Supprimer virus et Trojan

[Comptesuppr984df]

Dans les menaces actuelles, Windows Defender détecte toujours KMS

[Comptesuppr984df]

Pourquoi Windows Defender détecte toujours HackTool:Win32/AutoKMS dans les menaces actuelles, voir capture d'écran

[Parisien_entraide]

Tu as regardé la date ? C'est au 26 décembre

Refais un scan de DEFENDER, laisse le aller jusqu'au bout et tu verras qu'il ne trouve rien

Sinon comme déjà indiqué tu as une trace (mais ce n'est pas KMS SPICO actif)

Code : Tout sélectionner

C:\ProgramData\KMSAuto\bin\driver\x64WDV\WinDivert.sys 

Ce pilote est utilisé par de nombreux programmes malveillants et il sert principalement à tricher dans les jeux, voler les noms d'utilisateur et les mots de passe.
L'outil est détourné de sa vocation première
https://github.com/basil00/Divert

Quant à KMSSPICO, ce que tu risques de l'avoir installé/utilisé si pas bloqué par Defender
https://www.malekal.com/kmspico-trojan/


Si tu veux virer le fichier si présent, et la clé, utilise AUTORUNS (en mode administrateur)
https://www.malekal.com/autoruns/

Une fois que tout est chargé tu vas dans l'ongler "Driver"
Tu recherches la clé KMS
Tu fais un clic droit sur le pilote---> Jump to image
Là tu verras si le pilote est présent ou pas
Si il n'est pas lancé tu peux l'effacer directement

Ensuite toujours dans autoruns si la clé est toujours affichée, clic droit ----> Jump to entry
Cela va t'amener dans le registre, et cela pointera normalement sur le nom de KMSAuto
Efface le dossier kMSAUTO (il s'effacera si pas actif)

Pour ne pas faire de bêtises vu que cela pointe sur le registre, fait une capture avant et poste les images

[Comptesuppr984df]

Sur Autoruns, j'ai trouvé Windivert qui est présent à l'emplacement de KMSAuto ( que j'ai supprimé de base), voir capture d'écran

[Malekal_morte]

L'entrée WinDivert c'est juste un reste dans le registre Windows, il n'y a pas de fichiers associés.
Pour les détections HackTool:Win32/AutoKMS de Windows Defender, il faudrait afficher les détails pour savoir le fichier qui est détecté.

[Parisien_entraide]

Donc cela confirme, et comme le souligne Malekal, il s'agit d'une clé de registre restante (rien ne se lance puisque le pilote associé n'existe plus)
C'est juste que cela a mal été désinstallé

APRES avoir répondu à Malekal (en rappelant que la date de détection est du 26 décembre) tu pourras nettoyer les clés de registre orphelines avec

https://www.wisecleaner.com/fr/wise-reg ... eaner.html (version gratuite)

C'est juste pour l'occasion, car meme si ce programme est fiable, il faut éviter les nettoyeurs de registre qui ne sont à utiliser que dans des cas particuliers
Ensuite tu le désinstalles

[Comptesuppr984df]

Voici les détails ( les détections datent du 26 Décembre) :

[Parisien_entraide]

Donc comme tu le soulignes c'est au 26 décembre et pas aujourd'hui
Ensuite le lien du KMS n'existe plus

[Comptesuppr984df]

Donc, est ce que je dois utiliser le nettoyeur de registre ? Et comment faire pour qu'il n'apparaisse plus sur Windows Defender s'il te plaît ?

[Malekal_morte]

Non c'est bon pour le nettoyage du registre, on va faire une suppression FRST, histoire d'être sûr.



Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
C:\ProgramData\KMSAuto
C:\Users\moham\AppData\Roaming\kmsAuto
S3 WinDivert1.1; \??\C:\ProgramData\KMSAuto\bin\driver\x64WDV\WinDivert.sys [X]
R3 McAfeeIntegrationDriver; C:\WINDOWS\System32\drivers\McAfeeIntegrationDriver.sys [52624 2021-07-28] (McAfee, LLC -> McAfee)
C:\WINDOWS\System32\drivers\McAfeeIntegrationDriver.sys
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

[Comptesuppr984df]

Merci, voici le rapport de correction

[Parisien_entraide]

C'est bon la ligne de registre qui pointait sur le fichier qui n'existait plus a disparu (le fix est une autre méthode)

[Comptesuppr984df]

OK Merci, juste est ce que c'est possible de supprimer les menaces dans Windows defender vu qu'elles sont toujours là même après avoir refait une analyse complète

[Parisien_entraide]

Ce qui m étonne c'est que les méthodes indiquées ici ne fonctionnent pas
https://www.malekal.com/comment-supprim ... -defender/

ou alors tu en as d'autres ici mais qui ne fonctionneront qu'en mode sans échec
viewtopic.php?p=549098#p549098

[Comptesuppr984df]

La première méthode m'affiche ça lorsque je clique:

Et lorsque je clique sur continuer, il y a ça qui s'affiche ( 2eme capture d'éran):

L'onglet de sécurité m'affiche ça (voir 3ème capture d'écran) mais je ne sais pas quoi faire ensuite