Signaler

Tentative de décontamination [Résolu]

Posez votre question anakin6661 76Messages postés samedi 30 septembre 2006Date d'inscription 12 mai 2017 Dernière intervention - Dernière réponse le 10 mai 2017 à 15:56 par Malekal_morte-
Bonjour,

Je viens vers vous car je n'arrive pas à décontaminer le PC d'un ami.
il a tester quelques outils => adware et kaspersky internet security.
Je ne sais quel antivirus et firewall il utilisait jusqu'à maintenant mais je vois des traces de microsoft defender
J'ai déjà fais pas mal de boulot mais certaines choses restent en place.
Par exemple, au démarrage de la session utilisateur, j'ai un message d'un dll absent, dll introuvable sur la toile ... slaveredmoires.dll
Je subodore que cela provient d'un virus.
Pour ma part, j'ai utiliser d'autres outils :
malwarebytes, ccleaner, kaspersky rescuedisk 10, roguekiller
Plus de 16.000 fichiers infectés supprimés, du virus, du trojan, cheval de troie, des petits trucs bien sympa et un PC bien infecté.
Le virus soit est toujours présent soit laisse des traces.

Si quelqu'un peut me venir en aide, quel utilitaire dois-je installer en premier pour vous fournir un premier rapport ?
Afficher la suite 
Utile
+0
plus moins
Salut,

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.


anakin6661 76Messages postés samedi 30 septembre 2006Date d'inscription 12 mai 2017 Dernière intervention - 5 mai 2017 à 14:47
Bonjour MALEKAL morte

Merci de ton aide.

Pour le rapport Shortcut, j'ai coché la case raccourci en cours de scan, je ne pense pas que c'était très judicieux, mais la case n'était pas coché en version française et pensant que ça ne sortirait pas de rapport, j'ai coché pendant.
Si c'était une erreur, je referai les rapports Mardi et je te reposterai tout cela.

Voici le rapport FRST.txt:
http://pjjoint.malekal.com/files.php?id=FRST_20170505_e9o8q11q12t12
Voici le rapport Shortcut.txt
http://pjjoint.malekal.com/files.php?id=20170505_u9t12n14e7l14
Voici le rapport Additionnal.txt
http://pjjoint.malekal.com/files.php?id=20170505_z11w14f6q15k8

Je te souhaite un bon weekend et merci d'avance.
Répondre
Donnez votre avis
Utile
+0
plus moins
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
ShellExecuteHooks: Pas de nom - {22670D5C-0546-11E7-A198-64006A5CFC35} - C:\Users\Paul guiseppi\AppData\Roaming\Zoziystipu\Coutation.dll -> Pas de fichier
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => -> Pas de fichier
2017-05-04 15:07 - 2015-10-30 09:24 - 00000000 ____D C:\Windows\system32\Tasks_Migrated
2017-05-04 13:00 - 2017-03-14 18:25 - 00000000 ____D C:\Users\Paul guiseppi\AppData\Roaming\Pludige
Task: {B4299459-F34E-4A95-A31D-806135421532} - System32\Tasks\{2F63D99F-24C5-EC6F-D7F2-5C41D13A9177} => Regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\95658a2b\81d066ba.dll" <==== ATTENTION
Task: {E91E76EE-7CA8-4474-AEE0-CDD77ED560B5} - System32\Tasks\HHEAKngcwDgsODJ => C:\Users\Paul guiseppi\AppData\Roaming\XFsHU4m\VCHpeig.exe [2015-02-06] ( )
Task: {0584E953-614A-4B62-B770-AD773DFD6C29} - System32\Tasks\c7Taa6s9LMA3vzg => C:\Users\Paul guiseppi\AppData\Roaming\LwJ9pI2\kXJYOwg.exe
Task: {7E4528DF-FE54-453B-AA00-AE8B2F7A2E94} - System32\Tasks\Ckecuk Cache => C:\Program Files (x86)\Mokagecerpuly\xtermose.exe
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

2°)
Réinitialise/Répare les navigateurs WEB concernés par les problèmes :


3°)
Termine par un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite

4°)
Vois ce que cela donne et si des améliorations ont eu lieu.
Si ce n'est pas le cas, s itu as encore des pages de pubs intempestives, précise sur quel navigateur WEB.

anakin6661 76Messages postés samedi 30 septembre 2006Date d'inscription 12 mai 2017 Dernière intervention - 9 mai 2017 à 12:35
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 08-05-2017
Exécuté par Paul guiseppi (09-05-2017 09:40:58) Run:1
Exécuté depuis C:\Users\Paul guiseppi\Desktop
Profils chargés: Paul guiseppi (Profils disponibles: UpdatusUser & Paul guiseppi)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
ShellExecuteHooks: Pas de nom - {22670D5C-0546-11E7-A198-64006A5CFC35} - C:\Users\Paul guiseppi\AppData\Roaming\Zoziystipu\Coutation.dll -> Pas de fichier
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => -> Pas de fichier
2017-05-04 15:07 - 2015-10-30 09:24 - 00000000 ____D C:\Windows\system32\Tasks_Migrated
2017-05-04 13:00 - 2017-03-14 18:25 - 00000000 ____D C:\Users\Paul guiseppi\AppData\Roaming\Pludige
Task: {B4299459-F34E-4A95-A31D-806135421532} - System32\Tasks\{2F63D99F-24C5-EC6F-D7F2-5C41D13A9177} => Regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\95658a2b\81d066ba.dll" <==== ATTENTION
Task: {E91E76EE-7CA8-4474-AEE0-CDD77ED560B5} - System32\Tasks\HHEAKngcwDgsODJ => C:\Users\Paul guiseppi\AppData\Roaming\XFsHU4m\VCHpeig.exe [2015-02-06] ( )
Task: {0584E953-614A-4B62-B770-AD773DFD6C29} - System32\Tasks\c7Taa6s9LMA3vzg => C:\Users\Paul guiseppi\AppData\Roaming\LwJ9pI2\kXJYOwg.exe
Task: {7E4528DF-FE54-453B-AA00-AE8B2F7A2E94} - System32\Tasks\Ckecuk Cache => C:\Program Files (x86)\Mokagecerpuly\xtermose.exe
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks\\{22670D5C-0546-11E7-A198-64006A5CFC35} => valeur supprimé(es) avec succès
HKCR\CLSID\{22670D5C-0546-11E7-A198-64006A5CFC35} => clé non trouvé(e).
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\KzShlobj => clé supprimé(es) avec succès
HKCR\CLSID\{AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => clé non trouvé(e).
C:\Windows\system32\Tasks_Migrated => déplacé(es) avec succès
C:\Users\Paul guiseppi\AppData\Roaming\Pludige => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{B4299459-F34E-4A95-A31D-806135421532} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B4299459-F34E-4A95-A31D-806135421532} => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\{2F63D99F-24C5-EC6F-D7F2-5C41D13A9177} => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{2F63D99F-24C5-EC6F-D7F2-5C41D13A9177} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{E91E76EE-7CA8-4474-AEE0-CDD77ED560B5} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E91E76EE-7CA8-4474-AEE0-CDD77ED560B5} => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\HHEAKngcwDgsODJ => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\HHEAKngcwDgsODJ => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{0584E953-614A-4B62-B770-AD773DFD6C29} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0584E953-614A-4B62-B770-AD773DFD6C29} => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\c7Taa6s9LMA3vzg => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\c7Taa6s9LMA3vzg => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{7E4528DF-FE54-453B-AA00-AE8B2F7A2E94} => clé supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7E4528DF-FE54-453B-AA00-AE8B2F7A2E94} => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\Ckecuk Cache => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Ckecuk Cache => clé supprimé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer => clé supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-2015688758-2509880799-2512706056-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-2015688758-2509880799-2512706056-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 138417 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 81740191 B
Java, Flash, Steam htmlcache => 506 B
Windows/system/drivers => 50884585 B
Edge => 3105730 B
Chrome => 5045085 B
Firefox => 5722395 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 128 B
systemprofile32 => 128 B
LocalService => 3298 B
NetworkService => 0 B
UpdatusUser => 0 B
Paul guiseppi => 294234386 B

RecycleBin => 0 B
EmptyTemp: => 420.5 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

Fin de Fixlog 09:42:22

Répondre
Donnez votre avis
Utile
+0
plus moins
Refais un nettoyage Malwarebytes en le mettant à jour avant =)
anakin6661 76Messages postés samedi 30 septembre 2006Date d'inscription 12 mai 2017 Dernière intervention - 10 mai 2017 à 12:34
j'essaye avec kavremover mais il ne me detecte pas de version de kaspersky ;(
Répondre
Malekal_morte- 131470Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 24 mai 2017 Dernière intervention - 10 mai 2017 à 13:34
Tu as un message d'erreur à l'ouverture de Windows Defender ?
il se passe quoi exactement ?
Répondre
anakin6661 76Messages postés samedi 30 septembre 2006Date d'inscription 12 mai 2017 Dernière intervention - 10 mai 2017 à 14:15
Plusieurs messages
erreur 0x8007041d pour le lancement de defender
lorsque j'essaye de lancer le service manuellement, j'ai une erreur 1053
lorsque je lance la mise à jours de la base virale de defender,j'ai l'erreur -2147416390

là je bute
Répondre
anakin6661 76Messages postés samedi 30 septembre 2006Date d'inscription 12 mai 2017 Dernière intervention - 10 mai 2017 à 14:23
Malekal
Merci de ton aide
Je rends l'ordinateur, mon ami en a besoin pour ses révisions.
Sa mère le récupère dans 10 minutes.
Mais déjà grand merci de ton aide pour cette décontamination.
Il fonctionne bien mieux maintenant
Répondre
Malekal_morte- 131470Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 24 mai 2017 Dernière intervention - 10 mai 2017 à 15:56
ok,

Peut-être la stratégie de groupe, voir : https://www.malekal.com/impossible-dactiver-windows-defender/
c'est classique.

sinon faut vérifier que le service Windows Defender est bien démarré :
Touche Windows + R
tape services.msc et OK.

Vérifie aussi dans le gestionnaire de tâches, que tu n'as pas de Kaspersky qui tourne.
Répondre
Donnez votre avis

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes.

Le fait d'être membre vous permet d'avoir des options supplémentaires.

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !