Backdoor Floxif

Backdoor.Floxif est une détection lié au programme CCleaner.
Courant Aout et Septembre, les serveurs de l’application populaire CCleaner ont été attaqués afin de glisser un malware dans l’application.

Ci-dessous un exemple de détection Backdoor:Win32/Floxif par Windows Defender.

La Backdoor est donc une porte d’entrée sur l’ordinateur qui permet de récupérer des informations et contrôlés ce dernier.
Plus de 2 millions d’utilisateurs auraient été infectés par cette attaque d’envergure.

L’attaque a permis ensuite de cibler des utilisateurs d’entreprises pour étendre et cibler de grosses multi-nationales.

Pour plus d’informations sur cette attaque CCleaner, suivez l’actualité : CCleaner : Un Code malveillant découvert (Trojan.floxif)

Si votre antivirus émet une alerte Trojan.Floxif, paniquez pas.
Si en cherchant des solutions pour supprimer Trojan.Floxif, vous êtes tombé sur des fiches de désinfection proposant d’installer SpyHunter, Trojan Remover ou autres, nous vous recommandons vivement de désinstaller ces derniers.

Suivez simplement les instructions de la page suivante.

Continue reading “Backdoor Floxif” »

Intel Service Provider

Intel Service Provider est la description d’un processus malveillant lié à un Trojan Miner.
Ce dernier va donc utiliser de manière incessante la CPU pour miner.
En clair, il s’agit d’utiliser votre ordinateur pour générer des monnaies virtuels.

Cela se traduit par un ralentissement de Windows et de l’ordinateur et dans le gestionnaire de tâches, Intel Service Provider autour des 100% de CPU.

Comment supprimer le trojan miner Intel Service Provider qui utilise 100% de la CPU et ralentit Windows

Ce Trojan se loge dans le dossier C:\Windows\sys64 et est composé d’un fichier starter.exe qui lance ensuite driver.exe le Trojan Miner.
La clé Run qui permet de lancer starter au démarrage de Windows :

 HKU\S-1-5-21-3492120319-1967141123-4145744258-1001\...\Run: [Test] => c:\Windows\Sys64\starter.exe [299008 2017-08-05] ()

Les antivirus détecte driver.exe en Application.Miner.AN alors que starter.exe est détecté en Trojan-Downloader.

Pour supprimer ce Trojan Miner, vous pouvez suivre notre procédure de désinfection gratuite.

Continue reading “Intel Service Provider” »

Colis.vbs

Colis.vbs est le nom d’un fichier lié à un Trojan.VBS, ce dernier est distribué par des faux emails de Colis Mondial.
Le mail se fait passer pour une remise de colis avec un lien vérolé, si l’internaute clic sur le lien, télécharger et exécute le fichier, le Trojan.VBS Colis.vbs devient alors actif sur l’ordinateur.

Supprimer le Trojan VBS Colis.vbs

Ces menaces visent les médias amovibles et vont remplacer le contenu par des raccourcis qui vont pointer sur le malware.
Une fois inséré sur l’ordinateur, lorsque l’utilisateur va double-cliquer sur ces raccourcis pensant ouvrir ses documents, il va installer l’infection sur le système.
Les malwares de ce type se propagent d’ordinateurs à ordinateurs de cette manière.

Ces infections VBS USB permettent de télécharger et installer de nouveaux malwares sur l’ordinateur.

Supprimer le Trojan VBS Colis.vbs

 

Si vous souhaitez désinfecter votre ordinateur contre les VBS:Malware-gen, nous vous proposons de suivre la procédure de désinfection suivante.
Cette procédure est complètement gratuite et ne met pas en avant de programmes payants.
Celle-ci et très généraliste, afin de supprimer tous les malwares installés dans l’ordinateur et s’assurer que plus aucun malware n’est actif.
En outre, nous vous fournissons un lien vers un forum d’entraide, si vous désirez obtenir une aide personnalisée.

Comment supprimer VBS:Malware-gen ?

Continue reading “Colis.vbs” »

AutoIT Error

Les message AutoIT Error ont souvent pour origine des Trojan RAT.
Il s’agit de plantage du Trojan, qui écrit en langage AutoIT, provoque ces messages d’erreur «  ».

Ainsi lors du démarrage de l’ordinateur ou à intervalles réguliers, une popup AutoIT Error peut s’ouvrir automatiquement.
On trouve alors le message suivant avec l’indication du chemin complet du Cheval de Troie. Ici sous la forme ‘un fichier svchost.exe afin de se camoufler avec les différents svchost.exe légitimes de Windows.

Autolt Error 
Line 15139 (File "C:\Users\marie_000\AppData\Roaming\Microsoft\Windows\svchost.exe"): 
Error: Subscript used on non-accessible variable


Un Cheval de Troie de ce type est particulièrement dangereux, puisqu’il permet en autre de :

  • de voler les mots de passe enregistrés dans les navigateurs internet
  • possède des fonctionnalités de keylogger
  • d’effectuer des captures d’écran du bureau
  • activer et utiliser la WebCam
  • Prendre le contrôle de l’ordinateur à distance
  • Faire télécharger et exécuter des fichiers et donc d’installer d’autres logiciels malveillants
  • Manipuler les fichiers du disque ainsi que le registre de Windows

Comme vous pouvez le constater, les données de l’ordinateur sont en danger ainsi que vos password.
Ces trojans sont souvent distribués à travers des cracks, notamment sur Youtube ou des sites à travers des hébergeurs de fichiers (Mega etc).
Les utilisateurs qui téléchargent un peu tout et n’importe quoi sont particulièrement exposés à ce type de menaces.

Pour désinfecter Windows, supprimer les erreur « AutoIT Error » et tous les virus, vous pouvez suivre notre guide gratuit et sans arnaque.

Continue reading “AutoIT Error” »

SearchProtocolHosttvbs.vbs

Si un message d’erreur Impossible de trouver le fichier script SearchProtocoleHostvbs.vbs provenant de « Windows Script Host » (WSH en abrégé) s’affiche régulièrement… il est probable que votre ordinateur ait été infecté par un virus par clé USB ou virus USB raccourci.

La charge virale, c’est à dire le fichier SearchProtocoleHostvbs.vbs a probablement été supprimé par votre antivirus mais la tâche planifiée qui tente de lancer le fichier, elle est toujours présente, du coup vous recevez un message d’erreur Windows Script Host vous notifiant que ce fichier est introuvable.

Pour plus d’informations sur ces infection WSH, rendez-vous sur le dossier : Malware VBS/WSH/Windows Script Host

En général, vous avez utilisé votre clef USB ou disque dur externe sur un ordinateur infecté, qui a copié le malware dessus.
Lors de la réutilisation de votre média amovibles sur votre ordinateur, vous installez l’infection dessus, au mieux, votre antivirus émet une alerte.

Continue reading “SearchProtocolHosttvbs.vbs” »

Kaymundler

Kaymundler est une famille d’installeur de PUPs ou programme malveillants.
Pour rappel, les PUPs ou programmes potentielles indésirables sont des programmes additifs surtout sous la forme de logiciels publicitaires (adwares) ou Browser Hijacker.

Windows Defender classe ce dernier en TrojanDropper:Win32/Kaymundler.
En effet, les mécanismes utillisées par cette plateforme de PUP sont assez proche de cheval de troie.
Des centaines de faux sites de cracks diffusent des cracks qui s’avèrent être le Trojan.Kaymundler.
Parfois même en annulant ou refusant l’installation des différents programmes mis en avant, celle-ci se fait.

Enfin Kaymundler tente d’échapper à toutes les détections antivirus en utilisant des procédés proches des Trojan.

Attention donc à ce que vous téléchargez car les ennuies commencent ensuite.
Si la détection du Trojan Kaymundler se fait dans un fichier de votre dossier de téléchargement, et que vous n’avez rien ouvert, aucun risque.
Supprimer le fichier détecté comme malveillant.
Si vous avez exécuté le contenu et installez des programmes publicitaires.. il faudra alors procéder à une désinfection totale de l’ordinateur.
Les symptômes dans ce cas sont assez visibles.

En clair donc, il y a de forte chance que l’alerte de votre antivirus sur Kaymundler corresponde à un fichier isolé.
Si vous souhaitez désinfecter votre ordinateur, vous pouvez suivre cette procédure.

Continue reading “Kaymundler” »

Trojan.Fuery

Trojan.Fuery est une famille de Trojan qui peut être notamment détecté par Windows Defender.
Comme tout Trojan, Trojan.Win32.Fuery peut poser des problèmes de sécurité de votre ordinateur et donner.
Ce dernier peut permettre le contrôle à distance de votre ordinateur par des pirates et éventuellement possède des fonctionnalités de keylogger.

 

Ci-dessous, une détection Trojan:Win32/Fuery.A!cl par Windows Defender :

Beaucoup de faux sites de cracks peuvent être vecteur de ce cheval de troie.
Si votre antivirus a détecté ce dernier, s’il s’agit d’un fichier zip dans votre dossier de téléchargement, placez ce dernier en quarantaine ou supprimer les.
Si vous n’avez pas exécuté le contenu du zip, alors votre ordinateur n’est probablement pas infecté.

Si c’est un autre fichier qui est détecté, nous vous conseillons de suivre cette procédure de contrôle qui vise à utiliser Malwarebytes (MBAM) et NOD32 afin de détecter et supprimer toit autre trojan sur Windows.

Continue reading “Trojan.Fuery” »

TrickBot

TrickBot est un Trojan, certains antivirus le classe en Spyware.
En effet, il s’agit d’un Trojan de type Stealer, donc qui cherche à voler les données sur l’ordinateur, dont les mots de passe.
Kaspersky et quelques autres antivrus peuvent détecter ce dernier en Trojan.Win32.Trickster
Le Trojan possède des fonctionnalités de KeyLogger et peut tenter aussi de voler les comptes bancaires à travers des injections de formulaires.

Vous l’aurez compris, TrickBot est donc une menace importante, comme peuvent l’être des trojan comme Zeus ou Dridex.
Courant Juin, des campagnes d’emails malveillants ont pu être utilisé pour pousser le Cheval de Troie TrickBot.
Notamment des emails en français de fausses factures pouvant viser plus particulièrement les services de compta des entreprises.
Le fichier facture.zip contient un script VBS qui permet à son exécution de télécharger et exécuter TrickBot sur l’ordinateur.

Côté fonctionnement, rien de vraiment nouveau.
Un processus avec un nom aléatoire avec un fichier se logeant dans le dossier %APPDATA%.
Exemple ci-dessous avec le processus malveillant cxVyuXG1.exe lié à TrickBot.

La désinfection et suppression de TrickBot n’est pas très compliquée, vous pouvez suivre notre fiche qui explique comment utiliser des scans antivirus gratuits pour s’assurer que le cheval de troie a été supprimé.
Il est impératif de modifier ses mots de passe ensuite car ils peuvent avoir été volés.

Continue reading “TrickBot” »

gXXXX.tmp.exe

gXXXX.tmp.exe sont des fichiers présents dans le dossier C:\Windows\Temp.
X correspondant à des lettres ou chiffres aléatoires.
Ces fichiers font parties de trojan ou cheval de troie et notamment de Trojan.CoinMiner.
D’autres peuvent être détectés en Trojan.Ceram ou Trojan.Wdfload.
Ces derniers visent à bloquer l’installation d’antivirus en installant des certificats de sécurité bogués.

Ce dernier étant un Trojan qui cherche à utiliser votre ordinateur pour miner, c’est à dire créer de la crypto-monnaie (en l’occurrence des bitcoin).

Voici un exemple de détection NOD32 liée à ces virus gXXXX.tmp.exe :

C:\WINDOWS\TEMP\g1A67.tmp.exe une variante de Win64/CoinMiner.BU cheval de troie
C:\WINDOWS\TEMP\g2197.tmp.exe une variante de Win32/Wdfload.O cheval de troie

Ces fichiers gXXXX.tmp.exe malveillants se charge par une clé Run pour se rendre actif au démarrage de Windows :

HKLM\...\RunOnce: [PACKARDBELL] => C:\WINDOWS\TEMP\g2158.tmp.exe [307200 2017-05-29] ()

D’après nos analyses, cette infection est installée par des packs d’adwares et de PUPs (Programmes potentiellement indésirables).
En plus d’installer des logiciels publicitaires, ces packs de programmes parasites installent aussi ces trojans.

Se débarrasser de Win64/CoinMiner et Win32/Wdfload n’est pas forcément facile.
C’est pourquoi vous allez devoir suivre cette procédure de suppression de virus standard.
Cette procédure est très bien détaillée et ne vous fera utiliser que des programmes de désinfection gratuit.

Continue reading “gXXXX.tmp.exe” »

BronCoder

BronCoder est un virus raccourci USB qui se présente sous le nom de fichiers BronCoder.swf.
BronCoder est un script VBS (Microsoft Visual Basic Scripting Edition).
Ces menaces visent les médias amovibles et vont remplacer le contenu par des raccourcis qui vont pointer sur le virus USB.
Une fois inséré sur l’ordinateur, lorsque l’utilisateur va double-cliquer sur ces raccourcis pensant ouvrir ses documents, il va installer l’infection sur le système.
Les malwares de ce type se propagent d’ordinateurs à ordinateurs de cette manière et sont communément appelés « virus USB raccourcis ».

Ces infections VBS USB permettent de télécharger et installer de nouveaux trojans et virus sur l’ordinateur et compromettent donc la sécurité de ce dernier.

Afin de se lancer au démarrage de l’ordinateur pour être ensuite actif dans le système, BronCoder créé une clef RUN comme ci-dessous

Startup: C:\Users\ninou\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\BronCoder.wsf [2015-12-03] () 
HKU\S-1-5-21-1938035182-618634943-2776228131-1001\...\Run: [BronCoder] => wscript.exe //B C:\Users\ninou\AppData\Local\Temp\BronCoder.wsf <===== ATTENTION

Vous pouvez donc aussi rencontrer des messages d’erreur BronCoder.Swf est introuvable, si votre antivirus supprime ce dernier sans nettoyer ces clés autorun.

Si vous souhaitez supprimer ce virus USB BronCoder, vous pouvez suivre ce guide de désinfection.
Cette procédure est complètement gratuite et ne met pas en avant de programmes payants.
Celle-ci et très généraliste, afin de supprimer tous les malwares installés dans l’ordinateur et s’assurer que plus aucun malware n’est actif.
En outre, nous vous fournissons un lien vers un forum d’entraide, si vous désirez obtenir une aide personnalisée.

Comment supprimer BronCoder ?

Continue reading “BronCoder” »

minerd.exe

minerd.exe est un processus malveillant qui peut saturer l’utilisation CPU.
En effet, il s’agit d’un Trojan Bitcoin, ce cheval de troie va utiliser votre ordinateur afin de générer des bitcoin.
Cela a pour conséquence de ralentir fortement Windows, puisque les ressources systèmes vont être consacrées à cet effet.

En général, ces trojan proviennent de téléchargement illégaux, comme des cracks, des mods Minecraft ou toute sortes de choses que vous trouvez sur la toile, mis en ligne pour infecter vos ordinateurs.
En exécutant ces fichiers vérolés, vous installez le virus minerd.exe au démarrage de Windows qui va alors se lancer avec le bureau de Windows pour bouffer la CPU.

La désinfection, quant à elle, n’est pas très compliquée, il suffit d’utiliser quelques logiciels de désinfection et de nettoyage de Windows.

Dans cette fiche, nous vous expliquons et guidons pour utiliser ces programmes de suppression de virus gratuits.
Un lien vers un forum d’aide informatique avec des personnes compétentes vous ait aussi donnés, si vous rencontrez encore des problèmes.

Continue reading “minerd.exe” »

HTML:Script-inf

La détection HTML:Script-inf de l’antivirus Avast! peuvent s’afficher lors du surf et de la visite d’un site.
Avast! détecte tout simplement un contenu malveillant sur la page WEB. Bien souvent, il peut s’agir soit d’une tentative de redirection vers un Web Exploit, soit une publicité malicieuse, notamment sur les sites de streaming illégaux.

La détection HTML:Script-inf d’Avast! peut avoir plusieurs sources :

  • Vous avez visité un site connu pour être malicieuse. Dans ce cas, la détection Avast! indique comme processus votre navigateur WEB : firefox.exe, chrome.exe où iexplore.exe – Cette détection ne se répète pas dans le temps et correspond à la visite précise d’un site internet.
  • Un logiciel malveillant sur votre PC a tenté de se connecter à une adresse connue pour être malicieuse. Dans cas, les alertes se répètent régulièrement.

Exemple de détection antivirus de la protection WEB et explications sur les détections de la protection WEB en vidéo :

Il faut donc bien distinguer deux cas, un site internet qui est à l’origine de l’alerte HTML:Script-inf  et contient un JavaScript malveillant.
Des alertes répétées qui peuvent avoir pour origine un trojan, adwares ou autres logiciels malveillants actifs dans Windows.

Le premier cas, ne nécessite aucun action particulière, il est recommandé de ne pas tenter de visiter à nouveau le site internet en question, il peut avoir été piraté pour rediriger les visiteurs vers des WEB Exploit afin d’infecter votre ordinateur.
Avast! bloque la menace. Il faut attendre que le propriétaire du site internet, nettoie ce dernier et le sécurise.

Dans le second cas, si un programme malveillant est actif sur l’ordinateur, vous devez procéder à une désinfection de Windows.
Nous vous proposons de suivre notre procédure de suppression de virus à l’aide d’outil gratuit et sans arnaque.

Continue reading “HTML:Script-inf” »

Trojan:Win32

Trojan:Win32 et plus particulièrement Trojan:Win32/ est le suffixe utiliser dans les détections Microsoft.
Ceci nous informe donc qu’il s’agit d’une menace malveillance de type Trojan et Win32 qui s’attaque au système d’exploitation Windows.
Microsoft utilise aussi les préfixes Backdoor:Win32 et Worm:Win32 pour d’autres types de menaces.
Dans la détection se trouve après le / le nom de la famille du malware détecté, par exemple : Trojan: Win32/Rundas Trojan: Win32/Maltule

Si Windows Defender émet une alerte Trojan:Win32, deux cas de figure se présente :

  • Vous avez tenté d’ouvrir un fichier malicieux et Windows Defender a détecté et bloqué le malware. Windows n’est pas infecté, aucun malware n’est actif.
  • Vous avez procédé à une analyse de l’ordinateur et Trojan:Win32 a été détecté dans un fichier. Il est alors possible qu’un malware soit actif dans l’ordinateur.

Voici un exemple de détecté Trojan:Win32

Trojan_Win32

Les virus comme Trojan:Win32 permettent d’effectuer toute sorte de chose, comme voler les mots de passe, permettent de contrôler l’ordinateur à distance,utiliser l’ordinateur pour envoyer des mails de spams, télécharger et installer de nouveaux malwares, etc.

Si Windows Defender a émis une alerte Trojan:Win32,vous pouvez suivre la procédure de désinfection et de contrôle proposée dans ce guide.
Cette procédure est entièrement gratuite et sans arnaque et vous permet d’avoir un contre avis avec deux logiciels de désinfection gratuits et performant.
En outre, nous vous donnons à la fin de la procédure de désinfection, un lien vers un forum d’entraide, si vous désirez faire analyser votre ordinateur par un professionnel gratuitement.

Continue reading “Trojan:Win32” »

SysinfY2X

SysinfY2X est le nom d’un fichier qui se place dans le dossier temporaire de l’ordinateur et qui est lié à des infections amovibles.
SysinfY2X est un script VBS (Microsoft Visual Basic Scripting Edition).
Ces menaces visent les médias amovibles et vont remplacer le contenu par des raccourcis qui vont pointer sur le malware.
Une fois inséré sur l’ordinateur, lorsque l’utilisateur va double-cliquer sur ces raccourcis pensant ouvrir ses documents, il va installer l’infection sur le système.
Les malwares de ce type se propagent d’ordinateurs à ordinateurs de cette manière et sont communément appelés « virus USB raccourcis ».

Ces infections VBS USB permettent de télécharger et installer de nouveaux malwares sur l’ordinateur.

Afin de se lancer au démarrage de l’ordinateur pour être ensuite actif dans le système, SysinfY2X créé une clef RUN comme ci-dessous

HKU\S-1-5-21-1417001333-2052111302-2146970891-1003\...\Run: [SysinfY2X] => C:\WINDOWS\system32\cmd.exe /c start wscript  /e:VBScript.Encode

Si vous souhaitez désinfecter votre ordinateur contre les SysinfY2X, nous vous proposons de suivre la procédure de désinfection suivante.
Cette procédure est complètement gratuite et ne met pas en avant de programmes payants.
Celle-ci et très généraliste, afin de supprimer tous les malwares installés dans l’ordinateur et s’assurer que plus aucun malware n’est actif.
En outre, nous vous fournissons un lien vers un forum d’entraide, si vous désirez obtenir une aide personnalisée.

Comment supprimer SysinfY2X ?

Continue reading “SysinfY2X” »

HEUR/Suspar.Gen

HEUR/Suspar.Gen est une détection heuristique de l’antivirus Avira Antivir.
Voici une exemple de ces détections HEUR/Suspar.gen qui proviennent de zips malicieux reçus par email.

Antivir_HEUR_SUSPAR

Voici un exemple des campagnes d’emails malicieux, il s’agit de campagne du ransomware Locky.
Comme vous pouvez le voir, ces emails sont identiques et en langue anglaise, bien que parfois, elles peuvent être en français.
Tous ces emails contiennent un zip.
En tentant d’ouvrir ces derniers, vous aurez une alerte HEUR/Suspar.Gen

Antivir_HEUR_SUSPAR_mail_malicieux_3 Antivir_HEUR_SUSPAR_mail_malicieux_2 Antivir_HEUR_SUSPAR_mail_malicieux

Ces détections HEUR/Suspar.Gen peuvent être donnés sur vos emails, dans ce cas précis, vous devez nettoyer tous les SPAMS et supprimer tous les emails malicieux.
Antivir ne devrait plus alors donner des alertes HEUR/Suspar.Gen.

Si néanmoins, vous désirez effectuer une vérification intégrale de l’ordinateur contre les malwares.
Vous pouvez suivre cette procédure gratuit.

Continue reading “HEUR/Suspar.Gen” »

1 2 3 11