Votre question
Résolu

aide pour supprimer virus SetStretch

Tags :
  • Windows
  • Virus
  • Sécurité
  • Clés USB
Dernière réponse : dans Sécurité et virus
21 Juillet 2014 05:38:10

Bonjour,

j'ai un malware ou un virus du nom de SetStretch qui était sur une clé usb et qui est désormais passé sur mon pc dans ProgramData, et il existe sous les extensions .exe .vbs et .cmd
(à la base, j'avais des fichiers sur clé usb mais quand je la branchais ça me mettait vide :ouch:  alors que l'espace disque de la clé usb était occupé. j'ai pu retrouvé mes fichiers mais du coup j'ai ce virus sur mon pc et peut-être toujours sur cette clé...)

J'ai d'autres soucis qui sont apparus avec :
- j'ai tout un tas de fichiers desktop.ini un peu partout :/ 
- j'ai le bloc notes qui s'ouvre au démarrage de windows avec ceci : [.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

- internet rame un peu aussi

Les scans faits avec MalwareBytes et mon antivirus Nod32 n'ont rien détecté...

Du coup, j'aimerais savoir quoi faire pour me débarrasser de ce truc et des desktop.ini apparus avec, car après avoir cherché sur le net, il y a plusieurs procédures différentes mais je ne sais pas quoi faire...

Perso, comme je savais où il était caché je pensais le virer dans la Corbeille ou le détruire avec Axcrypt mais je sais pas si mon pc sera vraiment clean et si tous les fichiers desktop.ini disparaitront.

Voilà, si quelqu'un pourrait m'aider pour éradiquer la chose ce serait gentil merci ! ;) 

Autres pages sur : aide supprimer virus setstretch

a c 1048 8 Sécurité
a b 9 Windows
21 Juillet 2014 07:52:43

Bonjour,

Nous allons regarder cela ensemble en commençant par établir un diagnostic de ton système :

---------------------------------------------------------------------------------------------

FRST :

  • Télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau <-- Important

    Pour un système en 32 bits -> FRST
    Pour un système en 64 bits -> FRST64
    Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?

    Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page.
    Rappel : FRST doit être enregistré sur ton Bureau <-- Important

  • Ferme toutes les applications, y compris ton navigateur
  • Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
    /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Sur le menu principal, clique sur Scan et patiente le temps de l'analyse
  • A la fin du scan, les rapports FRST.txt et Addition.txt sont créés. Poste ces rapports dans ta prochaine réponse.
    Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs


  • Sous IE9, IE10 ou IE11, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

    ---------------------------------------------------------------------------------------------

    USBFix - Recherche :

    • Télécharge UsbFix de El Desaparecido et enregistre-le sur ton Bureau
    • /!\ Important -> Branche tous les périphériques externes (clés, disques durs externes, lecteurs MP3/MP4, smartphone, carte SD, ....)
    • Double-clique sur UsbFix sur ton Bureau
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Clique sur l'option Recherche, valide par OK les différents messages d'informations
    • La recherche se lance, patiente le temps de l'analyse
    • Le rapport UsbFix.txt s'affiche. Poste ce rapport dans ta prochaine réponse
      Le rapport se trouve sous C:\UsbFix.txt

      Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide

      /!\UsbFix est détecté par certains antivirus comme étant une infection, c'est un faux positif, désactive temporairement ton antivirus.


  • Tutoriel d'utilisation USBFix en images

    ---------------------------------------------------------------------------------------------

    Sont attendus les rapports :
    FRST.txt et Addition.txt
    USBFix - Recherche

    Tous les rapports doivent être hébergés sur ce site d'hébergement de fichiers et tu indiques les liens obtenus dans ta réponse -> Aide à l'utilisation

    @+
    m
    0
    l
    Contenus similaires
    a c 1048 8 Sécurité
    a b 9 Windows
    21 Juillet 2014 18:32:48

    Bonjour,

    Nous allons appliquer un correctif avec FRST, pour supprimer ces fichiers qui te perturbent, mais qui ne sont pas infectieux, suis bien les instructions indiquées.

    --------------------------------------------------------------------------------------------------------------

    FRST - Correctif :

    /!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images /!\

    • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
    • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

      start
      C:\ProgramData\SetStretch.exe
      C:\ProgramData\SetStretch.VBS
      C:\ProgramData\SetStretch.cmd
      end


    • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur FRST64.exe
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
    • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

    --------------------------------------------------------------------------------------------------------------

    Est attendu le rapport Fixlog



    Puis, pour le bloc-notes qui s'ouvre au démarrage :

    Danc chacun de ces dossiers Démarrage :
    C:\Users\Anthony\AppData\Roaming\Microsoft\Windows\Menu Démarrer\Programmes\Démarrage
    C:\ProgramData\Microsoft\Windows\Menu Démarrer\Programmes\Démarrage

    tu cliques sur chacun des fichiers desktop.ini pour l'éditer et tu repères celui qui contient exactement :
    Citation :
    [.ShellClassInfo]
    LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787


    Une fois que tu as repéré ce desktop.ini qui contient 21787, tu le refermes, puis clic-droit sur le fichier -> Supprimer


    Ensuite, pour tes fichiers desktop.ini qui sont apparus, ce n'est rien, c'est une option d'affichage à modifier.

    • Dans l'explorateur -> Organiser -> Options des dossiers et de recherche -> onglet Affichage ->
    • coche la case Masquer les fichiers protégés du système d'exploitation
    • Clique sur Appliquer



  • Redémarre le système.

    @+


    m
    0
    l
    22 Juillet 2014 02:32:45

    Me revoilà :) 
    Comme convenu, le rapport Fixlog.txt ici
    Du coup, je suppose que c'est OK pour ce qui est du virus SetStretch ;) 


    Ensuite, concernant les desktop.ini, en suivant votre procédure, je n'ai effectivement plus le bloc-notes qui s'ouvre au démarrage :D 
    Cependant, les autres desktop.ini sont toujours présents que ce soit en cochant ou en décochant la case Masquer les fichiers protégés du système d'exploitation.
    En fait, j'ai remarqué que les desktop.ini qui restent se trouvent là où :
    - j'ai supprimé des dossiers de mon Menu (ex: j'ai viré le dossier "favoris" qui est réapparu en anglais "favorites" avec le fameux fichier desktop.ini)
    - et dans les dossiers d'origine du pc qui ont juste été renommé en anglais... :(  c'est à n'y rien comprendre...


    Du coup, je n'ose pas trop faire de manipulation ou de suppression car après petite recherche perso sur le web, voici ce qu'il se dit :
    Le vrai nom (anglais) de la plupart des dossiers créés par Windows est masqué par un alias en français.
    "C'est le cas par exemple du dossier "Utilisateurs" dont le vrai nom est Users. Cette suppression du fichier Desktop.ini est à éviter car alors, si on renomme le dossier , c'est le vrai nom du dossier Users qui est modifié rendant les comptes inaccessibles par Windows." lien du sujet ici

    Que me conseillez-vous de faire ?


    Sinon j'ai quelques questions :
    - je n'ai pas eu de remarque au sujet ma clé usb, ça veut dire qu'elle est saine ?

    - dans le rapport Addition.txt, j'ai observé ceci :
    "Details:
    AddWin32ServiceFiles: Unable to back up image of service McAfee Application Installer Cleanup (0213321399498815) since QueryServiceConfig API failed "

    Or j'ai supprimé McAfee en effet, cela veut-il dire qu'il reste encore quelques traces ou qu'il y a une erreur ?

    Merci beaucoup d'avance pour vos réponses :) :) 
    m
    0
    l
    a c 1048 8 Sécurité
    a b 9 Windows
    22 Juillet 2014 07:56:51

    Bonjour,

    OK pour le rapport Fixlog.

    Mais les fichiers SetStretch, supprimés à ta demande ne sont pas des virus, ce n'est pas infectieux.
    Juste des fichiers suspects à cause de leur localisation, créés par un application et qui ne sont pas indispensables.


    Citation :
    je n'ai effectivement plus le bloc-notes qui s'ouvre au démarrage

    OK


    Citation :
    Cependant, les autres desktop.ini sont toujours présents que ce soit en cochant ou en décochant la case Masquer les fichiers protégés du système d'exploitation ................
    Que me conseillez-vous de faire ?

    Je ne peux rien faire si tu as bidouillé et supprimé des fichiers système.
    Je peux juste te conseiller de créer un nouveau administrateur et transférer tes données personnelles sur ce nouveau compte.


    Citation :
    je n'ai pas eu de remarque au sujet ma clé usb, ça veut dire qu'elle est saine ?

    Aucune infection visible dans les rapports FRST, Addition et USBfix ;) 



    Citation :
    Or j'ai supprimé McAfee en effet, cela veut-il dire qu'il reste encore quelques traces

    Uitilise l'outil spécifique McAfee pour supprimer toute trace :
    Comment désinstaller ou réinstaller des produits McAfee pris en charge à l'aide de l'outil McAfee Consumer Product Removal (MCPR)



    ---------------------------------------------------------------------------------------------

    DelFix :

    • Télécharge DelFix de Xplode et enregistre le fichier sur ton Bureau
    • Double-clique sur l'icône Delfix.exe pour lancer l'outil
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, coche uniquement les options
      - Supprimer les outils de désinfection
      - Purger la restauration système

    • Clique ensuite sur Exécuter et laisse l'outil travailler

    • Un rapport DelFix.txt s'ouvre. Poste ce rapport dans ta prochaine réponse
      Le rapport se trouve sous C:\DelFix.txt



  • ---------------------------------------------------------------------------------------------

    Mise à jour Windows 8.1 :

    Lance Windows Update et installe toutes les mises à jour proposées, y compris la mise à jour Windows 8.1 Update 1 (KB2919355), ainsi que les mises à jour Internet Explorer.

    ---------------------------------------------------------------------------------------------

    Ensuite nous pourrons finaliser la procédure.

    @+
    m
    0
    l
    22 Juillet 2014 21:32:47

    Bonsoir,
    ca ne va pas du tout.. je vous écrit depuis mon téléphone portable en 3G car je n'ose plus utiliser le pc branché sur internet. Je vous explique pourquoi...

    comme l'infection Setstretch a été enlevée etmis en quarantaine dans FRST, pour être rassuré j'ai fait une recherche de fichiers extension .vbs or il n'y avait pas de résultat rien de suspect.
    ensuite comme sur la clé usb, il n'y a pas d'infection, jai refait un scan usbfix de la clé pr me rassurer et comme tout était toujours ok j'ai fait un formatage afin de la réutiliser.

    Et après catastrophe.. plein de raccourcis de dossiers sont apparus et se sont nichés un peu partout, au niveau du poste de travail et dans programmes , utilisateurs... (ex de raccourcis: récent, sendto, voisinage réseau, fichiers communs,...). Je n'ai cliqué sur aucun de ces raccourcis pensant que c'était une infection qui attendait d'être lancée.
    et en refaisant une recherche sur C: plein de fichiers .vbs et de autorun.inf sont apparus dans le dossier C:\Windows\WinSxS.
    et de plus un voyant de ma box n'arrêtait pas de clignoter a toute allure comme.si je téléchargeais ou regardais une video sur le web.
    du coup je suis très inquiet je ne sais plus quoi faire.. Et d'ou cela vient-il?
    apparemment usbfix ne serait pas très sérieux (test sur Virustotal). Alors est ce que le fait d'avoir refait un scan à libérer un malware ou un rootkit?

    d'après ce que j'ai pu lire avant de tout éteindre, il n'est pas normal de trouver des fichiers autorun dans Windows. Sur la clé il n'y en avait pas j'ai vérifié.

    Voila tout cela me perturbe je ne sais pas comment men sortir, est ce que tous ces fichiers precités sont une infection ou pas, j'en appelle à vos lumières merci d'avance ;) 

    PS: j'ai un deuxième pc que je pourrai utiliser mais risque-t-il d'être infecté par wifi ou la box si l'autre pc portable l'est?
    m
    0
    l
    a c 1048 8 Sécurité
    a b 9 Windows
    23 Juillet 2014 07:47:02

    Bonjour,

    Arrête tes initiatives qui aboutissent à des désordres et tout ira bien.


    Citation :
    comme l'infection Setstretch a été enlevée

    Je le répète encore une fois, ton système n'était pas infecté.


    Applique de nouveau cette procédure modifier une option d'affichage :
    • Dans l'explorateur -> Organiser -> Options des dossiers et de recherche -> onglet Affichage ->
    • coche la case Masquer les fichiers protégés du système d'exploitation
    • Clique sur Appliquer



  • Citation :
    apparemment usbfix ne serait pas très sérieux

    Tu tiens cette information d'où ?
    USBFix est un outil de désinfection, destiné à traiter les infections par supports amovibles.
    Il ne distribue aucun malware, ni aucun rootkit.

    Si tu as utilisé de ta propre initiative l'option Suppression de USBfix, tes supports amovibles et ton système ont été vaccinés, d'où la présence normale des fichiers aurorun.inf.


    Je t'ai indiqué des procédures à faire, Delfix et mise à jour Windows 8.1, est-ce que cela a été fait ?

    @+
    m
    0
    l
    24 Juillet 2014 18:53:50

    Bonjour chantal11
    navré encore pour ma "panique" de la dernière fois :sarcastic: 

    Les raccourcis ont disparu après un redémarrage par je ne sais quel miracle :heink:  donc tant mieux

    Voici le rapport Delfix.txt ici
    Delfix me les a bien supprimé de C:\ et du Dossier Bureau mais pas du Bureau(page d'accueil) ... :/  Du coup, je fais un "supprimer" manuel pour chaque élément ?

    Mon Windows est à jour.
    Merci,
    @ bientôt

    m
    0
    l

    Meilleure solution

    a c 1048 8 Sécurité
    a b 9 Windows
    24 Juillet 2014 19:00:27

    Bonjour,

    Oui, tu supprimes manuellement les outils utilisés et rapports que Delfix n'a pas supprimés.


    C'est parfait si Windows 8.1 est à jour.


    Puisque maintenant, tout est est rentré en bon ordre, nous pouvons conclure ;) 


    ---------------------------------------------------------------------------------------------

    Quelques précisions et conseils :

    • D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant.

      /!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur

      /!\ Bien lire les accords de licence avant toute installlation, des études ont montré que La France est championne du monde de malwares !

      /!\ Etre vigilant au moment de l'installation d'une application, Stop la pub !
      Installation d'une application sponsorisée, les pièges à éviter !

      /!\ Sauvegarder régulièrement les données personnelles sur un support externe

      /!\ Ne jamais ouvrir une pièce-jointe dans un mail d'un expéditeur inconnu



    • Maintenir son antivrus à jour et analyser le système régulièrement, avec en parallèle un scan avec Malwarebytes


    • Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
      Vérifier aussi d'avoir toujours la dernière version de Java et Flash Player
      Il faut mettre à jour Flash Player sous chaque navigateur présent sur le système
      Penser à décocher les options proposées en même temps que Java et Flash Player (Barre Google, Scan McAfee ....)
      SX Check&Update - Vérifier et mettre à jour facilement les logiciels à risque ou son système


    • Au niveau de Firefox et Chrome, tu peux sécuriser ta navigation


      /!\ Une attitude responsable sur le net est la meilleure protection pour ton système
      Eviter les comportements à risques (cracks/keygens, P2P, streaming illégal, pornographie, etc.)



  • N'hésite pas si tu as des questions.

    Pour en savoir plus, clique sur l'image pour télécharger ce PDF

    -------------------------------------------------------------------------------------------

    Tu peux passer ce sujet en Résolu en cliquant sur le bouton Sélectionner comme meilleure solution (en bas d'une de mes réponses), ton sujet sera alors automatiquement marqué comme Résolu.

    @+
    partage
    24 Juillet 2014 19:26:19

    Fait ;) 
    merci encore ! bonne soirée
    m
    0
    l
    a c 1048 8 Sécurité
    a b 9 Windows
    24 Juillet 2014 19:31:55

    Bonne continuation :) 
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS