Installation d'un .exe douteux

[TLF78]

Bonjour,

J'ai fait ce qu'il ne faut pas faire : un ami "informaticien" m'a envoyé un package .exe pour installer un jeu sur mon PC en Windows 7. Il m'a ensuite expliqué qu'il l'avait récupéré sur ces fameux sites où il ne faut surtout rien chargé.

A la base, aucun anti-virus n'a détecté quoi que ce soit. Ce qui m'a mis la puce à l'oreille, c'est Sophos, installé sur mon ordinateur Pro qui l'a signalé en indiquant "Mal/Generic-S".
J'ai regardé les tutos sur votre site (Merci !!! ) et passé le fichier sur le site Virus total. Sur 67 anti-virus, seul Sophos justement le signale.

A la lecture des comportements, par contre, je suis plus inquiet. Le .exe semble ouvrir et modifier plusieurs .dll et clefs du registres. Il ajoute aussi des "Mutex".
Voici un lien vers le résultat : https://www.virustotal.com/gui/file/ae6 ... ent%20HABO

Comment puis-je "nettoyer" mon Windows ? Avez-vous des manip ou logiciel à me conseiller ?

Merci d'avance
Thibault

[Malekal_morte]

Bonsoir,


Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Attendre la fin du scan, un message indique que l'analyse est terminée.
Télécharge et lance le scan FRST,

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut.
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).

[TLF78]

Bonjour,

Merci beaucoup pour le retour.
Voici les fichiers, dans l'ordre FRST ; Addition ; Shortcut.

https://pjjoint.malekal.com/files.php?i ... 5k12b9l7k5
https://pjjoint.malekal.com/files.php?i ... k6c6g11u15
https://pjjoint.malekal.com/files.php?i ... s10p6d15q5

Bon samedi

[Malekal_morte]

Tu as JDownloader qui tourne.... ça peut ralentir...
Faut le laisser tourner que quand tu en as besoin.


1)Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :

Avast Driver Updater (sert à rien et peut mettre le bazar)
CCleaner (sert à rien)
Dropbox (sauf si tu synchronises)
O&O Defrag Professional

PS : CCleaner n'est pas vraiment utile, même si on le recommande de partout.
Si tu tiens à le garder, désactive la surveillance de CCleaner, ça se met au démarrage de Windows et le ralentit avec ces nettoyages incessants, voir : [https://www.malekal.com/supprimer-cclea ... e-windows/]
Pense aussi à désactiver l'envoie de données dans les options de CCleaner. Elles remontent des informations aux serveurs Avast!


2) Désactive/Supprime du démarrage :

Ditto
Eraser
GarminExpress

Voir : comment supprimer un programme au démarrage de Windows



3) Si tu surfs avec Google Chrome :
Réparer Google Chrome (premier paragraphe)

Suis le paragraphe Limiter_les_impacts_des_sites_WEB de la page Comment accélérer Google Chrome
Installe uBlock et The Great Suspender


Si tu surfs avec Mozilla Firefox :
Réparer Mozilla Firefox (Suivre le premier paragraphe)
Installe uBlock et Auto Tab Discard en extension.
Voir la page suivante pour toutes les bonnes pratiques à suivre : Accélérer Mozilla Firefox


4)
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
Winsock: Catalog9 01 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [142496 2019-12-05] (Sophos Ltd -> Sophos Limited)
Winsock: Catalog9 02 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [142496 2019-12-05] (Sophos Ltd -> Sophos Limited)
Winsock: Catalog9 03 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [142496 2019-12-05] (Sophos Ltd -> Sophos Limited)
Winsock: Catalog9 04 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [142496 2019-12-05] (Sophos Ltd -> Sophos Limited)
Winsock: Catalog9 05 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [142496 2019-12-05] (Sophos Ltd -> Sophos Limited)
Winsock: Catalog9 06 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [142496 2019-12-05] (Sophos Ltd -> Sophos Limited)
Winsock: Catalog9 07 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [142496 2019-12-05] (Sophos Ltd -> Sophos Limited)
Winsock: Catalog9 08 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [142496 2019-12-05] (Sophos Ltd -> Sophos Limited)
Winsock: Catalog9 19 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [142496 2019-12-05] (Sophos Ltd -> Sophos Limited)
Winsock: Catalog9-x64 01 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp_64.dll [202728 2019-12-05] (Sophos Ltd -> Sophos Limited)
Winsock: Catalog9-x64 02 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp_64.dll [202728 2019-12-05] (Sophos Ltd -> Sophos Limited)
Winsock: Catalog9-x64 03 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp_64.dll [202728 2019-12-05] (Sophos Ltd -> Sophos Limited)
Winsock: Catalog9-x64 04 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp_64.dll [202728 2019-12-05] (Sophos Ltd -> Sophos Limited)
Winsock: Catalog9-x64 05 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp_64.dll [202728 2019-12-05] (Sophos Ltd -> Sophos Limited)
Winsock: Catalog9-x64 06 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp_64.dll [202728 2019-12-05] (Sophos Ltd -> Sophos Limited)
Winsock: Catalog9-x64 07 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp_64.dll [202728 2019-12-05] (Sophos Ltd -> Sophos Limited)
Winsock: Catalog9-x64 08 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp_64.dll [202728 2019-12-05] (Sophos Ltd -> Sophos Limited)
Winsock: Catalog9-x64 19 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp_64.dll [202728 2019-12-05] (Sophos Ltd -> Sophos Limited)
S2 swi_update_64; C:\ProgramData\Sophos\Web Intelligence\swi_update_64.exe [2122288 2019-12-05] (Sophos Ltd -> Sophos Limited)
2020-03-26 21:20 - 2020-03-26 21:43 - 000000000 ____D C:\Users\Thibault\AppData\Local\Sophos
2020-03-26 21:10 - 2020-04-04 13:06 - 000000000 ____D C:\Windows\CryptoGuard
2020-03-26 21:10 - 2020-03-26 21:10 - 001215072 _____ (SurfRight B.V.) C:\Windows\system32\hmpalert.dll
2020-03-26 21:10 - 2020-03-26 21:10 - 001017184 _____ (SurfRight B.V.) C:\Windows\SysWOW64\hmpalert.dll
2020-03-26 21:09 - 2020-04-01 13:25 - 000000000 ____D C:\Windows\SysWOW64\SophosAV
2020-03-26 21:09 - 2020-04-01 13:25 - 000000000 ____D C:\Windows\system32\SophosAV
2020-03-26 21:00 - 2020-04-01 13:27 - 000000000 ____D C:\ProgramData\Sophos
cmd: netsh winsock reset
RemoveProxy:
Hosts:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

[TLF78]

Bonjour,

Je te remercie beaucoup pour ton retour ! Merci pour tous les conseils et la correction.
Et donc, ça a pu résoudre le problème généré par ce .exe ?

A la lecture des comportements, par contre, je suis plus inquiet. Le .exe semble ouvrir et modifier plusieurs .dll et clefs du registres. Il ajoute aussi des "Mutex".
Voici un lien vers le résultat : https://www.virustotal.com/gui/file/ae6 ... ent%20HABO

1) Logiciels désinstallés, merci.
Par contre :
- Dropbox : j'ai laissé car je l'utilise.
- O&O Defrag Professional n'est pas à utiliser ? Tu ne le recommandes pas ?

2) Suppression au démarrage, sauf
- Ditto : je l'utilise donc je l'ai laissé. Y a-t-il risque ?

4) Voici le Fixlog :

Code : Tout sélectionner

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 29-03-2020
Exécuté par Thibault (04-04-2020 21:54:05) Run:2
Exécuté depuis D:\Bureau
Profils chargés: Thibault (Profils disponibles: Thibault & test)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Start:
CloseProcesses:
CreateRestorePoint:
Winsock: Catalog9 01 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [142496 2019-12-05] (Sophos Ltd -> Sophos Limited)
Winsock: Catalog9 02 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [142496 2019-12-05] (Sophos Ltd -> Sophos Limited)
Winsock: Catalog9 03 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [142496 2019-12-05] (Sophos Ltd -> Sophos Limited)
Winsock: Catalog9 04 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [142496 2019-12-05] (Sophos Ltd -> Sophos Limited)
Winsock: Catalog9 05 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [142496 2019-12-05] (Sophos Ltd -> Sophos Limited)
Winsock: Catalog9 06 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [142496 2019-12-05] (Sophos Ltd -> Sophos Limited)
Winsock: Catalog9 07 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [142496 2019-12-05] (Sophos Ltd -> Sophos Limited)
Winsock: Catalog9 08 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [142496 2019-12-05] (Sophos Ltd -> Sophos Limited)
Winsock: Catalog9 19 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp.dll [142496 2019-12-05] (Sophos Ltd -> Sophos Limited)
Winsock: Catalog9-x64 01 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp_64.dll [202728 2019-12-05] (Sophos Ltd -> Sophos Limited)
Winsock: Catalog9-x64 02 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp_64.dll [202728 2019-12-05] (Sophos Ltd -> Sophos Limited)
Winsock: Catalog9-x64 03 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp_64.dll [202728 2019-12-05] (Sophos Ltd -> Sophos Limited)
Winsock: Catalog9-x64 04 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp_64.dll [202728 2019-12-05] (Sophos Ltd -> Sophos Limited)
Winsock: Catalog9-x64 05 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp_64.dll [202728 2019-12-05] (Sophos Ltd -> Sophos Limited)
Winsock: Catalog9-x64 06 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp_64.dll [202728 2019-12-05] (Sophos Ltd -> Sophos Limited)
Winsock: Catalog9-x64 07 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp_64.dll [202728 2019-12-05] (Sophos Ltd -> Sophos Limited)
Winsock: Catalog9-x64 08 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp_64.dll [202728 2019-12-05] (Sophos Ltd -> Sophos Limited)
Winsock: Catalog9-x64 19 C:\ProgramData\Sophos\Web Intelligence\swi_ifslsp_64.dll [202728 2019-12-05] (Sophos Ltd -> Sophos Limited)
S2 swi_update_64; C:\ProgramData\Sophos\Web Intelligence\swi_update_64.exe [2122288 2019-12-05] (Sophos Ltd -> Sophos Limited)
2020-03-26 21:20 - 2020-03-26 21:43 - 000000000 ____D C:\Users\Thibault\AppData\Local\Sophos
2020-03-26 21:10 - 2020-04-04 13:06 - 000000000 ____D C:\Windows\CryptoGuard
2020-03-26 21:10 - 2020-03-26 21:10 - 001215072 _____ (SurfRight B.V.) C:\Windows\system32\hmpalert.dll
2020-03-26 21:10 - 2020-03-26 21:10 - 001017184 _____ (SurfRight B.V.) C:\Windows\SysWOW64\hmpalert.dll
2020-03-26 21:09 - 2020-04-01 13:25 - 000000000 ____D C:\Windows\SysWOW64\SophosAV
2020-03-26 21:09 - 2020-04-01 13:25 - 000000000 ____D C:\Windows\system32\SophosAV
2020-03-26 21:00 - 2020-04-01 13:27 - 000000000 ____D C:\ProgramData\Sophos
cmd: netsh winsock reset
RemoveProxy:
Hosts:
Reboot:
End:
*****************

Processus fermé avec succès.
Erreur: (0) Impossible de créer un point de restauration.
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001 => supprimé(es) avec succès
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002 => supprimé(es) avec succès
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003 => supprimé(es) avec succès
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000004 => supprimé(es) avec succès
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000005 => supprimé(es) avec succès
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000006 => supprimé(es) avec succès
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000007 => supprimé(es) avec succès
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000008 => supprimé(es) avec succès
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000019 => supprimé(es) avec succès
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries64\000000000001 => supprimé(es) avec succès
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries64\000000000002 => supprimé(es) avec succès
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries64\000000000003 => supprimé(es) avec succès
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries64\000000000004 => supprimé(es) avec succès
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries64\000000000005 => supprimé(es) avec succès
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries64\000000000006 => supprimé(es) avec succès
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries64\000000000007 => supprimé(es) avec succès
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries64\000000000008 => supprimé(es) avec succès
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries64\000000000019 => supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\swi_update_64 => supprimé(es) avec succès
swi_update_64 => service supprimé(es) avec succès
C:\Users\Thibault\AppData\Local\Sophos => déplacé(es) avec succès

"C:\Windows\CryptoGuard" dossier déplacer:

Impossible de déplacer "C:\Windows\CryptoGuard" => Planifié pour déplacement au redémarrage.

C:\Windows\system32\hmpalert.dll => déplacé(es) avec succès
C:\Windows\SysWOW64\hmpalert.dll => déplacé(es) avec succès
C:\Windows\SysWOW64\SophosAV => déplacé(es) avec succès
C:\Windows\system32\SophosAV => déplacé(es) avec succès
C:\ProgramData\Sophos => déplacé(es) avec succès

========= netsh winsock reset =========

Le d‚marrage de la fonction d'initialisation InitHelperDll dans NSHHTTP.DLL a ‚chou‚ÿ;
code d'erreurÿ: 10107

Le catalogue Winsock a ‚t‚ r‚initialis‚ correctement.
Vous devez red‚marrer l'ordinateur afin de finaliser la r‚initialisation.


========= Fin de CMD: =========


========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-1317277669-2508777153-4165045736-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-1317277669-2508777153-4165045736-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========

C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 05-04-2020 10:22:56)

C:\Windows\CryptoGuard => déplacé(es) avec succès

==== Fin de Fixlog 10:22:56 ====

Encore merci

[Malekal_morte]

J'ai pas l'impression qu'il y ait d'autres programmes malveillants.

Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur https://pjjoint.malekal.com/ et donne le lien ici.