JS:Miner

JS:Miner est une détection d’Avast! qui vise les services de Web Crypto-monnaie comme coin-hive par exemple.
Ces services de cryptomonnaie sont sous la forme de javascript se trouvant sur des sites que vous visitez.
Le but est ensuite d’utiliser votre navigateur internet pour miner des cryptomonnaie et faire gagner de l’argent à l’éditeur du site internet.
Il n’est donc en rien malveillant mais cela peut occasionner des problèmes sur le navigateur internet qui va utiliser incessamment le processeur de votre ordinateur : surchauffe, lenteur ou même plantage du navigateur internet.
Ces procédés risquent d’être de plus en plus fréquent sur les sites de streaming illégaux.
Pour plus d’informations sur ces pratiques de crypto-miner sur le WEB avec coin-hive.com, rendez-vous sur la page : Les Web Miner : Minage de crypto-monnaie à partir des pages internet (JavaScript).

Le code Javascript peut donc être détecté en JS:Miner par Avast! et les autres antivirus peuvent emettre des alertes en : Application.BitCoinMiner ou Tool.BtcMine
Comment supprimer JS:Miner de votre ordinateur

Pas de quoi paniquer après cette alerte Avast!, rien à faire non plus de vraiment particulier.
Toutefois, si vous avez des doutes sur la présence de virus sur votre ordinateur, vous pouvez suivre cette procédure de désinfection classique.

Continue reading “JS:Miner” »

Trojan.DisabledAVSecurityCerts

Trojan.DisabledAVSecurityCerts est une détection de Malwarebytes liés à des clés du registre et des certificats malveillants qui permettent de désactiver les antivirus.

Trojan.DisabledAVSecurityCerts est généralement distribué avec des infections de type PUA/PUP, c’est à dire des logiciels potentiellements indésirables et des adwares.

Comment supprimer Trojan.DisabledAVSecurityCerts

En clair, si vous avez des problèmes de fonctionnement de vos antivirus et des détections Trojan.DisabledAVSecurityCerts, il est fort probable que votre ordinateur soit très infecté.
Souvent, ces infections proviennent de téléchargement de fichiers ayant des sources peu fiables comme des cracks ou des keygens.

Il est nécessaire d’effectuer une désinfection complète pour nettoyer Windows et supprimer tous les virus.
Afin de pouvoir parvenir à retrouver un fonctionnement normal de Windows, vous pouvez suivre notre procédure gratuite de désinfection.

Continue reading “Trojan.DisabledAVSecurityCerts” »

Trojan:Win32/Emotet

Trojan:Win32/Emotet est une famille de Trojan de type Banker capable de voler les informations contenues sur l’ordinateur mais aussi de viser les comptes bancaires.
Trojan:Win32/Emotet s’attaque donc aux navigateurs internet pour qu’au moment où l’internaute se connecte au site de la banque, les informations de connexion soient volées.
Plus d’informations sur ces cheval de troie : Trojan Banker : botnet spécialisé dans le vol de compte bancaire

Supprimer le cheval de troie Trojan:Win32/Emotet

Ce cheval de troie est donc particulièrement dangereux.
La distribution peut se faire par des mails malveillants.
Nous vous conseillons d’opérer à une désinfection complète de votre ordinateur puis de changer tous vos mots de passe.

Continue reading “Trojan:Win32/Emotet” »

JS/TechBrolo

Les détections JS/TechBrolo sont des détections de Windows Defender visant des pages d’arnaques de support téléphoniques.
Ces pages affichent de fausses alertes de sécurité et vous informent que votre ordinateur est infecté pour vous mettre en relation avec une hotline.
Cette hotline tente ensuite de vous faire acheter des logiciels et vous abonner à leur support à des prix très élevé.
Il s’agit donc d’arnaque distribuée notamment par des publicités sur des sites illégaux (site de cracks, streaming, torrent, scan manga, etc).

Comment supprimer JS/TechBrolo

En aucun cas votre ordinateur est infecté, il s’agit vraiment de fausses pages bidons.
Cependant ces alertes de virus utilisent des procédés, notamment à travers des popups incessantes pour bloquer les navigateurs internet.
Cela rend ces arnaques très pénibles pour l’utilisateur qui ne parvient généralement pas à se défaire de cette page d’alerte..
Pour protéger les internautes, Microsoft ajoute des détections sur Windows Defender, JS/TechBrolo en fait partie et vise une famille particulière.
Ainsi Windows Defender peut bloquer l’accès à ces pages et vous prévenir de voir votre navigateur internet bloqué.

Continue reading “JS/TechBrolo” »

Trojan:W32/Vagger

Trojan:W32/Vagger est une détection de Windows Defender lié au final à des adwares ou logiciels publicitaires.
Ci-dessous un exemple de détection de Trojan.Vagger dans un fichier adservice.dll.
Ce dernier permet d’injecter des publicités, effectuer des redirections lors de clics pour charger un max de pubs.

Comment supprimer Trojan:W32/Vagger

Ce Trojan est distribué avec des packs d’adwares qui sont de plus en plus néfastes et s’approchent d’infection type Trojan.
En effet, pour rester le plus longtemps sur l’ordinateur, ces packs tentent de désactiver les antivirus, utiliser des stratagèmes pour éviter les détections antivirus.
Le but est de maximiser la présence pour afficher le plus de publicités possibles avant que l’utilisateur ne parviennent à se débarrasser de ces logiciels malveillants.

Cette fiche fournit une procédure de désinfection standard qui peut vous aider à nettoyer votre ordinateur pour supprimer tous ces cheval de troie et adwares.
N’hésitez pas à venir aussi demander de l’aide sur le forum, pour une désinfection personnalisée.

Continue reading “Trojan:W32/Vagger” »

Backdoor Floxif

Backdoor.Floxif est une détection lié au programme CCleaner.
Courant Aout et Septembre, les serveurs de l’application populaire CCleaner ont été attaqués afin de glisser un malware dans l’application.

Ci-dessous un exemple de détection Backdoor:Win32/Floxif par Windows Defender.

La Backdoor est donc une porte d’entrée sur l’ordinateur qui permet de récupérer des informations et contrôlés ce dernier.
Plus de 2 millions d’utilisateurs auraient été infectés par cette attaque d’envergure.

L’attaque a permis ensuite de cibler des utilisateurs d’entreprises pour étendre et cibler de grosses multi-nationales.

Pour plus d’informations sur cette attaque CCleaner, suivez l’actualité : CCleaner : Un Code malveillant découvert (Trojan.floxif)

Si votre antivirus émet une alerte Trojan.Floxif, paniquez pas.
Si en cherchant des solutions pour supprimer Trojan.Floxif, vous êtes tombé sur des fiches de désinfection proposant d’installer SpyHunter, Trojan Remover ou autres, nous vous recommandons vivement de désinstaller ces derniers.

Suivez simplement les instructions de la page suivante.

Continue reading “Backdoor Floxif” »

Intel Service Provider

Intel Service Provider est la description d’un processus malveillant lié à un Trojan Miner.
Ce dernier va donc utiliser de manière incessante la CPU pour miner.
En clair, il s’agit d’utiliser votre ordinateur pour générer des monnaies virtuels.

Cela se traduit par un ralentissement de Windows et de l’ordinateur et dans le gestionnaire de tâches, Intel Service Provider autour des 100% de CPU.

Comment supprimer le trojan miner Intel Service Provider qui utilise 100% de la CPU et ralentit Windows

Ce Trojan se loge dans le dossier C:\Windows\sys64 et est composé d’un fichier starter.exe qui lance ensuite driver.exe le Trojan Miner.
La clé Run qui permet de lancer starter au démarrage de Windows :

 HKU\S-1-5-21-3492120319-1967141123-4145744258-1001\...\Run: [Test] => c:\Windows\Sys64\starter.exe [299008 2017-08-05] ()

Les antivirus détecte driver.exe en Application.Miner.AN alors que starter.exe est détecté en Trojan-Downloader.

Pour supprimer ce Trojan Miner, vous pouvez suivre notre procédure de désinfection gratuite.

Continue reading “Intel Service Provider” »

Colis.vbs

Colis.vbs est le nom d’un fichier lié à un Trojan.VBS, ce dernier est distribué par des faux emails de Colis Mondial.
Le mail se fait passer pour une remise de colis avec un lien vérolé, si l’internaute clic sur le lien, télécharger et exécute le fichier, le Trojan.VBS Colis.vbs devient alors actif sur l’ordinateur.

Supprimer le Trojan VBS Colis.vbs

Ces menaces visent les médias amovibles et vont remplacer le contenu par des raccourcis qui vont pointer sur le malware.
Une fois inséré sur l’ordinateur, lorsque l’utilisateur va double-cliquer sur ces raccourcis pensant ouvrir ses documents, il va installer l’infection sur le système.
Les malwares de ce type se propagent d’ordinateurs à ordinateurs de cette manière.

Ces infections VBS USB permettent de télécharger et installer de nouveaux malwares sur l’ordinateur.

Supprimer le Trojan VBS Colis.vbs

 

Si vous souhaitez désinfecter votre ordinateur contre les VBS:Malware-gen, nous vous proposons de suivre la procédure de désinfection suivante.
Cette procédure est complètement gratuite et ne met pas en avant de programmes payants.
Celle-ci et très généraliste, afin de supprimer tous les malwares installés dans l’ordinateur et s’assurer que plus aucun malware n’est actif.
En outre, nous vous fournissons un lien vers un forum d’entraide, si vous désirez obtenir une aide personnalisée.

Comment supprimer VBS:Malware-gen ?

Continue reading “Colis.vbs” »

AutoIT Error

Les message AutoIT Error ont souvent pour origine des Trojan RAT.
Il s’agit de plantage du Trojan, qui écrit en langage AutoIT, provoque ces messages d’erreur «  ».

Ainsi lors du démarrage de l’ordinateur ou à intervalles réguliers, une popup AutoIT Error peut s’ouvrir automatiquement.
On trouve alors le message suivant avec l’indication du chemin complet du Cheval de Troie. Ici sous la forme ‘un fichier svchost.exe afin de se camoufler avec les différents svchost.exe légitimes de Windows.

Autolt Error 
Line 15139 (File "C:\Users\marie_000\AppData\Roaming\Microsoft\Windows\svchost.exe"): 
Error: Subscript used on non-accessible variable


Un Cheval de Troie de ce type est particulièrement dangereux, puisqu’il permet en autre de :

  • de voler les mots de passe enregistrés dans les navigateurs internet
  • possède des fonctionnalités de keylogger
  • d’effectuer des captures d’écran du bureau
  • activer et utiliser la WebCam
  • Prendre le contrôle de l’ordinateur à distance
  • Faire télécharger et exécuter des fichiers et donc d’installer d’autres logiciels malveillants
  • Manipuler les fichiers du disque ainsi que le registre de Windows

Comme vous pouvez le constater, les données de l’ordinateur sont en danger ainsi que vos password.
Ces trojans sont souvent distribués à travers des cracks, notamment sur Youtube ou des sites à travers des hébergeurs de fichiers (Mega etc).
Les utilisateurs qui téléchargent un peu tout et n’importe quoi sont particulièrement exposés à ce type de menaces.

Pour désinfecter Windows, supprimer les erreur « AutoIT Error » et tous les virus, vous pouvez suivre notre guide gratuit et sans arnaque.

Continue reading “AutoIT Error” »

SearchProtocolHosttvbs.vbs

Si un message d’erreur Impossible de trouver le fichier script SearchProtocoleHostvbs.vbs provenant de « Windows Script Host » (WSH en abrégé) s’affiche régulièrement… il est probable que votre ordinateur ait été infecté par un virus par clé USB ou virus USB raccourci.

La charge virale, c’est à dire le fichier SearchProtocoleHostvbs.vbs a probablement été supprimé par votre antivirus mais la tâche planifiée qui tente de lancer le fichier, elle est toujours présente, du coup vous recevez un message d’erreur Windows Script Host vous notifiant que ce fichier est introuvable.

Pour plus d’informations sur ces infection WSH, rendez-vous sur le dossier : Malware VBS/WSH/Windows Script Host

En général, vous avez utilisé votre clef USB ou disque dur externe sur un ordinateur infecté, qui a copié le malware dessus.
Lors de la réutilisation de votre média amovibles sur votre ordinateur, vous installez l’infection dessus, au mieux, votre antivirus émet une alerte.

Continue reading “SearchProtocolHosttvbs.vbs” »

Kaymundler

Kaymundler est une famille d’installeur de PUPs ou programme malveillants.
Pour rappel, les PUPs ou programmes potentielles indésirables sont des programmes additifs surtout sous la forme de logiciels publicitaires (adwares) ou Browser Hijacker.

Windows Defender classe ce dernier en TrojanDropper:Win32/Kaymundler.
En effet, les mécanismes utillisées par cette plateforme de PUP sont assez proche de cheval de troie.
Des centaines de faux sites de cracks diffusent des cracks qui s’avèrent être le Trojan.Kaymundler.
Parfois même en annulant ou refusant l’installation des différents programmes mis en avant, celle-ci se fait.

Enfin Kaymundler tente d’échapper à toutes les détections antivirus en utilisant des procédés proches des Trojan.

Attention donc à ce que vous téléchargez car les ennuies commencent ensuite.
Si la détection du Trojan Kaymundler se fait dans un fichier de votre dossier de téléchargement, et que vous n’avez rien ouvert, aucun risque.
Supprimer le fichier détecté comme malveillant.
Si vous avez exécuté le contenu et installez des programmes publicitaires.. il faudra alors procéder à une désinfection totale de l’ordinateur.
Les symptômes dans ce cas sont assez visibles.

En clair donc, il y a de forte chance que l’alerte de votre antivirus sur Kaymundler corresponde à un fichier isolé.
Si vous souhaitez désinfecter votre ordinateur, vous pouvez suivre cette procédure.

Continue reading “Kaymundler” »

Trojan.Fuery

Trojan.Fuery est une famille de Trojan qui peut être notamment détecté par Windows Defender.
Comme tout Trojan, Trojan.Win32.Fuery peut poser des problèmes de sécurité de votre ordinateur et donner.
Ce dernier peut permettre le contrôle à distance de votre ordinateur par des pirates et éventuellement possède des fonctionnalités de keylogger.

 

Ci-dessous, une détection Trojan:Win32/Fuery.A!cl par Windows Defender :

Beaucoup de faux sites de cracks peuvent être vecteur de ce cheval de troie.
Si votre antivirus a détecté ce dernier, s’il s’agit d’un fichier zip dans votre dossier de téléchargement, placez ce dernier en quarantaine ou supprimer les.
Si vous n’avez pas exécuté le contenu du zip, alors votre ordinateur n’est probablement pas infecté.

Si c’est un autre fichier qui est détecté, nous vous conseillons de suivre cette procédure de contrôle qui vise à utiliser Malwarebytes (MBAM) et NOD32 afin de détecter et supprimer toit autre trojan sur Windows.

Continue reading “Trojan.Fuery” »

TrickBot

TrickBot est un Trojan, certains antivirus le classe en Spyware.
En effet, il s’agit d’un Trojan de type Stealer, donc qui cherche à voler les données sur l’ordinateur, dont les mots de passe.
Kaspersky et quelques autres antivrus peuvent détecter ce dernier en Trojan.Win32.Trickster
Le Trojan possède des fonctionnalités de KeyLogger et peut tenter aussi de voler les comptes bancaires à travers des injections de formulaires.

Vous l’aurez compris, TrickBot est donc une menace importante, comme peuvent l’être des trojan comme Zeus ou Dridex.
Courant Juin, des campagnes d’emails malveillants ont pu être utilisé pour pousser le Cheval de Troie TrickBot.
Notamment des emails en français de fausses factures pouvant viser plus particulièrement les services de compta des entreprises.
Le fichier facture.zip contient un script VBS qui permet à son exécution de télécharger et exécuter TrickBot sur l’ordinateur.

Côté fonctionnement, rien de vraiment nouveau.
Un processus avec un nom aléatoire avec un fichier se logeant dans le dossier %APPDATA%.
Exemple ci-dessous avec le processus malveillant cxVyuXG1.exe lié à TrickBot.

La désinfection et suppression de TrickBot n’est pas très compliquée, vous pouvez suivre notre fiche qui explique comment utiliser des scans antivirus gratuits pour s’assurer que le cheval de troie a été supprimé.
Il est impératif de modifier ses mots de passe ensuite car ils peuvent avoir été volés.

Continue reading “TrickBot” »

gXXXX.tmp.exe

gXXXX.tmp.exe sont des fichiers présents dans le dossier C:\Windows\Temp.
X correspondant à des lettres ou chiffres aléatoires.
Ces fichiers font parties de trojan ou cheval de troie et notamment de Trojan.CoinMiner.
D’autres peuvent être détectés en Trojan.Ceram ou Trojan.Wdfload.
Ces derniers visent à bloquer l’installation d’antivirus en installant des certificats de sécurité bogués.

Ce dernier étant un Trojan qui cherche à utiliser votre ordinateur pour miner, c’est à dire créer de la crypto-monnaie (en l’occurrence des bitcoin).

Voici un exemple de détection NOD32 liée à ces virus gXXXX.tmp.exe :

C:\WINDOWS\TEMP\g1A67.tmp.exe une variante de Win64/CoinMiner.BU cheval de troie
C:\WINDOWS\TEMP\g2197.tmp.exe une variante de Win32/Wdfload.O cheval de troie

Ces fichiers gXXXX.tmp.exe malveillants se charge par une clé Run pour se rendre actif au démarrage de Windows :

HKLM\...\RunOnce: [PACKARDBELL] => C:\WINDOWS\TEMP\g2158.tmp.exe [307200 2017-05-29] ()

D’après nos analyses, cette infection est installée par des packs d’adwares et de PUPs (Programmes potentiellement indésirables).
En plus d’installer des logiciels publicitaires, ces packs de programmes parasites installent aussi ces trojans.

Se débarrasser de Win64/CoinMiner et Win32/Wdfload n’est pas forcément facile.
C’est pourquoi vous allez devoir suivre cette procédure de suppression de virus standard.
Cette procédure est très bien détaillée et ne vous fera utiliser que des programmes de désinfection gratuit.

Continue reading “gXXXX.tmp.exe” »

BronCoder

BronCoder est un virus raccourci USB qui se présente sous le nom de fichiers BronCoder.swf.
BronCoder est un script VBS (Microsoft Visual Basic Scripting Edition).
Ces menaces visent les médias amovibles et vont remplacer le contenu par des raccourcis qui vont pointer sur le virus USB.
Une fois inséré sur l’ordinateur, lorsque l’utilisateur va double-cliquer sur ces raccourcis pensant ouvrir ses documents, il va installer l’infection sur le système.
Les malwares de ce type se propagent d’ordinateurs à ordinateurs de cette manière et sont communément appelés « virus USB raccourcis ».

Ces infections VBS USB permettent de télécharger et installer de nouveaux trojans et virus sur l’ordinateur et compromettent donc la sécurité de ce dernier.

Afin de se lancer au démarrage de l’ordinateur pour être ensuite actif dans le système, BronCoder créé une clef RUN comme ci-dessous

Startup: C:\Users\ninou\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\BronCoder.wsf [2015-12-03] () 
HKU\S-1-5-21-1938035182-618634943-2776228131-1001\...\Run: [BronCoder] => wscript.exe //B C:\Users\ninou\AppData\Local\Temp\BronCoder.wsf <===== ATTENTION

Vous pouvez donc aussi rencontrer des messages d’erreur BronCoder.Swf est introuvable, si votre antivirus supprime ce dernier sans nettoyer ces clés autorun.

Si vous souhaitez supprimer ce virus USB BronCoder, vous pouvez suivre ce guide de désinfection.
Cette procédure est complètement gratuite et ne met pas en avant de programmes payants.
Celle-ci et très généraliste, afin de supprimer tous les malwares installés dans l’ordinateur et s’assurer que plus aucun malware n’est actif.
En outre, nous vous fournissons un lien vers un forum d’entraide, si vous désirez obtenir une aide personnalisée.

Comment supprimer BronCoder ?

Continue reading “BronCoder” »

1 2 3 11