Menu

Réseau et Windows Defender bloqués, virus ? [Résolu]

Messages postés
15
Date d'inscription
mardi 19 février 2019
Statut
Membre
Dernière intervention
20 février 2019
- - Dernière réponse : 8IOIA8
Messages postés
15
Date d'inscription
mardi 19 février 2019
Statut
Membre
Dernière intervention
20 février 2019
- 20 févr. 2019 à 16:53
Bonjour,
Je vous préviens, ça va être long..

Alors voilà, j'ai fait la malheureuse bêtise de confier mon ordinateur à un type possédant un "master informatique" pour un problème d'activation de Windows 10. Il a donc utilisé un logiciel pour activer Windows (KMSpico), ce qui a fonctionné...
Mais là vient le problème, plus d'accès à internet, toutes les fonctionnalités de Windows Defender sont non modifiables, et désactivées bien sûr.
Pour internet, ma carte wifi est activé et fonctionne, mais son accès a internet a l'air bloquée, ainsi que l'apparition de l'icône wifi dans la barre des tâches, qui est pourtant activée.

Il a avoué être tombé sur un lien truffé de virus lors de sa première tentative avec KMSpico, cependant je n'ai pas vu ce qu'il a fait après avoir été infecté, a priori il fait un rapport ZHPdiag (que j'ai retrouvé), puis a fait une analyse Malwarbytes (j'ai l'historique comportant de nombreux Trojan, et un malware bloqué de manière répétée appelé SECOH-QAD.exe, qui a pourtant été détecté et non supprimé lors d'une analyse qu'il a faite plus tard). Il a donc (a priori) continué ses manips KMSpico, et boum, après un redémarrage, s'est rendu compte qu'il y avait un problème ????..

Je précise que j'utilisais le par feu et antivirus Windows, je n'en ai pas d'autre.

Voici donc ce que j'ai essayé de faire :
➡️Analyse Malwarbytes, aucune menaces
➡️Analyse Rogue Killer, détection de deux fameux svchost.exe, logé dans SysWOW64. L'un noté Proc.Injected|Proc.RnPE, qui ne peut être tué par RogueKiller, et l'autre, qui est supprimé mais réapparaît a chaque redémarrage du pc. Je pensais donc avoir mon virus ! Mais quand je vais le chercher en suivant le chemin d'accès, celui-ci est daté du 13/02/19, autrement dit la catastrophe a eu lieu aujourd'hui même, 6 jours plus tard. Je présume donc que ce virus n'a rien a voir avec mon problème actuel, mais j'aimerais tout de même m'en débarrasser.
➡️ Je décide donc de faire un redémarrage sans échec, impossible, celui-ci semble marcher au début, j'arrive a accéder à l'écran bleu Windows etc, mais une fois la session ouverte, je ne suis pas dans le mode sans échec. J'ai retenté, toujours rien.
➡️ Je me résigne donc à la restauration système via une sauvegarde automatique, impossible de restaurer, Windows m'affiche un message d'erreur à la fin de la manipulation.
➡️ Je fais alors un nettoyage ZHPcleaner, il me trouve pas mal de merdes (j'ai un rapport), mais après redémarrage, le problème persiste.

Voilà, je vous ai donné le maximum d'infos en espérant avoir de l'aide, car j'ai fait tout ce que je pouvais faire, le reste est au delà de mes compétences.
Merci également de m'avoir lu ???? !



Configuration: Android / Chrome 72.0.3626.105
Afficher la suite 

Votre réponse

5 réponses

Meilleure réponse
Messages postés
166423
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
20 mai 2019
22021
1
Merci
Bonsoir,

Pour vérifier ton ordinateur, pour d'éventuels infections et avoir un état général du système :

Suis le tutoriel FRST en cliquant sur ce lien bleu. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
  • FRST.txt
  • Shortcut.
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).



Dire « Merci » 1

Heureux de vous avoir aidé ! Vous nous appréciez ? Donnez votre avis sur nous ! Evaluez CommentCaMarche

CCM 39335 internautes nous ont dit merci ce mois-ci

Commenter la réponse de Malekal_morte-
Messages postés
166423
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
20 mai 2019
22021
1
Merci
Désinstalle ça pour voir déjà :
PeerBlock
TunnelBear



Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.


Start
CloseProcesses:
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction - Windows Defender <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End


Enregistre le contenu par le menu fichier puis enregistrer.

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur

et si les problèmes de connexion persistent :



Pour tes problèmes réseaux, télécharge MinitoolBox depuis un autre ordinateur et copie le sur une clef USB.

Coche "Select All" puis clique "Go".
Un rapport va être généré, copie le sur ta clef USB.
Depuis un ordinateur où internet fonctionne, envoie le rapport sur https://pjjoint.malekal.com/
Un lien pjjoint qui pointe sur le rapport va t'être donné, donne ce lien ici en réponse dans un message.


Dire « Merci » 1

Heureux de vous avoir aidé ! Vous nous appréciez ? Donnez votre avis sur nous ! Evaluez CommentCaMarche

CCM 39335 internautes nous ont dit merci ce mois-ci

Commenter la réponse de Malekal_morte-
Messages postés
166423
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
20 mai 2019
22021
1
Merci
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.


Start
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-516144775-961648866-4118758004-1001\...\Run: [WeGame] => D:\腾讯游戏\tgp_daemon.exe
C:\WINDOWS\SysWOW64\iplsdasx
S2 iplsdasx; C:\WINDOWS\SysWOW64\iplsdasx\ezgdczvw.exe [0 ] () [Fichier non signé]<==== ATTENTION (zéro octet Fichier/Dossier)
R2 WinDivert1.2; C:\WINDOWS\system32\drivers\WinDivert64.sys [37552 2019-02-19] (Nemea Mjukvaruutveckling AB -> Basil)
U4 diagnosticshub.standardcollector.service; pas de ImagePath
S1 YmU4MTA0MTU0ZTlm; \??\C:\WINDOWS\system32\drivers\YmU4MTA0MTU0ZTlm [X]
2019-02-19 15:57 - 2019-02-19 15:57 - 000037552 _____ (Basil) C:\WINDOWS\system32\Drivers\WinDivert64.sys
2019-02-19 15:55 - 2019-02-19 15:55 - 000000000 ____D C:\WINDOWS\SysWOW64\iplsdasx
2019-02-19 15:40 - 2019-02-19 16:26 - 000000000 ____D C:\ProgramData\rKATGqziJA
2019-02-19 15:36 - 2019-02-20 10:02 - 000000008 __RSH C:\ProgramData\ntuser.pol
2019-02-19 15:36 - 2019-02-19 16:26 - 000000000 ____D C:\Users\Nicolas\AppData\Roaming\FireAlpacau
2019-02-19 15:36 - 2019-02-19 15:36 - 000722944 _____ C:\Users\Nicolas\AppData\Local\sha.db
2019-02-19 15:36 - 2019-02-19 15:36 - 000140800 _____ C:\Users\Nicolas\AppData\Local\installer.dat
2019-02-19 15:36 - 2019-02-19 15:36 - 000000000 ____D C:\DiskScan
2019-02-19 15:22 - 2019-02-19 19:55 - 000000000 ____D C:\Users\Nicolas\AppData\Roaming\ZHP
2019-02-19 15:22 - 2019-02-19 19:41 - 000000000 ____D C:\Users\Nicolas\AppData\Local\ZHP
2019-02-19 15:21 - 2019-02-19 15:21 - 003201408 _____ C:\Users\Nicolas\Downloads\ZHPDiag3.exe
2019-02-20 10:02 - 2018-05-09 13:24 - 000000008 __RSH C:\Users\Nicolas\ntuser.pol
InternetURL: C:\Users\Nicolas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AHxRbLawzC.url ->
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End


Enregistre le contenu par le menu fichier puis enregistrer.

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur


2°) ESET NOD32
Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur https://pjjoint.malekal.com/ et donne le lien ici.


Dire « Merci » 1

Heureux de vous avoir aidé ! Vous nous appréciez ? Donnez votre avis sur nous ! Evaluez CommentCaMarche

CCM 39335 internautes nous ont dit merci ce mois-ci

Malekal_morte-
Messages postés
166423
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
20 mai 2019
22021 > 8IOIA8
Messages postés
15
Date d'inscription
mardi 19 février 2019
Statut
Membre
Dernière intervention
20 février 2019
-
Essaye en les préservant déjà;
8IOIA8
Messages postés
15
Date d'inscription
mardi 19 février 2019
Statut
Membre
Dernière intervention
20 février 2019
-
D'accord je te tiens au courant !
8IOIA8
Messages postés
15
Date d'inscription
mardi 19 février 2019
Statut
Membre
Dernière intervention
20 février 2019
-
Ouf, tout roule, c'est redevenu nickel sur tout les points. Me reste t-il a tout réinstaller x) ..
Merci pour votre investissement !
Malekal_morte-
Messages postés
166423
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
20 mai 2019
22021 > 8IOIA8
Messages postés
15
Date d'inscription
mardi 19 février 2019
Statut
Membre
Dernière intervention
20 février 2019
-
de rien :)

A retenir : ne télécharge pas n'importe quoi.

Ensuite, une fois que tu auras tout réinstallé et que tout fonctionne,

Je t'invite à créer une image système maintenant que tu as un Windows stable.
=> Comment créer une image système Windows
Cette image système peut être restaurée à tout moment, cela incluant Windows, les mises à jour et les programmes installés.
Très pratique pour remettre Windows facilement quand tout est planté.

Ainsi si tu dois réinstaller Windows, tu peux restaurer ton image, cela évite de devoir remettre toutes les mises à jour fastidieuses, réinstallation d'application de logiciels et application.
8IOIA8
Messages postés
15
Date d'inscription
mardi 19 février 2019
Statut
Membre
Dernière intervention
20 février 2019
-
D'accord, merci pour votre aide !

Ce que je retiens le plus de cette histoire est de ne pas laisser mon ordinateur à quelqu'un sans le surveiller, moi qui avait confiance.

Bonne continuation !
Commenter la réponse de Malekal_morte-
Messages postés
15
Date d'inscription
mardi 19 février 2019
Statut
Membre
Dernière intervention
20 février 2019
Commenter la réponse de 8IOIA8
Messages postés
15
Date d'inscription
mardi 19 février 2019
Statut
Membre
Dernière intervention
20 février 2019
0
Merci
bonjour,
j'ai désinstallé Peerblock et Tunnelbear, et voici le texte qui apparait dans fixlog.txt :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 18.02.2019
Exécuté par Lola (20-02-2019 09:56:51) Run:2
Exécuté depuis C:\Users\Nicolas\Desktop
Profils chargés: Lola & (Profils disponibles: defaultuser0 & Lola)
Mode d'amorçage: Normal
==============================================

fixlist contenu:


*


*

Start
CloseProcesses:
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction - Windows Defender <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End


*


*


Processus fermé avec succès.
Erreur: (0) Impossible de créer un point de restauration.
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender => supprimé(es) avec succès
C:\WINDOWS\system32\GroupPolicy\Machine => déplacé(es) avec succès
C:\WINDOWS\system32\GroupPolicy\GPT.ini => déplacé(es) avec succès
C:\WINDOWS\system32\GroupPolicy\User => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-516144775-961648866-4118758004-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02202019095035178\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-516144775-961648866-4118758004-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02202019095035178\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-516144775-961648866-4118758004-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02202019095358667\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-516144775-961648866-4118758004-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02202019095358667\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-516144775-961648866-4118758004-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-516144775-961648866-4118758004-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-516144775-961648866-4118758004-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02202019095035250\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-516144775-961648866-4118758004-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02202019095035250\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-516144775-961648866-4118758004-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02202019095358724\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-516144775-961648866-4118758004-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02202019095358724\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 10510336 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 84804855 B
Java, Flash, Steam htmlcache => 278140604 B
Windows/system/drivers => 15798222 B
Edge => 5806502 B
Chrome => 511803791 B
Firefox => 84754501 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 5438 B
LocalService => 0 B
NetworkService => 6639122 B
NetworkService => 0 B
defaultuser0 => 0 B
Nicolas => 113413538 B

RecycleBin => 8629972302 B
EmptyTemp: => 9.1 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

Fin de Fixlog 10:01:52

Après redémarrage, le problème de windows defender persiste. Je ne peux rien modifier, rien activer, ni faire d'analyse.
Dois-je tout de même faire la manipulation avec MinitoolBox pour ma connexion ?
Et pour svchost.exe, qu'en est-il ?

Merci de votre réponse.
Malekal_morte-
Messages postés
166423
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
20 mai 2019
22021 -
Les détections RogueKiller n'ont pas d'importance.
Oui Minitoolbox avec la connexion branchée;
tu as tjrs des problèmes de connexion ?

Refais un scan FRST et donne les rapports.
8IOIA8
Messages postés
15
Date d'inscription
mardi 19 février 2019
Statut
Membre
Dernière intervention
20 février 2019
-
D'accord merci je fais ça tout de suite.
En ce qui concerne les problèmes de mode sans échec et de restauration, pensez vous que ça vienne de là aussi ?
Merci.
Malekal_morte-
Messages postés
166423
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
20 mai 2019
22021 > 8IOIA8
Messages postés
15
Date d'inscription
mardi 19 février 2019
Statut
Membre
Dernière intervention
20 février 2019
-
La restauration du système sur Windows 10 fonctionne assez mal donc je pense pas que ce soit lié au malware et autres.
8IOIA8
Messages postés
15
Date d'inscription
mardi 19 février 2019
Statut
Membre
Dernière intervention
20 février 2019
-
Bon, j'ai fait la manip avec Minitoolbox et toujours le même problème, de plus, pendant que mon ordinateur était branché par ethernet, j'ai eu 3 alertes de sites classés Cheval de Troie venant du fichier svchost.exe, bloqués par malwerbytes. Je voudrai réellement faire partir cette merde également..
Je vous envoie les 4 rapports MinitoolBox et FRST dans une autre réponse.
Commenter la réponse de 8IOIA8