Dwm.exe
Fermé
jesterstears
Messages postés
8
Date d'inscription
vendredi 16 septembre 2016
Statut
Membre
Dernière intervention
16 septembre 2016
-
16 sept. 2016 à 08:38
jesterstears Messages postés 8 Date d'inscription vendredi 16 septembre 2016 Statut Membre Dernière intervention 16 septembre 2016 - 16 sept. 2016 à 13:16
jesterstears Messages postés 8 Date d'inscription vendredi 16 septembre 2016 Statut Membre Dernière intervention 16 septembre 2016 - 16 sept. 2016 à 13:16
10 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
16 sept. 2016 à 09:12
16 sept. 2016 à 09:12
Tu as aussi des adwares avec détournement de DNS... et peut-être eu d'autres trojans à un moment donné.
Faudrait que tu revois tes activés sur le net.
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
2°)
Réinitialise manuellement tes navigateurs (Pas de nettoyage zoek ou ZHPCleaner) :
3°)
Remets/Vérifie que tous les serveurs de noms (DNS) sont automatiques. Suis le paragraphe "manuellement" du tutoriel pour réintialiser les DNS PUIS vide ensuite le cache DNS et internet. Ces 3 étapes sont importantes et à faire sinon les publicités vont continuer.
~~
Rien à voir avec les infections, mais possible de disque:
Error: (09/14/2016 11:35:54 AM) (Source: Disk) (EventID: 11) (User: )
Description: Le pilote a détecté une erreur du contrôleur sur \Device\Harddisk1\DR2.
Fais un checkdisk pour vérifier si tu as des erreurs dans l'onglet Health de HD Tune, lire paragraphe "Erreurs disque / Problème disque dur" du tutoriel "Tester son matériel"
Faudrait que tu revois tes activés sur le net.
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [fst_fr_108] => [X]
Task: C:\Windows\Tasks\Digital Sites.job
HKLM-x32\...\Run: [YSearchProtection] => C:\Program Files (x86)\Yahoo!\Search Protection\SearchProtection.exe [111856 2009-02-23] (Yahoo! Inc)
HKU\S-1-5-21-4163830345-3420686648-309907685-1000\...\Run: [tsiVideo] => C:\Users\Accueil POINCARRE\AppData\Local\Temp\mdi164.dll [1495040 2016-09-15] () <===== ATTENTION
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Password.lnk [2015-06-05]
ShortcutTarget: Password.lnk -> C:\Windows\Temp\Password.exe (Pas de fichier)
2016-09-15 12:15 - 2016-09-15 12:15 - 00000000 ____D C:\Users\Accueil POINCARRE\AppData\Local\Setup15739533
2016-09-15 12:15 - 2016-09-15 12:15 - 00000000 ____D C:\Users\Accueil POINCARRE\AppData\Local\leto
2016-09-15 12:15 - 2016-09-15 12:15 - 00000000 ____D C:\Users\Accueil POINCARRE\AppData\Local\{AF76992A-8BDE-F592-E646-D07AC22E2CE2}
Task: C:\Windows\Tasks\Re-markit_wd.job =>
2016-08-26 16:18 - 2016-08-26 16:19 - 00000000 ____D C:\Users\Accueil POINCARRE\AppData\Local\{BB25D19A-0C17-47E6-82DC-3C04AE27C3BC}
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
2°)
Réinitialise manuellement tes navigateurs (Pas de nettoyage zoek ou ZHPCleaner) :
- Réinitialiser et réparer Mozilla Firefox
- Réinitialiser et réparer Google Chrome
- Réinitialiser et réparer Internet Explorer
3°)
Remets/Vérifie que tous les serveurs de noms (DNS) sont automatiques. Suis le paragraphe "manuellement" du tutoriel pour réintialiser les DNS PUIS vide ensuite le cache DNS et internet. Ces 3 étapes sont importantes et à faire sinon les publicités vont continuer.
~~
Rien à voir avec les infections, mais possible de disque:
Error: (09/14/2016 11:35:54 AM) (Source: Disk) (EventID: 11) (User: )
Description: Le pilote a détecté une erreur du contrôleur sur \Device\Harddisk1\DR2.
Fais un checkdisk pour vérifier si tu as des erreurs dans l'onglet Health de HD Tune, lire paragraphe "Erreurs disque / Problème disque dur" du tutoriel "Tester son matériel"
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
Modifié par Malekal_morte- le 16/09/2016 à 08:41
Modifié par Malekal_morte- le 16/09/2016 à 08:41
Salut,
Tu as chargé un crack piégé qui a installé un Trojan Miner, sous la forme d'une DLL chargée par rundll32.exe
Pour supprimer :
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Veuillez appuyer sur une touche pour continuer la désinfection...
Tu as chargé un crack piégé qui a installé un Trojan Miner, sous la forme d'une DLL chargée par rundll32.exe
Pour supprimer :
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Veuillez appuyer sur une touche pour continuer la désinfection...
jesterstears
Messages postés
8
Date d'inscription
vendredi 16 septembre 2016
Statut
Membre
Dernière intervention
16 septembre 2016
16 sept. 2016 à 08:44
16 sept. 2016 à 08:44
Merci, je m'y mets.
jesterstears
Messages postés
8
Date d'inscription
vendredi 16 septembre 2016
Statut
Membre
Dernière intervention
16 septembre 2016
16 sept. 2016 à 09:00
16 sept. 2016 à 09:00
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
jesterstears
Messages postés
8
Date d'inscription
vendredi 16 septembre 2016
Statut
Membre
Dernière intervention
16 septembre 2016
16 sept. 2016 à 09:35
16 sept. 2016 à 09:35
pardon, le voici complet:
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 16-09-2016
Exécuté par Accueil POINCARRE (16-09-2016 09:17:37) Run:1
Exécuté depuis C:\Users\Accueil POINCARRE\Desktop
Profils chargés: Accueil POINCARRE (Profils disponibles: Accueil POINCARRE & Axido & Administrateur)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [fst_fr_108] => [X]
Task: C:\Windows\Tasks\Digital Sites.job
HKLM-x32\...\Run: [YSearchProtection] => C:\Program Files (x86)\Yahoo!\Search Protection\SearchProtection.exe [111856 2009-02-23] (Yahoo! Inc)
HKU\S-1-5-21-4163830345-3420686648-309907685-1000\...\Run: [tsiVideo] => C:\Users\Accueil POINCARRE\AppData\Local\Temp\mdi164.dll [1495040 2016-09-15] () <===== ATTENTION
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Password.lnk [2015-06-05]
ShortcutTarget: Password.lnk -> C:\Windows\Temp\Password.exe (Pas de fichier)
2016-09-15 12:15 - 2016-09-15 12:15 - 00000000 ____D C:\Users\Accueil POINCARRE\AppData\Local\Setup15739533
2016-09-15 12:15 - 2016-09-15 12:15 - 00000000 ____D C:\Users\Accueil POINCARRE\AppData\Local\leto
2016-09-15 12:15 - 2016-09-15 12:15 - 00000000 ____D C:\Users\Accueil POINCARRE\AppData\Local\{AF76992A-8BDE-F592-E646-D07AC22E2CE2}
Task: C:\Windows\Tasks\Re-markit_wd.job =>
2016-08-26 16:18 - 2016-08-26 16:19 - 00000000 ____D C:\Users\Accueil POINCARRE\AppData\Local\{BB25D19A-0C17-47E6-82DC-3C04AE27C3BC}
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Erreur: (0) Impossible de créer un point de restauration.
Processus fermé avec succès.
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\fst_fr_108 => valeur impossible à supprimer.
Task: C:\Windows\Tasks\Digital Sites.job => non trouvé(e).
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\YSearchProtection => valeur impossible à supprimer.
HKU\S-1-5-21-4163830345-3420686648-309907685-1000\Software\Microsoft\Windows\CurrentVersion\Run\\tsiVideo => valeur supprimé(es) avec succès
Impossible de déplacer "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Password.lnk" => Planifié pour déplacement au redémarrage.
C:\Windows\Temp\Password.exe => non trouvé(e).
C:\Users\Accueil POINCARRE\AppData\Local\Setup15739533 => déplacé(es) avec succès
C:\Users\Accueil POINCARRE\AppData\Local\leto => déplacé(es) avec succès
C:\Users\Accueil POINCARRE\AppData\Local\{AF76992A-8BDE-F592-E646-D07AC22E2CE2} => déplacé(es) avec succès
Impossible de déplacer "C:\Windows\Tasks\Re-markit_wd.job" => Planifié pour déplacement au redémarrage.
C:\Users\Accueil POINCARRE\AppData\Local\{BB25D19A-0C17-47E6-82DC-3C04AE27C3BC} => déplacé(es) avec succès
"C:\Windows\System32\Drivers\etc\hosts" => Impossible de déplacer.
Impossible de restaurer Hosts.
========= RemoveProxy: =========
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur impossible à supprimer.
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur impossible à supprimer.
HKU\S-1-5-21-4163830345-3420686648-309907685-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-4163830345-3420686648-309907685-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
========= Fin de RemoveProxy: =========
=========== EmptyTemp: ==========
BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 115691625 B
Java, Flash, Steam htmlcache => 1257 B
Windows/system/drivers => 0 B
Edge => 0 B
Chrome => 567498250 B
Firefox => 377190141 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 0 B
LocalService => 0 B
NetworkService => 0 B
Accueil POINCARRE => 1649882637 B
Axido => 0 B
Administrateur => 0 B
RecycleBin => 103006 B
EmptyTemp: => 2.5 GB données temporaires supprimées.
================================
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 16-09-2016
Exécuté par Accueil POINCARRE (16-09-2016 09:17:37) Run:1
Exécuté depuis C:\Users\Accueil POINCARRE\Desktop
Profils chargés: Accueil POINCARRE (Profils disponibles: Accueil POINCARRE & Axido & Administrateur)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [fst_fr_108] => [X]
Task: C:\Windows\Tasks\Digital Sites.job
HKLM-x32\...\Run: [YSearchProtection] => C:\Program Files (x86)\Yahoo!\Search Protection\SearchProtection.exe [111856 2009-02-23] (Yahoo! Inc)
HKU\S-1-5-21-4163830345-3420686648-309907685-1000\...\Run: [tsiVideo] => C:\Users\Accueil POINCARRE\AppData\Local\Temp\mdi164.dll [1495040 2016-09-15] () <===== ATTENTION
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Password.lnk [2015-06-05]
ShortcutTarget: Password.lnk -> C:\Windows\Temp\Password.exe (Pas de fichier)
2016-09-15 12:15 - 2016-09-15 12:15 - 00000000 ____D C:\Users\Accueil POINCARRE\AppData\Local\Setup15739533
2016-09-15 12:15 - 2016-09-15 12:15 - 00000000 ____D C:\Users\Accueil POINCARRE\AppData\Local\leto
2016-09-15 12:15 - 2016-09-15 12:15 - 00000000 ____D C:\Users\Accueil POINCARRE\AppData\Local\{AF76992A-8BDE-F592-E646-D07AC22E2CE2}
Task: C:\Windows\Tasks\Re-markit_wd.job =>
2016-08-26 16:18 - 2016-08-26 16:19 - 00000000 ____D C:\Users\Accueil POINCARRE\AppData\Local\{BB25D19A-0C17-47E6-82DC-3C04AE27C3BC}
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Erreur: (0) Impossible de créer un point de restauration.
Processus fermé avec succès.
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\fst_fr_108 => valeur impossible à supprimer.
Task: C:\Windows\Tasks\Digital Sites.job => non trouvé(e).
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\YSearchProtection => valeur impossible à supprimer.
HKU\S-1-5-21-4163830345-3420686648-309907685-1000\Software\Microsoft\Windows\CurrentVersion\Run\\tsiVideo => valeur supprimé(es) avec succès
Impossible de déplacer "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Password.lnk" => Planifié pour déplacement au redémarrage.
C:\Windows\Temp\Password.exe => non trouvé(e).
C:\Users\Accueil POINCARRE\AppData\Local\Setup15739533 => déplacé(es) avec succès
C:\Users\Accueil POINCARRE\AppData\Local\leto => déplacé(es) avec succès
C:\Users\Accueil POINCARRE\AppData\Local\{AF76992A-8BDE-F592-E646-D07AC22E2CE2} => déplacé(es) avec succès
Impossible de déplacer "C:\Windows\Tasks\Re-markit_wd.job" => Planifié pour déplacement au redémarrage.
C:\Users\Accueil POINCARRE\AppData\Local\{BB25D19A-0C17-47E6-82DC-3C04AE27C3BC} => déplacé(es) avec succès
"C:\Windows\System32\Drivers\etc\hosts" => Impossible de déplacer.
Impossible de restaurer Hosts.
========= RemoveProxy: =========
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur impossible à supprimer.
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur impossible à supprimer.
HKU\S-1-5-21-4163830345-3420686648-309907685-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-4163830345-3420686648-309907685-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
========= Fin de RemoveProxy: =========
=========== EmptyTemp: ==========
BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 115691625 B
Java, Flash, Steam htmlcache => 1257 B
Windows/system/drivers => 0 B
Edge => 0 B
Chrome => 567498250 B
Firefox => 377190141 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 0 B
LocalService => 0 B
NetworkService => 0 B
Accueil POINCARRE => 1649882637 B
Axido => 0 B
Administrateur => 0 B
RecycleBin => 103006 B
EmptyTemp: => 2.5 GB données temporaires supprimées.
================================
jesterstears
Messages postés
8
Date d'inscription
vendredi 16 septembre 2016
Statut
Membre
Dernière intervention
16 septembre 2016
16 sept. 2016 à 09:52
16 sept. 2016 à 09:52
j'ai fait l'étape 1 et 2 et le problème semble s'être arrêté.
Je crains de toucher aux serveurs DNS (étape 3) car l'ordinateur est en réseau.
y a-t-il un risque?
Je crains de toucher aux serveurs DNS (étape 3) car l'ordinateur est en réseau.
y a-t-il un risque?
jesterstears
Messages postés
8
Date d'inscription
vendredi 16 septembre 2016
Statut
Membre
Dernière intervention
16 septembre 2016
16 sept. 2016 à 10:12
16 sept. 2016 à 10:12
Je viens de tenter l'étape 3.
Le souci c'est que lorsque je veux accéder aux propriétés de la carte, on me demande le mot de passe de l'administrateur réseau (une entreprise extérieure)
Je le connais, mais je ne risque pas de me déconnecter du réseau et de devoir faire en suite appel à eux?
Le souci c'est que lorsque je veux accéder aux propriétés de la carte, on me demande le mot de passe de l'administrateur réseau (une entreprise extérieure)
Je le connais, mais je ne risque pas de me déconnecter du réseau et de devoir faire en suite appel à eux?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
16 sept. 2016 à 10:19
16 sept. 2016 à 10:19
Si tu n'es pas administrateur, tu ne pourras pas modifier tes DNS.
Maintenant, je ne sais sûr à 100% q'ils soient anormaux.
Ils sont localisés en Allemagne alors que tu sembles te connecter de la France :
DNS Servers: 85.25.217.93 - 8.8.8.8
> atlantic2698.serverprofi24.eu.
Ca te paraît possible ?
Maintenant, je ne sais sûr à 100% q'ils soient anormaux.
Ils sont localisés en Allemagne alors que tu sembles te connecter de la France :
DNS Servers: 85.25.217.93 - 8.8.8.8
> atlantic2698.serverprofi24.eu.
Ca te paraît possible ?
jesterstears
Messages postés
8
Date d'inscription
vendredi 16 septembre 2016
Statut
Membre
Dernière intervention
16 septembre 2016
16 sept. 2016 à 10:28
16 sept. 2016 à 10:28
J'avoue que je n'en sais rien.
ceci dit je connais le mot de passe administrateur.
ceci dit je connais le mot de passe administrateur.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
16 sept. 2016 à 12:47
16 sept. 2016 à 12:47
ok, c'est quoi l'ordinateur, c'est un ordinateur d'une entreprise ?
qui appartient à une entreprise ?
qui appartient à une entreprise ?
jesterstears
Messages postés
8
Date d'inscription
vendredi 16 septembre 2016
Statut
Membre
Dernière intervention
16 septembre 2016
16 sept. 2016 à 13:16
16 sept. 2016 à 13:16
oui
