infection au virus Jenscus!Ink [résolu]

[biboul24]

Bonjour,

Je poste le nouveau rapport fixlog :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 11.01.2024
Exécuté par lotus (15-01-2024 10:36:25) Run:1
Exécuté depuis C:\Users\lotus\Desktop
Profils chargés: lotus
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Start:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-959503122-2740513669-3151905605-1001\...\Run: [svhost] => C:\Users\lotus\AppData\Local\Temp\svhost.exe [122368 2024-01-14] (Akeo Consulting) [Fichier non signé] <==== ATTENTION
Startup: C:\Users\lotus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt [2024-01-14] () <==== ATTENTION [zéro octet Fichier/Dossier]
Startup: C:\Users\lotus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svhost.lnk [2024-01-14]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Mozilla Thunderbird.lnk [2024-01-02]
ShortcutTarget: Mozilla Thunderbird.lnk -> (Pas de fichier)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\SPDriverInstall.lnk [2023-11-08] <==== ATTENTION
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\WSAppHelper.lnk [2023-04-09]
Task: {E59B00AB-3044-4ECA-9D07-609A3C548ACB} - System32\Tasks\GoogleUpdateTaskMachineAdmin => C:\Users\lotus\AppData\Local\Temp\scvhost.exe [65024 2024-01-14] () [Fichier non signé] <==== ATTENTION
Task: {254EF005-D436-4FF5-B0D5-4A8F6529B551} - System32\Tasks\RuntimeBroker_startup_450_str => C:\Users\lotus\AppData\Roaming\startup_str_450.vbs (Pas de fichier) <==== ATTENTION
Task: {AC3A7C9C-8750-4EB0-A27D-7C04DD39B60E} - System32\Tasks\RuntimeBroker_startup_564_str => C:\Users\lotus\AppData\Roaming\startup_str_564.vbs (Pas de fichier) <==== ATTENTION
Task: {183E2318-04E7-4FE5-B961-0F7C9192968A} - System32\Tasks\scvhost => C:\Users\lotus\AppData\Local\Temp\scvhost.exe [65024 2024-01-14] () [Fichier non signé] <==== ATTENTION
Task: {C02A38A9-67DA-4E82-B89F-21E509E3135B} - System32\Tasks\svhost => C:\Users\lotus\AppData\Roaming\svhost.exe [64512 2024-01-14] () [Fichier non signé] <==== ATTENTION
S3 esihdrv; \??\C:\Users\lotus\AppData\Local\Temp\esihdrv.sys [X] <==== ATTENTION
S1 pykmwfml; \??\C:\WINDOWS\system32\drivers\pykmwfml.sys [X]
S1 uylsptme; \??\C:\WINDOWS\system32\drivers\uylsptme.sys [X]
2024-01-14 00:15 - 2024-01-14 00:15 - 000064512 _____ () C:\Users\lotus\AppData\Roaming\svhost.exe
2024-01-14 00:13 - 2024-01-14 00:13 - 000820652 _____ C:\WINDOWS\Minidump\011424-19875-01.dmp
2023-12-29 19:26 - 2023-12-29 19:26 - 126511104 _____ () C:\Users\lotus\AppData\Roaming\Network12047Man.cmd
2024-01-14 01:33 - 2023-11-15 12:19 - 000493568 ___SH (Microsoft Corporation) C:\Users\lotus\AppData\Roaming\Network12047Man.cmd.exe
2023-12-29 19:26 - 2023-12-29 19:26 - 000284694 _____ () C:\Users\lotus\AppData\Roaming\Network12953Man.cmd
2024-01-14 01:33 - 2023-11-15 12:19 - 000493568 ___SH (Microsoft Corporation) C:\Users\lotus\AppData\Roaming\Network12953Man.cmd.exe
2024-01-13 23:01 - 2024-01-13 23:00 - 003544879 _____ () C:\Users\lotus\AppData\Roaming\startup_str_450.bat
2024-01-13 23:01 - 2024-01-13 23:00 - 003646079 _____ () C:\Users\lotus\AppData\Roaming\startup_str_564.bat
2024-01-14 00:15 - 2024-01-14 00:15 - 000064512 _____ () C:\Users\lotus\AppData\Roaming\svhost.exe
2021-10-09 19:32 - 2023-01-15 18:54 - 000007607 _____ () C:\Users\lotus\AppData\Local\resmon.resmoncfg
EmptyTemp:
RemoveProxy:
Reboot:
End:̩
*****************

Processus fermé avec succès.
Le Point de restauration a été créé avec succès.
"HKU\S-1-5-21-959503122-2740513669-3151905605-1001\Software\Microsoft\Windows\CurrentVersion\Run\\svhost" => supprimé(es) avec succès
C:\Users\lotus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt => déplacé(es) avec succès
C:\Users\lotus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svhost.lnk => déplacé(es) avec succès
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Mozilla Thunderbird.lnk => déplacé(es) avec succès
"ShortcutTarget: Mozilla Thunderbird.lnk -> (Pas de fichier)" => non trouvé(e)
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\SPDriverInstall.lnk => déplacé(es) avec succès
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\WSAppHelper.lnk => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E59B00AB-3044-4ECA-9D07-609A3C548ACB}" => non trouvé(e)
"C:\WINDOWS\System32\Tasks\GoogleUpdateTaskMachineAdmin" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GoogleUpdateTaskMachineAdmin" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{254EF005-D436-4FF5-B0D5-4A8F6529B551}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{254EF005-D436-4FF5-B0D5-4A8F6529B551}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\RuntimeBroker_startup_450_str => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\RuntimeBroker_startup_450_str" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{AC3A7C9C-8750-4EB0-A27D-7C04DD39B60E}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AC3A7C9C-8750-4EB0-A27D-7C04DD39B60E}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\RuntimeBroker_startup_564_str => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\RuntimeBroker_startup_564_str" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{183E2318-04E7-4FE5-B961-0F7C9192968A}" => non trouvé(e)
"C:\WINDOWS\System32\Tasks\scvhost" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\scvhost" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C02A38A9-67DA-4E82-B89F-21E509E3135B}" => non trouvé(e)
"C:\WINDOWS\System32\Tasks\svhost" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\svhost" => non trouvé(e)
HKLM\System\CurrentControlSet\Services\esihdrv => supprimé(es) avec succès
esihdrv => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\pykmwfml => supprimé(es) avec succès
pykmwfml => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\uylsptme => supprimé(es) avec succès
uylsptme => service supprimé(es) avec succès
"C:\Users\lotus\AppData\Roaming\svhost.exe" => non trouvé(e)
C:\WINDOWS\Minidump\011424-19875-01.dmp => déplacé(es) avec succès
C:\Users\lotus\AppData\Roaming\Network12047Man.cmd => déplacé(es) avec succès
C:\Users\lotus\AppData\Roaming\Network12047Man.cmd.exe => déplacé(es) avec succès
C:\Users\lotus\AppData\Roaming\Network12953Man.cmd => déplacé(es) avec succès
C:\Users\lotus\AppData\Roaming\Network12953Man.cmd.exe => déplacé(es) avec succès
C:\Users\lotus\AppData\Roaming\startup_str_450.bat => déplacé(es) avec succès
C:\Users\lotus\AppData\Roaming\startup_str_564.bat => déplacé(es) avec succès
"C:\Users\lotus\AppData\Roaming\svhost.exe" => non trouvé(e)
C:\Users\lotus\AppData\Local\resmon.resmoncfg => déplacé(es) avec succès

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-959503122-2740513669-3151905605-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-959503122-2740513669-3151905605-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

FlushDNS => terminé(e)
BITS transfer queue => 786432 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 85155790 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 0 B
Windows/system/drivers => 188320 B
Edge => 0 B
Chrome => 0 B
Firefox => 246514711 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 1182 B
lotus => 116249 B

RecycleBin => 0 B
EmptyTemp: => 317.3 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 10:36:58 ====


Merci de votre sollicitude.

[Malekal_morte]

OK toujours sans insérer de clé USB, refais un scan FRST et donne les nouveaux rapports.

[biboul24]

Rebonjour,

A chaque redémarrage j'ai une fenêtre vide "errorlog.txt" qui s'ouvre , avant elle s'accompagnait d'une autre fenêtre vide "cmd.exe" ........ Là avec la correction il ne reste plus que celle de " errorlog.txt".
Ainsi que des alertes de Securite Windows sur toujours ce " Jenscus!Lnk" et dès que je veux aller sur l'historique de protection de Securite Windows la fenêtre se ferme automatiquement.

Je refaisS une analyse FRST , voici les rapports :
https://pjjoint.malekal.com/files.php?i ... d9b9e15t14
https://pjjoint.malekal.com/files.php?i ... x7p714e5v7
https://pjjoint.malekal.com/files.php?i ... 12e10g6t10

Cordialement.

[Malekal_morte]

Oui il reste une entrée au démarrage.


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt [2024-01-15] () <==== ATTENTION [zéro octet Fichier/Dossier]
EmptyTemp:
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

~~

Puis insère ta clé USB mais n'ouvre aucun fichier et ne l'ouvre pas dans l'explorateur Windows

1°) Suivre les indications de cette page : Supprimer les virus par clé USB ou disque amovible
* Brancher toutes les clefs USB et autres périphériques amovibles.
* Télécharger Remediate VBS Worm
* Lance Remediate VBS Worm puis choisis l'option B
* Taper la lettre de la clef USB, par exemple, E et entrée
ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR !
* Va dans "Mon ordinateur" puis disque "C =un rapport "Rem-VBS.log" doit s'y trouver.
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.

~~

Refais un scan FRST et donne à nouveau les rapports.

[biboul24]

J'ai effectué la correction et poste donc le résultat :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 11.01.2024
Exécuté par lotus (15-01-2024 12:58:44) Run:2
Exécuté depuis C:\Users\lotus\Desktop
Profils chargés: lotus
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Start:
CloseProcesses:
CreateRestorePoint:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt [2024-01-15] () <==== ATTENTION [zéro octet Fichier/Dossier]
EmptyTemp:
RemoveProxy:
Reboot:
End:̩
*****************

Processus fermé avec succès.
Le Point de restauration a été créé avec succès.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt => déplacé(es) avec succès

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-959503122-2740513669-3151905605-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-959503122-2740513669-3151905605-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

FlushDNS => terminé(e)
BITS transfer queue => 1310720 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 19083025 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 0 B
Windows/system/drivers => 15516 B
Edge => 0 B
Chrome => 0 B
Firefox => 61304869 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 0 B
lotus => 7995781 B

RecycleBin => 3691072 B
EmptyTemp: => 89.1 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 12:59:15 ====

Par contre au démarrage il y a toujours une alerte de Sécurité Windows à propos de "Worm:Win32/Jenxcus!lnk" datant du 14/01/2024 01:25 sur des fichiers venant de ma clé USB.

Dois-je nettoyer la clé ou attendre de refaire une désinfection.
Merci d'avance

[Malekal_morte]

Laisse les alertes et détection Windows Defender pour le moment.
Oui poursuis avec RemVBS.

[biboul24]

J'ai desinfecté les clés usb avec Remediate VBS Worm et je poste ainsi le rapport généré :

Code : Tout sélectionner

Rem-VBSworm v8.0

=========== - General info:

Running under: lotus on profile: C:\Users\lotus
Computer name: HERVE-THEBRITIS

Operating System:
Microsoft Windows 10 Professionnel  

Boot Mode:
Normal boot  

Antivirus software installed:
Windows Defender  


Executed on: 15/01/2024 @ 13:41:57,28

=========== - Drive info:

Listing currently attached drives:
Caption  Description                       VolumeName              

A:       Lecteur de disquettes 3 « pouces                          

C:       Disque mont‚ local                Windows 7 64bits        

D:       Disque mont‚ local                AUDIOS - VIDEOS - JEUX  

E:       Disque mont‚ local                WIN 7                   

F:       Disque mont‚ local                DONNEES 2               

G:       Disque mont‚ local                Donnees WIN 7           

H:       Disque CD-ROM                                             

L:       Disque amovible                                           




Physical drives information:
C: \Device\HarddiskVolume3 NTFS
D: \Device\HarddiskVolume1 NTFS
E: \Device\HarddiskVolume5 NTFS
F: \Device\HarddiskVolume2 NTFS
G: \Device\HarddiskVolume6 NTFS
L: \Device\HarddiskVolume7 FAT

=========== - Disinfection info:


=========== - USB drive info:

L: selected

USB Device ID:
IDE\DISKST2000VX000-1CU164______________________CV22____\5&2EA7E938&0&0.0.0  

USBSTOR\DISK&VEN_VENDORCO&PROD_PRODUCTCODE&REV_2.00\9207145FA8137022176&0    

IDE\DISKST1000DM003-1ER162______________________CC45____\5&2AFB53D3&0&0.0.0  

IDE\DISKINTEL_SSDSC2KW512G8______________________LHF002C\5&5C6CFD6&0&1.0.0   

IDE\DISKST3250823AS_____________________________3.03____\5&2EA7E938&0&0.1.0  




WARNING... Possible Andromeda/Gamarue infection...
Listing root contents of L:
 Le volume dans le lecteur L n'a pas de nom.
 Le num‚ro de s‚rie du volume est 84CB-7F70

 R‚pertoire de L:\

13/07/2023  19:26    <DIR>          WARMPOOL
12/10/2023  15:00    <DIR>          ACCIDENT TRAVAIL - QUESTIONNAIRE
12/10/2023  15:05    <DIR>          PERSOS
26/10/2023  23:17           897ÿ808 CourrierDeVotreCaisse.pdf
15/11/2023  11:24           234ÿ409 Courrier CPAM - Demande declaration maladie en accident travail.pdf
17/11/2023  14:41            63ÿ811 Convocation - Rupture Conventionnelle 23-11-2023.pdf
30/11/2023  14:25           180ÿ556 CONVENTION RUPTURE CONVENTIONNELLE.pdf
15/01/2024  00:08    <DIR>          AUTORUN_.INF
               4 fichier(s)        1ÿ376ÿ584 octets
               5 R‚p(s)   7ÿ944ÿ122ÿ368 octets libres

USB drive disinfected and files unhidden!!


=========== - USB drive info:

I: selected

USB Device ID:
IDE\DISKST2000VX000-1CU164______________________CV22____\5&2EA7E938&0&0.0.0  

USBSTOR\DISK&VEN_IXPAND&PROD_FLASH_DRIVE&REV_\ABC7CB8D9AF9&0                 

IDE\DISKST1000DM003-1ER162______________________CC45____\5&2AFB53D3&0&0.0.0  

IDE\DISKINTEL_SSDSC2KW512G8______________________LHF002C\5&5C6CFD6&0&1.0.0   

IDE\DISKST3250823AS_____________________________3.03____\5&2EA7E938&0&0.1.0  




Fichier supprim‚ - I:\NOKIA 2.2 - Guide Utilisateur.pdf.lnk
Fichier supprim‚ - I:\ariana-grande-positions-official-video.mp3.lnk
Fichier supprim‚ - I:\ava-max-whos-laughing-now-official-music-video.mp3.lnk
Fichier supprim‚ - I:\dadju-amour-toxic-clip-officiel.mp3.lnk
Fichier supprim‚ - I:\david-guetta-sia-lets-love-official-video.mp3.lnk
Fichier supprim‚ - I:\ashnikko-deal-with-it-feat-kelis-official-music-video.mp3.lnk
Fichier supprim‚ - I:\ava-max-kings-queens-official-music-video.mp3.lnk
Fichier supprim‚ - I:\doja-cat-say-so-official-video.mp3.lnk
Fichier supprim‚ - I:\dua-lipa-physical-official-video.mp3.lnk
WARNING... Possible Andromeda/Gamarue infection...
Listing root contents of I:
 Le volume dans le lecteur I n'a pas de nom.
 Le num‚ro de s‚rie du volume est 1610-0422

 R‚pertoire de I:\

24/09/2008  15:15         7ÿ817ÿ599 Coldplay - Viva La Vida.mp3
30/10/2008  01:33         2ÿ963ÿ039 Timbaland ft OneRepublic - Apologize.mp3
25/10/2009  03:34         3ÿ217ÿ535 The Bacao Rhythm & Steel Band - Pimp.mp3
23/11/2009  01:39         7ÿ499ÿ233 Shakira - She Wolf (Radio Edit).mp3
25/02/2010  02:09        10ÿ291ÿ767 Timbaland & Katy Perry - If We Ever Meet Again.mp3
25/02/2010  02:09         9ÿ573ÿ905 Timbaland & JoJo - Lose Control.mp3
01/07/2012  11:57               115 desktop.ini
25/10/2012  23:18         5ÿ246ÿ693 Skunk Anansie - Hedonism (Just Because You Feel Good).mp3
25/09/2013  16:24    <DIR>          Aldo Romano - Non Dimenticar
08/01/2024  17:45    <DIR>          FOUND.000
             124 fichier(s)      837ÿ350ÿ371 octets
             247 R‚p(s)  15ÿ400ÿ894ÿ464 octets libres

USB drive disinfected and files unhidden!!


=====================================================
Scan finished at: 13:46:17,72
Send this log only if requested by a helper.
=====================================================

Made by @bartblaze
Tool to delete VBS autorun worm and unhide files
Quarantine folder on: C:\Rem-VBSqt

Je refais un coup de FRST et voilà les rapports :
https://pjjoint.malekal.com/files.php?i ... 14y13s9k12
https://pjjoint.malekal.com/files.php?i ... j10w8s14d9
https://pjjoint.malekal.com/files.php?i ... 7p14f15b15

[Malekal_morte]

Ok le PC est propre normalement.
Windows Defender peut encore émettre des alertes notamment sur le répertoire C:\FRST
Supprime le contenu, mets en tout en quarantaine ou supprime tout sur les nouvelles alertes Windows Defender.

Si tu as utilisé d'autres clés USB lorsque le PC était infecté, nettoie les avec l'option B de RemVBS.

Vois ce que cela donne dans le temps.
Tu peux refaire, si tu veux un nouveau rapport FRST demain, que je te dise si rien n'est revenu et que le PC est toujours propre.

[biboul24]

Tout d'abord je voudrais te remercier , tout a l'air être rentré dans l'ordre ...... il n'y a juste le problème avec Sécurité Windows l'icône est en rouge et lorsque je veux aller dans l'historique désinfection la fenêtre se ferme automatiquement.
Il ne resterait apparemment que ce problème là à résoudre.

Merci d'avance et oui je reposterai demain un rapport pour m'assurer que tout est bien fini.
Cordialement.

[Malekal_morte]

Il est possible que l'infection ait endommagé Sécurité Windows.
Il n'y a que l'historique qui est inaccessible ou tu as d'autres menus qui sont inaccessibles ?

[biboul24]

Non il n'y a vraiment que l'historique auquel je ne puisse plus accéder, et je supprime toujours le même ou alors il ne veut pas ..... Il n'y aurait pas n moyen de vider cette historique ou d'y accéder pour enlever cette ligne ??

Merci en tout cas , et deuxième question cette infection peut-elle se propager sur un autre ordinateur via le réseau car j'ai un autre ordi qui n'a pas utilisé ces dites clés USB mais s'il se propage autrement.

Cordialement.

[Parisien_entraide]

Il y a plusieurs méthodes pour éliminer l'historique mais il semble que Windows stocke cela maintenant dans au moins 2 endroits séparés

Vu que je n'ai pas d'infection et que sur ce PC j'ai un AV tiers, je ne peux pas tester ce script qui fonctionne très bien par ailleurs, et tu vas me servir de cobaye :-)

Donc il suffit de copier dans le bloc note (ou notepadd++) ce qui apparait ci-dessous, de sauvegarder avec l'extensions .bat
Ensuite pour exécuter il suffit de faire un clic droit sur le fichier.bat

- C'est sans risque (je l'utilise de temps à autre) , cela va juste ouvrir une fenetre CMD et tu va voir défiler tous les fichiers .log de Windows (cela peut durer quelques secondes) qui vont se retrouver à zéro

C'est bourrin je le reconnais mais je serais curieux de voir ce qui peut en ressortir, vu que les autres méthodes maintenant demandent un accès en mode sans échec
Cela va peut etre juste effacer le fichier en référence (les logs c'est juste visuel) mais pas le reste, donc wait and see

Après il suffit de relancer l'ordi (les fichiers logs "sains" vont se recréer tout au fil du temps et pour certains au redémarrage)

Code : Tout sélectionner

@echo off
FOR /F "tokens=1,2*" %%V IN ('bcdedit') DO SET adminTest=%%V
IF (%adminTest%)==(Access) goto noAdmin
for /F "tokens=*" %%G in ('wevtutil.exe el') DO (call :do_clear "%%G")
echo.
echo goto theEnd
:do_clear
echo clearing %1
wevtutil.exe cl %1
goto :eof
:noAdmin
exit

Si cela ne fonctionne voici les méthodes classiques


https://www.malekal.com/comment-supprim ... -defender/
ET
viewtopic.php?p=549098#p549098

[biboul24]

Bonsoir,

J'ai effectué la méthode "bourrin" comme vous le dites mais rien n'y a fait , j'ai aussi essayé celle en mod sans échec celle aussi avec l’observateur d’évènements et toujours la croix rouge sur Securite Windows (actions requises). Quand j'ouvre la page d'accueil et que je rentre dans l'historique de protection la fenêtre se ferme et je ne peux pas supprimer ces deux alertes ni savoir si Defender fonctionne normalement ou si la protection est désactivée.

Merci de votre retour.

[Parisien_entraide]

La croix sur "securite windows n'a rien à voir avec les logs de Windows defender

C'est l'infection qui avait désactivé et/ou neutralisé Defender comme l'a rappelé Malekal, c'est une partie du mode opératoire (neutraliser, se cacher, et pour certains malware s'auto détruire pour ne pas être repéré)
Alors OUI cela peut avoir une incidence sur l'historique de protection puisque le but c'est de se cacher

Malekal te donnera une procédure mais ne t'attend pas un miracle car parfois/souvent cela peut ne pas fonctionner et ensuite il n'y a qu'une seule issue

[Malekal_morte]

Tu as supprimé le dossier C:\ProgramData\Microsoft\Windows Defender\Scans\History en mode sans échec comme indiqué dans ce guide : https://www.malekal.com/comment-supprim ... -defender/ ?