Mineur bitcoin dans certains programmes [Résolu] - Virus/Spywares - Windows & Software
Marsh Posté le 25-09-2015 à 08:19:28
Luzog a écrit : |
Ca traine depuis 6 mois ce truc et le programme incriminé n'est pas Andy OS, mais le site (pas en P2P j'espère sinon il va te falloir changer ton comportemental) où tu l'as récupéré qui a rajouté une couche sur le programme (comme le fait 01.net, softonic et bien d'autres)
Ensuite une fois l'infection entrée (et ce n'est pas propre à ce que tu as eu) les AV etc peuvent avoir des soucis de détection et/ou de désinfection (c'est pour cela qu'il ne faut pas désinfecter MAIS analyser pour trouver l'outil adéquat et qu'il vaut mieux passer par un helpeur)
Pour ton cas, il y a d'autres outils d'analyses (par ex ZHP ne voit pas tout)
Ensuite, est ce qu'un programme de mining est un malware ? ... Dans l'absolu non, mais ils peuvent etre le support pour des réseaux de botnet où ce sont d'autres personnes qui récupèrent l'argent sans dépenser en electricité
C'est dommage d'avoir tout viré (c'est là le problème des gens qui se font infecter car ceux qui pourraient trouver une parade n'ont rien et cela retarde la mise à jour des outils d'analyse)
De plus je te conseille une analyse de ton PC car rien ne dit que derrière ne se cache pas une infection rootkitée
Quant à tes inquiétudes... Je vois nombre de PC infectés où les gens sont persuadés de ne rien avoir (ils passent tout un tas de scanner, outils d'analyse mais pas les bons ou ne savent pas les lire) parce qu'ils pensent maitriser, alors que ceux qui sont derrières les cracks, les infections ont une longueur d'avance sur eux
Marsh Posté le 25-09-2015 à 08:27:11
Bonjour,
Oui, les programmes antimalware ne peuvent pas tout supprimer... mais, il faut déjà utiliser le programme le plus approprié car chaque antimalware est plus + ou - spécialisé.
Les plus efficaces:
Les antimalwares sont à utiliser en fonction du ou des malwares présents sur le PC. Attention, certains de ces programmes ne sont pas à utiliser n'importe comment sous peine de créer des dommages.
Mais, même après avoir utilisé ces programmes, certaines éléments infectieux n'ont pas été détectés par les antimalwares. Il va falloir les supprimer manuellement. Pour cela, on utilise soit des programmes de diagnostics comme ZHPDiag, FRST, OTL, Zoek ... soit on recherche sur le PC les fichiers et clés de registre des malwares. Observer les processus dans le gestionnaire de tâche est une bonne initiative, si le malware est résident en mémoire.
Pas simple tout ça... et comme on dit souvent, le meilleur antivirus c'est soi-même ! Il faut faire preuve de vigilance, de bon sens et bannir les comportements à risques. Je donne quelques conseils à ce sujet dans les désinfections sur le forum.
Marsh Posté le 25-09-2015 à 08:29:54
Merci pour vos réponses.
J'ai récupéré le logiciel sur le site officiel il me semble. Du coup, ça serait donc l'éditeur du logiciel lui même qui a inséré le mineur...
J'ai bien fait une analyse approfondi du PC et n'ai rien trouvé. Les outils cités ci dessus ont tous fait un scann et rien a été trouvé. Je suis sur une installation de windows 10 (officielle) qui n'a même pas deux mois...
J'ai pas pensé à garder le dossier incriminé, mais je suis sûr que si on va sur le site d'Andy OS et qu'on installe le logiciel on devrait pouvoir retrouver ça, sauf si une nouvelle version est sortie sans le mineur bitcoin.
J'évite tout de même les comportements à risques et je fait très attention à ce que je télécharge sur internet mais là, rien n'était indiqué dans le logiciel, il s'est installé sans options installations. C'est d'ailleurs pour ça que je l'ai viré sans même le lancer. J'aurai dû le faire avec revo uninstaller qui m'aurait vraiment tout supprimé pour le coup.
Marsh Posté le 25-09-2015 à 09:23:22
Luzog a écrit : hier soir, je me suis rendu compte que ma carte était en charge alors que je ne faisait rien de mon PC. J'ai checké via GPUz et mon GPU était à 93% d'utilisation. Le programme incriminé était java scheduled update. |
- Je te conseille d'afficher la température du GPU (entre autre) dans la barre des taches. Tu peux faire ca avec open hardware monitor par exemple. ca t'aurait permit de voir le problème très rapidement.
- si tu n'as pas utilité de java : poubelle. Sinon toujours faire les mises à jour et dans les propriétés de Java, décocher l'option "activer java dans un navigateur.
Citation : Avant de la supprimé, j'ai fait plusieurs analyses et aucunes de mes analyse n'a pu le détecter! Incroyable. J'ai lancé ZHPCleaner / tdsskiller / malwarebytes et avast, rien, nada! |
Le problème était forcément visible dans un rapport ZHPdiag ou FRST. Mais lire un rapport ca ne s'improvise pas, y a pas beaucoup de gens capables de lire un rapport avec soin. Sur ce forum il y a Monk, et c'est tout.... (on a perdu 2 autres helpers )
Citation : J'aurai dû le faire avec revo uninstaller qui m'aurait vraiment tout supprimé pour le coup. |
je doute fortement que revo uninstaller ait pu le supprimer. ne confonds pas revo uninstaller avec un anti malware! du reste un programme comme revo uninstaller ne sert à peu près à rien.
et j'espère que tu utilises un bon antivirus, c'est la base, même si c'est loin de protéger de tout.
Marsh Posté le 25-09-2015 à 09:45:54
Revo permet de chercher après une désinstallation pour voir si il n'y a pas des clés de registre ou dossiers restant liés au programme désinstallé. Il m'a souvent été utile comparé au désinstallateur windows qui ne supprime que le dossier principal.
Pour la température GPU. J'ai souvent MSI AF qui est lancé mais là pour le coup il ne l'était pas...
Merci pour tous ces conseils en tout cas. On est jamais vraiment protégé en fait, à moins de faire très très attention... Et là pour le cou j'y suis pour rien puisque le programme n'indique même pas une installation tierce pendant l'installation... C'est franchement lourd tout ça.
Même 01net et d'autres ont maintenant leur propre installateur/downloader qu'on est obligé d'installer si on veut un programme sur leur site... C'est pas la même chose que le programme de minage mais pour moi c'est du programme malveillant aussi...
Marsh Posté le 25-09-2015 à 09:59:48
Luzog a écrit : Revo permet de chercher après une désinstallation pour voir si il n'y a pas des clés de registre ou dossiers restant liés au programme désinstallé. Il m'a souvent été utile comparé au désinstallateur windows qui ne supprime que le dossier principal. |
non le désinstallateur windows ne supprime pas "que le dossier principal" (je suppose que tu parles du dossier dans programmes files)
et revo uninstaller s'apparente à un nettoyeur de la base de registre, et ca c'est foireux. Ce genre de programme ne supprime pas tout, c'est impossible. Ca reste une passoire.
si tu veux vraiment voir la différence avant et après l'installation d'un programme, y a ce genre d'outil :
http://www.majorgeeks.com/files/de [...] anged.html
mais le programme n'est plus mis à jour (version de 2011, à voir s'il est toujours efficace...)
j'ai fais l'essai et la c'est du lourd : premier scan de la base de registre avant l'installation d'un programme (assez rapide), ensuite tu installes ton programmes, et tu refais un scan de la base de registre qui va chercher les différences par rapport au premier scan. Et la prévois quelque chose comme 2-3 heures pour ce second scan! Et la c'est efficace.
du reste ce ne sont pas quelques centaines de clés en plus ou en moins dans la base de registre qui ralentissent forcément une machine, surtout avec un SSD.
Marsh Posté le 25-09-2015 à 10:03:26
Les désinstalleurs des applications (bien faites) savent ce que l'installeur a installé.
Ils sont tout a fait capable de virer tout ce qui a été mis.
Après rien n'empèche un développeur d'inclure quelque chose avec son application et faire en sorte que le désinstalleur ne l'enlève pas.
Marsh Posté le 25-09-2015 à 10:18:59
nex84 a écrit : Les désinstalleurs des applications (bien faites) savent ce que l'installeur a installé. |
ou pas.
si on parle de revo uninstaller, je viens de faire un test en VM :
- installation de revo.
- lancement du programme
- installation de notepad++
- ouverture de notepad
- désinstallation de notepad avec revo en mode avancé, scan de la base de registre (avec revo toujours), suppression d'une vingtaine d'entrée relatives avec notepad.
on pourrait croire que la désinstallation est propre, mais en fait non.
il suffit de lancer un outil de recherche comme swift search ou regedit, faire une recherche avec "notepad" comme mot clé, et on trouve encore plein de traces de notepad.....
et je te parle d'un petit programme qui fait 6 Mo. imagine avec un gros programme....
si un outil comme revo était efficace, ca fait longtemps que ca se saurait et tout le monde l'utiliserait.
Marsh Posté le 25-09-2015 à 11:10:39
nex84 a écrit : Les désinstalleurs des applications (bien faites) savent ce que l'installeur a installé. |
Tout ça pour dire que "en théorie" ça devrait être propre mais que ça ne l'est pas forcément.
Marsh Posté le 25-09-2015 à 13:41:02
Bon, au moins j'ai plus cette merde... Mais ma protection antivirus n'est pas censée analyser tous les programmes que je télécharge? J'ai avast en gratuit mais normalement il fait ça aussi non?
Marsh Posté le 25-09-2015 à 13:46:14
Luzog a écrit : Bon, au moins j'ai plus cette merde... Mais ma protection antivirus n'est pas censée analyser tous les programmes que je télécharge? J'ai avast en gratuit mais normalement il fait ça aussi non? |
bah un antivirus ne protège pas de tout, sinon ca se saurait!
un bon antivirus est une bonne base, voila.
Marsh Posté le 25-09-2015 à 13:57:02
Bonne question...
Les antivirus tels que Avast, KIS, AVG, Avira, etc... ne filtrent pas ou très peu les logiciels indésirables (PUP) pour 2 raisons principales : ce ne sont pas des malwares au sens propre du terme (ne sont pas considérés comme dangereux) et certains sont autorisés par les lois commerciales informatiques. Cela dit, les antivirus bloquent des PUP mais pas tous...
Le problème des PUP, c'est qu'ils peuvent créer des dysfonctionnements sur le PC et des problèmes de confidentialités des données personnelles.
C'est pour ça qu'il faut utiliser des antimalwares spécialisés comme ceux indiqués plus haut.
Les antivirus comme Avast sont très efficaces pour d'autres malwares, ils sont donc indispensables.
Marsh Posté le 25-09-2015 à 14:25:26
Aussi, ces logiciels tiers inclus sont installés avec le consentement de l'utilisateur la plupart du temps.
Du coup ils sont "légitimes" car installés "volontairement".
Comme Monk le répète à longeur de posts : le meilleur antivirus c'est l'utilisateur (surtout si il ne clique pas partout ).
Marsh Posté le 25-09-2015 à 14:52:57
nex84 a écrit : Aussi, ces logiciels tiers inclus sont installés avec le consentement de l'utilisateur la plupart du temps. |
la plupart du temps, non, c'est faux.
j'ai une foison de logiciels tiers, je viens d'envoyer un rapport ZHPdiag à monk et j'avais une seule merde, et pas vraiment méchante.
et monk peut te dire que des logiciels tiers gratuits ou payants, j'en ai un bon paquet!
le tout est d'utiliser les bons téléchargés au bon endroit
Marsh Posté le 25-09-2015 à 14:58:42
On est d'accord. Tu pinailles juste sur la sémantique.
Ce que je veux dire c'est que la tripotée de trucs ajoutés aux installeurs est souvent déselectionnable.
Donc indirectement l'utilisateur a donné son accord car il n'a pas décoché.
La subtilité est la même que les lignes en petits caractères des contrats.
Après je trouve ça fourbe dans la forme (options cachées, ...) en se basant sur la méconnaissance de Mme Michu.
Dans ces conditions (installation "volontaire" ), comment est-ce qu'un antivirus ou un antimalware peut-il statuer sur la pertinance de tel ou tel logiciel ?
Marsh Posté le 25-09-2015 à 15:13:10
@nex84
Hum... en fait, un antivirus comme Avast analyse tout, en temps réel ou sur commande, que ce soit des programme installés volontairement ou involontairement. S'il estime que ce n'est pas infectieux (potentiellement ou pas), il laisse passer.
Je te rejoins sur la fourberie des installations cachées...
Marsh Posté le 25-09-2015 à 15:21:31
C'est la différence entre un crapware et un malware.
Marsh Posté le 25-09-2015 à 16:28:42
nex84 a écrit : |
c'est pas évident.
l'installation peut être forcée sans que tu ne puisses rien faire.
enfin dans quelle mesure c'est répandu, j'en sais trop rien puisque je n'en vois jamais l'ombre
Marsh Posté le 25-09-2015 à 16:38:17
Oui, mais là je pensais pas me retrouver avec un programme comme ça alors que je suis allé sur le logiciel de l'éditeur quoi
Comme dit, je fais quand même super gaffe à ça normalement. Je veux bien que le meilleur antivirus soit l'homme, mais là c'est clairement du foutage de gueule, le logiciel s'installe sans aucunes interaction de notre part et donc on ne clique nul part.
J'ai peur d'être infecté en plus de ça maintenant...
Marsh Posté le 25-09-2015 à 16:46:14
Luzog a écrit : Oui, mais là je pensais pas me retrouver avec un programme comme ça alors que je suis allé sur le logiciel de l'éditeur quoi |
bah c'est simple : l'éditeur s'est laissé tenter par le chant des sirènes.... ( )
ca m'est arrivé une fois.... heureusement que je suis bien sécurisé et un programme a bloqué le truc.
quand tu veux installer un programme que tu ne connais pas, il faut toujours avoir le réflex de faire une recherche sur google.
Pour avoir des retours utilisateurs, tu tapes
- nom du programme avis
- non du programme review
en laissant de côté les résultats sur 01NET / softonic
Marsh Posté le 25-09-2015 à 16:51:09
nex84 a écrit : On est d'accord. Tu pinailles juste sur la sémantique. Ce que je veux dire c'est que la tripotée de trucs ajoutés aux installeurs est souvent déselectionnable. Après je trouve ça fourbe dans la forme (options cachées, ...) en se basant sur la méconnaissance de Mme Michu. Dans ces conditions (installation "volontaire" ), comment est-ce qu'un antivirus ou un antimalware peut-il statuer sur la pertinance de tel ou tel logiciel ? |
L'utilisateur ne donne pas toujours son accord
Depuis quelques mois ils ont une parade pour éviter que l'utilisateur désélectionne au moment de l'installation, avec les différents outils qui défilent, les barres d"outils et ce que l'on assimile à des malwares. Ils ont juste ajouté une fonction (un bouton à cliquer) de type "installation avancée" où les gens pensent qu'il s'agit juste du chemin d'installation. En fait oui, car c'est la première chose qui se présente mais ensuite on peut y retrouver des trucs foireux (je n'ai pas la liste en tete ni un ex précis)
Si on passe par l'installation normale, les écrans de barres d"outils etc, n'apparaissent pas
L'éditeur lui est clean car il a son EULA (qu'on lit rarement et moi le premier) qui prévient
Pour la pertinence, l'AV ne se pose pas la question et c'est normal car ces trucs ne sont pas des malwares mais des outils publicitaires. Ils font du tracking au meme titre que les coockies (surtout les coockies LS0) et autre données qui figurent dans le cache et autres traces laissées par la navigation internet
Le souci c'est qu'ils agissent comme des malwares, et peuvent etre TRES intrusifs notamment dans la remontée d'information
Ensuite il y a la vision de la chose.
Vu qu'une majorité viennent des US et pays qui les copient, le modèle économique passe en priorité. Chez nous c'est la vie privé
Et ces autres pays, les stés qui sont derrière, ont la meme vision que le patron de google qui disait : "La vie privée peut être considérée comme une anomalie"
C'est du meme ordre que les raisons du "do not track" qui ne fonctionne pas si on ne blinde pas son PC/Navigateur
"Les enjeux commerciaux, publicitaires sont prioritaires.
(cela doit du reste figurer dans la policy du site mais il suffit d'invoquer des raisons de débogage, de suivi financier, de sécurité nationale pour passer outre -Source : norme du W3C-)
La Digital Advertising Alliance est là pour veiller à agir dans les interets de l'industrie de la publicité et nombre de site pratiquent le "browser fingerPrinting" (la récup active du navigateur pour mieux nous repérer)"
D'ailleurs dès lors qu'on a installé ces barres d'outils ou ce que nous on considère comme des malwares par inadvertance, il est bon de se rappeler que certains modules complémentaires à la navigation (que ce soit le fichier Hosts, les adblocks etc) PEUVENT bloquer les accès aux régies de pub ou adresses malveillantes qui sont en place sur le PC
Donc la chose est en place mais ne peut pas communiquer
Les outils de base d'analyse peuvent facilement retrouver trace de ces merdouilles : ZHP par ex. A force d'habitude on arrive meme à connaitre avec un ZHP, qui utilise le PC, son usage, des élements liés à l'environnement de la personne ; travail, etc, et son comportemental
A partir du comportemental, c'est à dire de ce qu'on lit du fichier log, et sans utiliser les outils d'aide de ZHP (il faut savoir qu'il y en a 2 versions :-) , on peut presque de suite se dire que cette personne à le profil pour etre ou se faire infecter. Là il faut affiner et on tombe souvent sur la verrue
Edit : Et effectivement le site éditeur n'est plus toujours une garantie. On va finir par installer tout dans une sandbox ou une VM avant une vraie installation :-)
Marsh Posté le 25-09-2015 à 17:00:50
Merci pour toutes ces précisions les gars, c'est franchement un chouette forum HFR, comme toujours!
Du coup, j'avais oublié de réinstaller Windows en UEFI et ça me donne une occasion de le réinstaller du coup. Je vais formater tout ça et me faire une installation propre de chez propre, ça ne peut pas faire de mal.
(car je ne suis quand même pas sûr de ne pas avoir d'autre merdouilles qui traines).
Pour donner un bonne exemple de logiciel ne demandant pas l'accord de l'utilisateur pour quoi que se soit, il n'y a rien de mieux que Andy OS sur le site officiel. En effet, vous téléchargez le logiciel, ensuite vous double cliquez, à partir de là, rien n'est contrôlé par l'utilisateur. Va falloir me croire sur parole, parce que je ne vous conseil pas de le télécharger...
Merci en tout cas pour les éclaircissements
Edit : Raaaahhhh, comme si ça n'était pas assez ces connerie de mineur bitcoin dans un programme, je viens de remettre ma clé USB sur mon PC et j'ai tous mes fichiers qui sont devenus des raccourcis (sur la clé). J'ai été faire des impressions de CV chez stop copie, un truc du genre à côté de la FAC. Pour sûr, j'ai choppé un virus chez eux.... La loose quoi... Ca suffit un formatage lent de la clé pour éradiquer toute menace?
Marsh Posté le 25-09-2015 à 17:11:08
@symphmetal
Si tu veux, on peut faire un diagnostic à l'aide de ZHPDiag, ça t'évitera de réinstaller.
Citation : A partir du comportemental, c'est à dire de ce qu'on lit du fichier log, et sans utiliser les outils d'aide de ZHP (il faut savoir qu'il y en a 2 versions :-) , on peut presque de suite se dire que cette personne à le profil pour etre ou se faire infecter. Là il faut affiner et on tombe souvent sur la verrue |
Marsh Posté le 25-09-2015 à 17:14:32
Ben écoute, je veux bien pour voir.
Que je me fasse une idée. Je poste le log ici?
Edit : Je veux bien passer en MP pour pas polluer si il faut
Marsh Posté le 25-09-2015 à 17:15:37
Luzog a écrit : Ben écoute, je veux bien pour voir. |
ici :
http://www.cjoint.com/
Marsh Posté le 25-09-2015 à 17:21:00
Allez, on commence par les clés USB. Merci de suivre ce qui suit...
Tous les rapports demandés doivent être postés sur le forum sous la forme d'un lien.
Comment créer et poster le lien d'un rapport :
Rappel sur les envois des rapports:
Les fichiers générés par ce programme peuvent inclure des données personnelles (nom d'utilisateur par exemple). Assurez-vous de les nettoyer si vous ne souhaitez pas qu'elles soient accessibles à tous.
==> UsbFix - Nettoyage
Note : si ton antivirus se manifeste, ne supprime pas le programme, c'est une fausse détection.
Note: le rapport se trouve aussi dans le répertoire
Disque local C:\UsbFix\Log\UsbFix[Clean1]nom de l'ordinateur.txt [scan]
==> ZHPDiag - programme de diagnostic
Note: le programme est téléchargé en principe dans la rubrique Téléchargements de l'explorateur de fichiers.
Note: ne pas fermer le programme même si il est indiqué qu'il ne répond plus.
** note : tu as donc 2 rapports à me fournir **
Marsh Posté le 25-09-2015 à 17:30:02
Le rapport USB fix : http://www.cjoint.com/c/EIzpC0TWAoh
Malheureusement, j'avais déjà formaté ma clé quand j'ai vu ton message. J'ai même eu un message d'erreur me disant que ma clé ne pouvait être formaté. Du coup, j'allais tenter un formatage via la commande format f: mais j'ai fait la manip que tu m'as demandé avant.
Edit :
Rapport ZHPDiag : http://www.cjoint.com/c/EIzpFOMFT8h
Marsh Posté le 25-09-2015 à 17:36:13
ReplyMarsh Posté le 25-09-2015 à 17:37:46
nex84 a écrit :
Les désinstalleurs des applications (bien faites) savent ce que l'installeur a installé. Tout ça pour dire que "en théorie" ça devrait être propre mais que ça ne l'est pas forcément. |
Là le débat pourrait etre long et hors sujet au sujet des désinstalleurs
Ils laissent TOUS des traces dans le registre et c'est "presque" normal"
Si je prend Revo unistaller PRO, il a une liste de clés de registre placées en liste blanche et c'est légitime. Certains programmes mal conçus vont mettre des clés et sous clés là où Microsoft conseille pourtant de ne pas le faire. Le chemin étant le meme que pour des parties de l'OS (par ex) et si on vire la clé maitre on vire les sous clés qui elles appartiennent à l'OS
Au reboot... surprise
Ces nettoyeurs, font également une désinstallation "par défaut" et là c'est comme les AV, pour que ce soit efficace il faut mettre les mains dans le cambouis (sauf qu'avec le registre il faut y aller avec prudence et sauvegarder avant manipulations)
Si ils font un nettoyage registre par défaut, il vaut mieux s'y conformer... De toutes les façons il restera TOUJOURS des traces
Pire, sous certaines conditions on passe derrière avec tous les programmes que l'on connait : Plus de traces... et un jour, on ne sait pourquoi, la trace d'un logciel qu'on avait désinstallé il y a plusieurs mois réeapparait au détour d'une clé
Alors si on passe un coup de CCleaner après.. C'est clean, on ne trouve rien ou presque et c'est normal. Son nettoyeur de registre fait le minimum et uniquement ce qui n'est pas dangereux (MRU etc)
Si on passe un JV16 en mode extreme ou trouvera encore des traces
Le summum c'est de passer par un outil de type "give me power" https://forums.geforce.com/default/ [...] -04-2015-/
Le truc c'est que meme en mode grand administrateur (qui n'est pas le mode root sous unix/linux) on n'a pas accès à toutes les clés du registre et en scannant en mettant un mot clé, on peut retrouver encore des occurences du prog que l'on vient de désinstaller. Ce que permet Give me power
Quant à savoir si on doit nettoyer la base de registre... Si l'on cherche l'optimisation pour la vitesse, cela ne sert à rien. On n'est plus du temps des premiers processeurs. La seule chose que cela peut apporter c'est la stabilité ou des erreurs registre si on installe/désinstalle souvent, si on fait pas mal de tests, et que l'on ne souhaite pas faire une reinstall de windows tous les 4 ou 5 ans (se rappeler aussi que le registre à une taille définie en max)
De toutes les façons le mec qui a conçu la base de registre, devait être sous LSD, ce n'est pas possible autrement
Edit : Ex de programme qui fout le bazar dans le registre : http://www.acdsee.com/
Marsh Posté le 25-09-2015 à 18:33:22
Le PC est presque propre, ce ne sera pas la peine de formater.
J'ai surtout trouvé une extension de Mozilla qui a des fonctions d'hijacker (piratage de navigateur), soit
Flash Video Downloader - YouTube HD Download [4K]
Justification: http://www.systemlookup.com/FF_Ext [...] m_xpi.html
ou les avis sur le site de Mozilla : https://addons.mozilla.org/fr/firef [...] r/reviews/
==> ZHPFix
Attention, ce script suivant a été écrit spécifiquement pour l'ordinateur de symphmetal, il n'est pas
transposable sur un autre ordinateur.
Le temps de téléchargement du script a été volontairement limité à 4 jours.
Note: le rapport se trouve aussi à cet emplacement, disque dur C:\ZHP\ZHPFix[R1].txt
Marsh Posté le 25-09-2015 à 18:48:43
Le programme s'est lancé mais bloque au premier tiers de la barre de nettoyage. Dans le gestionnaire de programmes, il n'utilise que 6,5mo de mémoire et 0% du processeur, est-ce normal?
J'ai lu que ça pouvait prendre du temps, mais pour un petit programme comme celui listé au dessus, est ce que ça doit prendre autant de temps que ça ?
Marsh Posté le 25-09-2015 à 18:53:53
Oui, arrête le programme et recommence, j'ai fait une petite erreure de script.
reviens dans 30 minutes.
Marsh Posté le 25-09-2015 à 18:54:23
monk521 a écrit : Oui, arrête le programme et recommence, j'ai fait une petite erreure de script. reviens dans 30 minutes. |
Ça marche !
Marsh Posté le 25-09-2015 à 19:28:12
J'attends le rapport de ZHPFix puis tu utiliseras SystemLook.
==> SytemLook
:dir
C:\Program files /s/md5
Marsh Posté le 25-09-2015 à 19:30:34
C'est encore moi. Est-ce qu'il fallait que je relance le programme ou que j'attende que tu fasses un autre script en fait?
Du coup, j'ai relancé et c'est toujours la même chose.
Marsh Posté le 25-09-2015 à 19:35:19
Tu peux le refaire, j'ai mis dans le script que les véroles.
Marsh Posté le 25-09-2015 à 19:40:04
La même, le programme se bloque au trois quart cette fois. Je laisse tourner ?
Marsh Posté le 25-09-2015 à 07:25:44
Bonjour à tous,
Alors voilà, hier soir, je me suis rendu compte que ma carte était en charge alors que je ne faisait rien de mon PC. J'ai checké via GPUz et mon GPU était à 93% d'utilisation. Le programme incriminé était java scheduled update. Mais il n'était justement pas dans le dossier "Java". En remontant à la source du dossier, j'ai trouvé l'exe incriminé dans un ancien dossier du programme "Andy OS" (émulateur android) que j'avais installé il y a de ça deux semaine.
Donc, en gros, j'ai installé un programme du net, l'ai désinstallé, et il m'a pourri mon PC avec un logiciel de mining nommé par un programme commun....
Avant de la supprimé, j'ai fait plusieurs analyses et aucunes de mes analyse n'a pu le détecter! Incroyable. J'ai lancé ZHPCleaner / tdsskiller / malwarebytes et avast, rien, nada!
Alors question, comment font les novices pour être exempt de ces virus? Moi même, le truc à pu tourner deux semaines sans que je m'en rende compte et donc ma carte graphique aurait pu y rester (j'ai un bon refroidissement heureusement avec une courbe assez violente sous MSI Af)... J'avoue que hier c'était la première fois que j'entendais ma carte soufflé comme ça donc peut être qu'il s'est lancé il y a peu, apparemment, c'est très aléatoire ce genre de trucs.
Ce qui m'inquiète le plus c'est qu'aucuns des programmes que j'ai lancé ne l'a détecté.
Merci d'avance pour vos réponses/réactions.
A bientôt
Symph
Message édité par Luzog le 25-09-2015 à 20:50:21
---------------
Mon Feed--Achats/Ventes