\Roaming\ZHP" Dossier déplacer:

C:\Users\porqu\AppData\Roaming\ZHP => déplacé(es) avec succès
C:\Users\porqu\Downloads\ZHPCleaner.exe => déplacé(es) avec succès
C:\Users\porqu\OneDrive\Desktop\ZHPCleaner.lnk => déplacé(es) avec succès

"C:\Users\porqu\AppData\Local\ZHP" Dossier déplacer:

C:\Users\porqu\AppData\Local\ZHP => déplacé(es) avec succès

"C:\Program Files (x86)\Trojan Remover" Dossier déplacer:

C:\Program Files (x86)\Trojan Remover => déplacé(es) avec succès

"C:\Users\porqu\OneDrive\Dokumente\Simply Super Software" Dossier déplacer:

C:\Users\porqu\OneDrive\Dokumente\Simply Super Software => déplacé(es) avec succès
C:\Users\porqu\Downloads\trjsetup695-6.9.5.2975.exe => déplacé(es) avec succès
C:\Users\porqu\Downloads\HijackThis.exe => déplacé(es) avec succès

========= RemoveProxy: =========

HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer => supprimé(es) avec succès


========= Fin de RemoveProxy: =========



Le système a dû redémarrer.

==== Fin de Fixlog 12:11:18 ====

Concernant les navigateurs, j'utilise exclusivement Vivaldi, car j'ai des ralentissements sous Chrome et Opera. Je ne les ai pas supprimés par simple feignantise.
J'ai effectué les réparations sur Mozilla et Chrome. Je me suis permis de supprimer Chrome et Opéra étant que je ne les utilise pas ou plus.
Et j'ai bien remplacé WinRar par 7zip.

Second scan FRST:

FRST: https://pjjoint.malekal.com/files.php?i ... u5g15t15j8
Additionnal: https://pjjoint.malekal.com/files.php?i ... 1h6g5s14l5
Shortcuts: https://pjjoint.malekal.com/files.php?i ... s15h5h12q8

Merci encore.

[Malekal_morte]

Le problème, c'est que les navigateurs installent des services pour se mettre à jour et ils tournent en arrière-plan.
Donc ça bouffe des ressources même si tu ne les utilises pas.

Sur Chrome tu as une extension parasite : Web Safety.
Normalement, la réinitialisation doit l'avoir désactivé.
Vérifie.

[MrMojoRisin1965]

Normalement, Web Safety a été retiré. Je vais refaire un scan plus tard pour revérifier.
Mais il est vrai que j'ai beaucoup de services/logiciels qui tournent en arrière plan.

Je vais aussi réparer le navigateur Vivaldi.

[Parisien_entraide]

J'ai Vivaldi en tests et il faut vraiment se plonger dans les paramètres qui sont TRES nombreux pour neutraliser un tas de trucs qui tournent en arrière plan
En fait c'est comme Brave et Opéra

Ces navigateurs sont devenus des usines à gaz, avec des tas de programmes tiers juste histoire de capter les historiques de navigation des utilisateurs
En plus ça laisse des caches actifs parfois en double (2x 500 à 600 Mo pour Vivaldi chez moi)

[Malekal_morte]

ok, vois ce que cela donne du côté du comportement anormal du PC.

[MrMojoRisin1965]

Mon ordinateur est lent depuis quelque temps, mais je suppose que cela est dû à la vieillesse de celui-ci.
Ma caméra ne s'active plus au démarrage, car j'ai désactivé les accès à des applications tierces, comme me l'avait conseillé Parisien_Entraide.

Autrement, vous me conseillez de garder AdwCleaner pour nettoyer mon ordinateur?

[Parisien_entraide]

Pour cette question un lien avait été donné. Relis

[MrMojoRisin1965]

Sinon ffmpeg est utilisé par nombre de programmes
Si tu veux le retrouver tu peux utiliser Everything (Dans le menu une fois installé ; Dans l'onglet "Affichage" mettre "filtres" ca permet d'affiner)
https://www.malekal.com/everything-rech ... s-windows/

J'ai effectué une recherche et les logiciels utilisant ffmpeg appartiennent soit au système, soit à des jeux Steam, donc rien d'anormal à priori.