Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Fichier caché potentiellement dangereux
Bonjour,
En bidouillant mon PC j'ai trouvé un fichier caché sur le bureau. Les .pps il me semblait que c'est du powerpoint mais en fichier caché ça me semble bizarre. D'autant plus que c'est un .pps#. La date de création du fichier ne colle pas avec la date à laquelle j'ai acheté mon PC. Je ne pense pas que ça soit un fichier windows de base. Quelqu'un pourrait-il me renseigner svp ? Est-ce un fichier dangereux ? Merci d'avance pour votre aide.
Le fait que le fichier commence par un tilde signifie qu'il s'agit d'un fichier temporaire. PAr contre le nom finissant par # c'est bizarre., mais pas forcémet un prob de sécurité.
Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
Mon article sur le P2V, mon article sur le cloud
Consultez nos FAQ : Windows, Linux, Virtualisation
D'accord merci. Fichier temporaire mais qui date de 2019 tout de même, vous pensez que ça vaut le coup de le supprimer ? J'hésite car c'est un fichier caché, je n'ai donc pas envie que ça me casse le système, mais après quelques recherches je n'ai rien trouvé de concluant sur le net. Je me dit que ça doit pas être vital non plus sinon on verrai dans les propriétés que la date de création correspondrait avec la date à laquelle j'ai acheté le PC.Envoyé par chrtophe
Salut,
Les dates de fichiers ne sont pas toujours pertinentes, et celui que tu montres n'a rien à faire sur le bureau.
Avant de le supprimer (ou archiver) calcul son checksum avec certutil par exemple et regarde s'il est référencé sur virustotal.com
https://lecrabeinfo.net/verifier-int...et-certutilexe
https://www.virustotal.com/gui/home/search
Tu peux aussi installer une version d'évaluation d'un bon antivirus (kaspersky ?) et faire une analyse complète de ton pc.
Salut kaitlyn, et merci pour ta réponse.
Je pense que je me suis inquiété pour rien. J'ai regardé sur virustotal et le fichier n'est pas référencé.
Pour le checksum j'ai commencé la manip mais je ne comprend pas une chose : obtenir un hash avec certutil c'est okay mais "comparer l’empreinte du fichier avec celle fournie par l’expéditeur" par contre je pense que c'est impossible vu que je ne sais pas d'où il sort (pas de site officiel ni de téléchargement). Si je récupère la string obtenue avec certutil pour la comparer avec elle même via une condition qui renvoie un booléen ça sera forcément true. Je ne comprend pas comment je pourrais trouver l'empreinte d'origine du fichier.
Sinon j'ai téléchargé bitdefender en version gratuite et il n'a rien relevé pour ce fichier. (par contre il ma trouvé des trojans que panda dome n'avait pas détecté, j'ai été surpris).
J'ai eu l'idée saugrenue d'ouvrir le fichier via un éditeur de texte (sublim text en l'occurence), et surprise, il s'agit en fait d'un petit fichier texte en lien avec open office (logiciel de traitement de texte).
A priori rien de grave, je vais supprimer le fichier et basta.
Je poste les captures que j'ai prises pour illustrer la chose.
Merci encore d'avoir prêté attention à ma demande.
les fichiers cachés commençant par un ~ sont des fichiers temporaires d'Office (.docx pour word, et dans ton cas .pps pour powerpoint). en cas de plantage de l'appli, il est courant que ces fichiers ne soient pas effacés. Ils ont pu être ouverts/modifiés par LibreOffice.
Le fait qu'il finisse par un #, je ne sais pas pourquoi comme je le disais, mais tu n'as effectivement pas à t'inquieter.
Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
Mon article sur le P2V, mon article sur le cloud
Le but était d'utiliser cette empreinte pour faire une recherche sur virustotal.
Suite à ton compte rendu, et si tu en as la capacité, je te suggère de sauvegarder tes données et de faire une réinstallation saine de ton système.
Réinstaller le système pour un fichier temporaire non effacé ? Aucun intérêt. Pour les sauvegardes par contre, elle doivent être faite de façon très régulière.Suite à ton compte rendu, et si tu en as la capacité, je te suggère de sauvegarder tes données et de faire une réinstallation saine de ton système.
Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
Mon article sur le P2V, mon article sur le cloud
Visiblement tu n'as pas lu son message.
Kaitlyn, vous parlez de réinstaller le système à cause des trojans mis en quarantaine par bitdefender ?
Je me pose une question (je dévie un peu du sujet principal mais je n'ai pas eu de réponse sur mon autre post donc je profite de ce fil)
Mon navigateur Google Chrome indique qu'il est, je cite : "géré par votre organisation".
Sauf que c'est sur mon PC privé et qu'il n'y a donc pas de raison à cela à priori.
La seule incidence que j'ai pu relever c'est une règle trouvée dans les "chrome://policy/". Il s'agit de : "NotificationsAllowedForUrls". Pour le site ["https://[*.]dimlitroom.com:443"].
En apparence rien de très grave, mais je tique tout de même.
Le site en question, auquel j'accède via l'URL, me renvoie directement sur la page d'accueil de google. (même via firefox).
Je pense que tout cela est dû à une ancienne attaque, un malware que j'ai supprimé entre temps mais je n'ai aucune certitude, n'ayant aucune qualification en cybersécurité.
J'ai essayé de supprimer la règle et de reprendre la main sur mon navigateur mais je sèche complètement.
Est-ce que l'un de vous deux saurais si il y a un risque en terme de sécurité à ce niveau là ? (après je vous embête plus promis)
Merci beaucoup.
Moi je suis sous Opéra. Mais en théorie, cela n'est pas grave. Les notifications sont la petite boîte de dialogue qui apparait lorsque tu arrives sur 1 site "Voulez-vous recevoir les notifications ?"
Tu as 2 boutons oui/ autoriser ou non/ refuser : en cliquant sur l'1 ou l'autre, tu crées 1 règle.
Justement, si tu as 1 règle pour le site, le site ne te redemandera plus si tu veux les notifications (puisque tu as autorisé ou refusé)
Moi ayant marre de nettoyer les profondeurs de mon navigateur
après tu peux regarder le code source de la page : avec la redirection vers google, il faudra sûrement y aller au cURL.
J'utilise exclusivement Firefox, la version dite ESR.
Pour chrome et l'OS, mon avis est qu'il faut partir du principe que tout ton système a été corrompu. Ainsi si tu as des comptes internets enregistrés dans tes navigateurs, il faudra les vérifier et changer les mots de passes. Si tu as d'autres ordinateurs sur ton réseau, il faudra aussi les contrôler. Donc pour moi oui il faut absolument récupérer toutes tes données et réinstaller le système.
Enfin et à défaut de connaître l'origine des infections, tu peux aussi vérifier que le driver de ton modem est à jour et voir comment changer ton adresse IP publique.
Voilà, pour toi c'est ce qui a de plus simple à faire pour repartir sur une base saine et la tranquillité d'esprit qui va avec.
Bonjour, et merci pour ta réponse.Moi je suis sous Opéra. Mais en théorie, cela n'est pas grave. Les notifications sont la petite boîte de dialogue qui apparait lorsque tu arrives sur 1 site "Voulez-vous recevoir les notifications ?"
Tu as 2 boutons oui/ autoriser ou non/ refuser : en cliquant sur l'1 ou l'autre, tu crées 1 règle.
Justement, si tu as 1 règle pour le site, le site ne te redemandera plus si tu veux les notifications (puisque tu as autorisé ou refusé
Moi ayant marre de nettoyer les profondeurs de mon navigateur
Oui je vois bien le genre, à priori une autorisation pour des notification ce n'est pas très grave, c'est ce que je m'étais dit, mais ce qui me dérange c'est que ça ne vient pas de moi à priori. Et le fait que mon navigateur soit géré à distance est plutôt inquiétant. (sachant que c'est mon pc privé)
Ne connaissant pas cURL, pour aller récupérer le code source j'ai juste fait contrôle U avant la redirection et le code source est assez minimaliste en apparence :
Par contre le sw.register.js c'est du javascript compilé/ ("minifié?") (donc pour moi illisible). Le fichier est long donc je ne vais pas le poster là sauf si quelqu'un trouve ça utile.
Code : Sélectionner tout - Visualiser dans une fenêtre à part <html><body><script>window._SWP={pid:940,s1:"",s2:"",auto:true,callback:function(result){location.href="https://www.google.com"}};</script><script src="/sw.register.js"></script></body></html>
J'ai interrogé Chat GPT pour voir s'il arrivait à lire un extrait du code (trop long pour passer en 1 seul message), et il m'a répondu :
Après une recherche rapide je viens de trouver un site anglophone qui affirme bien que dimlitroom.com est indésirable. Voici un petit extrait traduit en français :Il semble que le code que vous avez publié soit lié à l'API IndexedDB, qui est une technologie de stockage Web côté client utilisée pour stocker des données localement dans le navigateur. IndexedDB n'est pas spécifique aux serveurs Web, mais permet plutôt aux applications Web de stocker des données côté client et d'y accéder même hors ligne. Le code semble définir un ensemble de fonctions utilitaires pour travailler avec IndexedDB, telles que la définition et l'initialisation des schémas de base de données, l'accès et la modification des données dans la base de données et la gestion des transactions. Il utilise également quelques fonctionnalités JavaScript telles que Promises et Proxies pour gérer les opérations asynchrones et fournir une interface plus simple avec laquelle les développeurs peuvent travailler.
La dernière actualisation des règles Google chrome a eu lieu il y a 21 jours, cela veut dire que le virus est toujours actif ? Ça m'étonne que bitdefender n'ai pas capté le truc. Vu que mon navigateur est "géré à distance" ça veut surement dire que le problème n'est pas encore réglé.Dimlitroom.com détecté comme adware.
L'objectif principal de Dimlitroom.com est d'afficher les annonces sur votre PC et de détourner votre navigateur en modifiant ses paramètres.
Aujourd'hui, nous découvrirons ce qu'est dimlitroom.com, comment cela fonctionne et comment supprimer dimlitroom.com de votre ordinateur. Dimlitroom.com infiltre généralement votre ordinateur tout en étant téléchargé dans un paquet avec des programmes piratés populaires ou tout en étant inclus dans un fichier téléchargé avec un tas d'autres chevaux de Troie.
Dimlitroom.com vous cause les grands problèmes, tels que le remplacement de votre page de démarrage de votre navigateur par un malveillant, la redirection de recherche de navigateur, la modification des paramètres de sécurité et l'autorisation de publicités contextuelles.
Le virus dimlitroom.com accomplit ces tâches en enregistrant le processus de virus en démarrage ou en lançant automatiquement des sites malveillants.
Quelqu'un aurait un avis là dessus svp ?
Merci beaucoup.
Pour récupérer toutes les données et réinstaller le système il faut que je mette tout le contenu de mes dossiers perso sur un disque dur externe et réinitialiser l'ordi c'est bien ça ?
Mais je ne risque pas de garder involontairement un fichier infecté ? (normalement il ne devrait plus y en avoir, après 6h de scan de bitdefender mais bon on est jamais sûr)
Je vais suivre tes conseils et voir pour le modem et l'adresse IP aussi.
Merci beaucoup Kaitlyn.
Apparemment tu peux … mais c'est le chantier : extension à supprimer, paramètre obscure du navigateur, clef de registre Windows, stratégie Windows, … Google et ses options "de sécurité" (
Je serais d'avis d'essayer de
- supprimer ce virus (qui date de 2019-2020, soit 3 ans) - trucs classiques : applications au démarrage, dossier local temporaire, processus qui tournent, dossier bizarre sur le disque dur (tu as flippé avec 1 fichier temporaire Word
), règles dans le pare-feu, …
- de désactiver "votre navigateur est géré" - éventuellement tu supprimes tout Chrome pour le remettre (cela prend 5 minutes, tout réinstaller c'est au moins 2 heures
)
Là je peux te donner aucune aide : dépend de ton système d'exploitation, des butineurs que tu utilises (parce qu'il faut aussi nettoyer Edge apparemment), du nombre de machines … attendre 1 problème (que le virus se manifeste, mais bon si ton antivirus ne te dit rien, tu ne dois pas avoir grand chose)
Et si ton antivirus ne voit rien, c'est peut-être parce que c'est 1 accès avec ton Chrome : l'antivirus ne peut pas savoir avec quel site, ton butineur communique (il me semble que tu avais 1 protection Internet en temps réel … qui ralentissait [fortement] Internet
Édit : après, cela peut-être juste 1 "sniffer" d'informations personnelles.
Après … c'est le bouton nucléaire - tout réinstaller
La sécurité de la machine a été compromise, c'est-à-dire que même si les virus sont éradiqués, ils ont entre temps apporté un certain nombre de modifications qui font que l'ordinateur puisse de nouveau être exploité à tout moment.
Si c'est juste l'histoire "le navigateur est géré par votre organisation", le reset de celui-ci devrait suffire.
Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
Mon article sur le P2V, mon article sur le cloud
Un grand merci à toutes et à tous pour vos conseils avisés. Je vais m'occuper de ce problème dans les jours à venir, sans trop trainer. Si j'arrive à régler tout ça je posterai un message ici et je passerai le sujet en résolu.
Bonjour à toutes et à tous
Je vous présente mes excuses pour cette réponse un peu tardive j'ai été bien malade cette semaine.
Bon, j'ai résolu le problème (à priori).
Je vous explique rapidement.
Petite précision : je suis sur window 8.1 qui ne reçoit plus les maj de Google chrome qui juge ce système d'exploitation obsolète.
Les étapes :
J'ai d'abord désinstallé Google chrome, puis je l'ai réinstallé.
Là, deux "extensions" -> avast et avg annonce (à priori malveillantes), s'installent automatiquement.
Je supprime les deux extensions depuis le navigateur.
Ensuite j'ai suivi la doc Google via cette URL :
1 - Supprimez les clés de registre suivantes dans l'éditeur de registres windows : (taper regedit dans barre de recherche windows)
Les deux dernières n'étaient pas présentes sur mon PC mais ce n'est pas grave.HKEY_CURRENT_USER\Software\Google\Chrome
HKEY_CURRENT_USER\Software\Policies\Google\Chrome
HKEY_LOCAL_MACHINE\Software\Google\Chrome
HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome
HKEY_LOCAL_MACHINE\Software\Policies\Google\Update
HKEY_LOCAL_MACHINE\Software\WOW6432Node\Google\Enrollment
2 - Supprimez la valeur intitulée CloudManagementEnrollmentToken de la clé de registre :
3 - Supprimez le répertoire dans lequel Google Update écrit les règles cloud mises en cache :HKEY_LOCAL_MACHINE\Software\WOW6432Node\Google\Update\ClientState\{430FD4D0-B729-4F61-AA34-91526481799D}
Ce dernier n'existe pas sur mon PC, mais ce n'est pas grave.%ProgramFiles(x86)%\Google\Policies
Ensuite :
Vérification de mon téléphone : pas de règle sur le navigateur chrome du téléphone, antivirus du téléphone okay : à priori il n'est pas infecté.
Normalement l'intégrité de mes comptes Google n'est pas compromise. (pas par ce virus en tout cas)
En suivant je désinstalle Google chrome sur mon PC.
Je réinstalle Google chrome sur mon PC : il n'y a plus d'extensions indésirables téléchargées automatiquement à l'installation du navigateur.
Le navigateur n'est plus géré par "votre organisation".
Il n'y a plus de règles dans les policies de Google (en fait dimlitroom.com faisait télécharger automatiquement des extensions malveillantes dans le navigateur, si j'ai bien compris)
J'ai lancé une analyse avec adwcleaner (de chez Malwarebytes) et BitDefender en analyse rapide, aucun problème n'a été détecté.
Le système semble bien désinfecté, en tout cas par rapport au problème évoqué plus haut.
Je vais laisser ce fil de discussion ouvert encore quelques jours, au cas où quelqu'un ai quelque chose à rajouter, ou se trouve face à un problème similaire.
Je vous remercie encore pour votre aide et vos conseils, et vous souhaite à toutes et à tous un agréable week-end.
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager