Problème de virus et installation d'antivirus impossible [résolu]

[Sfultrox]

Bonjour à tous !
Je suis sur Acer, Windows 10 64b.
Mon problème est le suivant : mon gestionnaire des tâches (et mon dossier ProgramData, mais je ne sais pas si ça a un lien) se fermait automatiquement lorsque je l'utilisais, j'ai donc essayer d'installer Avast et Malwarebytes Anti-Malware (MBAM) pour faire un petit scan. Cependant, impossible de lancer les installers de ces logiciels. Pour le premier, il se coupait tout seul lors du lancement. Pour le deuxième, il me mettait un message du genre "impossible de lancer l'application en raison de restrictions sur votre ordinateur, veuillez contacter votre administrateur". J'ai réussi à enlever ce message en modifier la clé du registre "DisallowRun", avec l'aide d'un forum, mais une fois le message enlever, l'installer se coupait automatiquement au lancement lui aussi. J'ai essayer avec d'autres logiciels comme Mcaffe ou même Avcertclean, mais rien ne marche. J'ai juste réussi à lancer le Microsoft Safety Scanner qui a marcher, et après analyse à apparemment supprimé quelques virus, mais rien n'a changé finalement.

Voilà j'espère avoir été précis, et que vous pourrez m'aider.
Merci d'avance !

Léo

[Malekal_morte]

Bonjour,

Ce sont des signes de la présence d'un Trojan, le fait que les logiciels antivirus ne se lancent pas.

Si FRST ne se lance pas, renomme le fichier FRST en winlogon


~~

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Attendre la fin du scan, un message indique que l'analyse est terminée.
Télécharge et lance le scan FRST,

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut
* Additionnal.txt



Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Tu peux aussi attacher les fichiers de rapports FRST dans une nouvelle réponse avec l'éditeur avancé.



Ensuite en bas pièce-jointe.



(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).

NOTE : tu peux aussi envoyer les rapports sur https://pjjoint.malekal.com et donner les liens en retour.

[Sfultrox]

Salut Malekal, merci pour ta réponse.
Malheureusement FRST se ferme automatiquement après son lancement, même en le renommant.

J'avais cru résoudre à l'aide de l'outil Reanimator : https://greatis.com/security/reanimator.html
Après un premier redémarrage je n'avais plus de problème, mais lors d'un second test de redémarrage les fichiers infestés sont revenus.

Voici ceux que l'outil a trouvé :
Taskhostw.exe c:\programdata\reaitekhd\taskhostw.exe
Taskhost.exe c:\programdata\reaitekhd\taskhost.exe
Audiodg.exe c:\programdata\windowstask\audiodg.exe
Winserv.exe c:\programdata\windows tasks service\winserv.exe
Microsofthost.exe c:\programdata\windowstask\microsofthost.exe

Merci d'avance pour ton aide.

[angelique]

Salut

C'est du "virus" agressif" en tâche planifiée, renommer FRST64.exe en Winlogon.exe ?

[Sfultrox]

Hello Angélique,
Merci de ta réponse mais Malekal me l'a déjà suggéré et ça n'a rien donné..

[Sfultrox]

J'ai finalement pu utiliser FRST !
Voici donc les résultats :

https://pjjoint.malekal.com/files.php?i ... n5y9v11u12
https://pjjoint.malekal.com/files.php?i ... 5h10b12h11
https://pjjoint.malekal.com/files.php?i ... 11d5d10i12

Merci à vous

[Malekal_morte]

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
C:\ProgramData\ReaItekHD
HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\ReaItekHD\taskhostw.exe (Pas de fichier) <==== ATTENTION
Task: {03E07C65-8D8B-43BF-A489-341EEF720C5A} - \Microsoft\Windows\MasterDataF\RecoveryTask -> Pas de fichier <==== ATTENTION
Task: {593120C1-D981-44C0-AB5F-E3BFB2781593} - \Microsoft\Windows\MasterDataF\igz7jO31w04r -> Pas de fichier <==== ATTENTION
Task: {6D026538-09E9-4073-9A32-24416C5DC98B} - \Microsoft\Windows\MasterDataF\RecoveryHosts -> Pas de fichier <==== ATTENTION
Task: {DB0A8AF7-46D6-4EEE-8A0A-9E22DFF840A4} - \Microsoft\Windows\Wininet\winsers -> Pas de fichier <==== ATTENTION
Task: {DCAD71C7-4D8A-4311-94E6-D3E4AE13B63C} - \Microsoft\Windows\Wininet\winser -> Pas de fichier <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Restriction <==== ATTENTION
Task: {46E6DF00-BF29-4E0F-B834-BC530C9DF9EB} - System32\Tasks\Microsoft\Windows\Windows Media Sharing\UpdateLibrary => "%ProgramFiles%\Windows Media Player\wmpnscfg.exe"  (Pas de fichier)
Task: {B1ABCCCC-53E3-4571-A471-21442D9F3318} - System32\Tasks\Microsoft\Windows\Wininet\Hor => C:\ProgramData\Microsoft\DRM\igz7jO31w04r\Game.exe [53231134 2023-08-08] () [Fichier non signé]
S2 IntelSSTSvc; "C:\WINDOWS\system32\IntelSSTAPO\ParameterService\ParameterService.exe" [X] <==== ATTENTION
R2 MBAMService; C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe <==== ATTENTION (Accès refusé)
2024-01-25 12:00 - 2023-09-10 17:27 - 000000000 ___DC C:\Users\lelep\AppData\Roaming\Microsoft\MMC
C:\Users\lelep\AppData\Local\Programs\Opera\opera.exe 
C:\Users\lelep\AppData\Local\Programs\Opera
C:\ProgramData\Microsoft\DRM
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)


2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :

• Réparer Mozilla Firefox (premier paragraphe)
• Réparer Google Chrome (premier paragraphe)
• Comment réparer ou réinitialiser Microsoft Edge

~~

Désinstalle CCleaner, inutile.

[Sfultrox]

Voilà le fixlog :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 25.01.2024
Exécuté par lelep (26-01-2024 12:55:47) Run:1
Exécuté depuis d:\Users\lelep\Desktop
Profils chargés: lelep
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Start:
CloseProcesses:
CreateRestorePoint:
C:\ProgramData\ReaItekHD
HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\ReaItekHD\taskhostw.exe (Pas de fichier) <==== ATTENTION
Task: {03E07C65-8D8B-43BF-A489-341EEF720C5A} - \Microsoft\Windows\MasterDataF\RecoveryTask -> Pas de fichier <==== ATTENTION
Task: {593120C1-D981-44C0-AB5F-E3BFB2781593} - \Microsoft\Windows\MasterDataF\igz7jO31w04r -> Pas de fichier <==== ATTENTION
Task: {6D026538-09E9-4073-9A32-24416C5DC98B} - \Microsoft\Windows\MasterDataF\RecoveryHosts -> Pas de fichier <==== ATTENTION
Task: {DB0A8AF7-46D6-4EEE-8A0A-9E22DFF840A4} - \Microsoft\Windows\Wininet\winsers -> Pas de fichier <==== ATTENTION
Task: {DCAD71C7-4D8A-4311-94E6-D3E4AE13B63C} - \Microsoft\Windows\Wininet\winser -> Pas de fichier <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Restriction <==== ATTENTION
Task: {46E6DF00-BF29-4E0F-B834-BC530C9DF9EB} - System32\Tasks\Microsoft\Windows\Windows Media Sharing\UpdateLibrary => "%ProgramFiles%\Windows Media Player\wmpnscfg.exe" (Pas de fichier)
Task: {B1ABCCCC-53E3-4571-A471-21442D9F3318} - System32\Tasks\Microsoft\Windows\Wininet\Hor => C:\ProgramData\Microsoft\DRM\igz7jO31w04r\Game.exe [53231134 2023-08-08] () [Fichier non signé]
S2 IntelSSTSvc; "C:\WINDOWS\system32\IntelSSTAPO\ParameterService\ParameterService.exe" [X] <==== ATTENTION
R2 MBAMService; C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe <==== ATTENTION (Accès refusé)
2024-01-25 12:00 - 2023-09-10 17:27 - 000000000 ___DC C:\Users\lelep\AppData\Roaming\Microsoft\MMC
C:\Users\lelep\AppData\Local\Programs\Opera\opera.exe
C:\Users\lelep\AppData\Local\Programs\Opera
C:\ProgramData\Microsoft\DRM
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:̩
*****************

Processus fermé avec succès.
Erreur: (0) Impossible de créer un point de restauration.

"C:\ProgramData\ReaItekHD" dossier déplacer:

C:\ProgramData\ReaItekHD => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Realtek HD Audio" => non trouvé(e)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{03E07C65-8D8B-43BF-A489-341EEF720C5A}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{03E07C65-8D8B-43BF-A489-341EEF720C5A}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\MasterDataF\RecoveryTask" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{593120C1-D981-44C0-AB5F-E3BFB2781593}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{593120C1-D981-44C0-AB5F-E3BFB2781593}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\MasterDataF\igz7jO31w04r" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{6D026538-09E9-4073-9A32-24416C5DC98B}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6D026538-09E9-4073-9A32-24416C5DC98B}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\MasterDataF\RecoveryHosts" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{DB0A8AF7-46D6-4EEE-8A0A-9E22DFF840A4}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DB0A8AF7-46D6-4EEE-8A0A-9E22DFF840A4}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Wininet\winsers" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{DCAD71C7-4D8A-4311-94E6-D3E4AE13B63C}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DCAD71C7-4D8A-4311-94E6-D3E4AE13B63C}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Wininet\winser" => supprimé(es) avec succès
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender => supprimé(es) avec succès
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{46E6DF00-BF29-4E0F-B834-BC530C9DF9EB}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{46E6DF00-BF29-4E0F-B834-BC530C9DF9EB}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Microsoft\Windows\Windows Media Sharing\UpdateLibrary => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Windows Media Sharing\UpdateLibrary" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{B1ABCCCC-53E3-4571-A471-21442D9F3318}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B1ABCCCC-53E3-4571-A471-21442D9F3318}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Microsoft\Windows\Wininet\Hor => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Wininet\Hor" => supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\IntelSSTSvc => supprimé(es) avec succès
IntelSSTSvc => service supprimé(es) avec succès
MBAMService => Impossible d'arrêter le service.
HKLM\System\CurrentControlSet\Services\MBAMService => supprimé(es) avec succès
MBAMService => service supprimé(es) avec succès

"C:\Users\lelep\AppData\Roaming\Microsoft\MMC" dossier déplacer:

C:\Users\lelep\AppData\Roaming\Microsoft\MMC => déplacé(es) avec succès
C:\Users\lelep\AppData\Local\Programs\Opera\opera.exe => déplacé(es) avec succès

"C:\Users\lelep\AppData\Local\Programs\Opera" dossier déplacer:

C:\Users\lelep\AppData\Local\Programs\Opera => déplacé(es) avec succès

"C:\ProgramData\Microsoft\DRM" dossier déplacer:

C:\ProgramData\Microsoft\DRM => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3320284121-2949908740-937258094-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3320284121-2949908740-937258094-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

FlushDNS => terminé(e)
BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 26409058 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 242321938 B
Windows/system/drivers => 26137629 B
Edge => 0 B
Chrome => 499712 B
Firefox => 0 B
Opera => 32964730 B

Temp, IE cache, history, cookies, recent:
Default => 5120 B
ProgramData => 5120 B
Public => 5120 B
systemprofile => 157415 B
systemprofile32 => 157415 B
LocalService => 157415 B
NetworkService => 163325 B
lelep => 1126691368 B

RecycleBin => 7672 B
EmptyTemp: => 1.4 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 12:56:50 ====

[Malekal_morte]

ok fais le reste, essaye de faire fonctionner MBAM.
Si ça passe pas, tu supprimes les traces avec leurs utilitaires, paragraphe "Malwarebytes CleanUp Utility" : https://www.malekal.com/desinstaller-su ... ware-mbam/
Puis tu le réinstalles.

Refais un scan FRST et donne les nouveaux rapports.

[Sfultrox]

Tout a été fait mais je ne parviens pas à réinstaller MBAM... L'installer me dit que tout s'est bien passé mais les raccourcis m'indiquent une erreur et je ne trouve aucun programme MBAM sur mon ordi... J'ai essayé d'installer AVAST mais l'installer ne marche pas.
Cependant mon gestionnaire des tâches et FRST ne se ferment plus intempestivement.

J'ai quand même fait les rapports FRST :
https://pjjoint.malekal.com/files.php?i ... q12h9c6s14
https://pjjoint.malekal.com/files.php?i ... _l1478z9z8
https://pjjoint.malekal.com/files.php?i ... 3j13c11d12

Merci encore pour ton aide.

[Malekal_morte]

Ca ne sert à rien d'installer Avast!.
Tu as utilisé le remover de MBAM comme je t'ai indiqué ?

Il faudra changer tous tes mots de passe depuis un autre PC si possible.


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
S3 WMPNetworkSvc; D:\Program Files\Windows Media Player\wmpnetwk.exe [956416 2023-11-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION
R2 MBAMService; C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe <==== ATTENTION (Accès refusé)
D:\Program Files\Windows Media Player
HKLM\...\RunOnce: [AvRepair] => "C:\Program Files\Avast Software\Avast\setup\instup.exe" /instop:repair /wait (Pas de fichier)
HKU\S-1-5-21-3320284121-2949908740-937258094-1001\...\Run: [Opera Stable] => C:\FRST\Quarantine\C\Users\lelep\AppData\Local\Programs\Opera\Opera\launcher.exe [2350496 2024-01-18] (Opera Norway AS -> Opera Software)
Task: {5BC0FB42-D37E-4F1F-B35E-C805234CD4E7} - System32\Tasks\Opera scheduled Autoupdate 1694381332 => C:\Users\lelep\AppData\Local\Programs\Opera\launcher.exe  --scheduledautoupdate $(Arg0) (Pas de fichier)
S0 MbamElam; C:\WINDOWS\System32\DRIVERS\MbamElam.sys [21480 2024-01-25] (Microsoft Windows Early Launch Anti-malware Publisher -> Malwarebytes)
R3 MBAMSwissArmy; C:\WINDOWS\System32\Drivers\mbamswissarmy.sys [239576 2024-01-26] (Microsoft Windows Hardware Compatibility Publisher -> Malwarebytes)
2024-01-25 15:42 - 2024-01-26 12:55 - 000000000 ___DC C:\Users\lelep\AppData\Local\UnHackMe
2024-01-25 15:42 - 2024-01-25 15:42 - 000000000 ___DC C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reanimator
2024-01-25 15:42 - 2024-01-25 15:42 - 000000000 ____D D:\Program Files (x86)\Greatis
2024-01-25 15:42 - 2015-12-28 11:32 - 000049968 ____C (Greatis Software) C:\WINDOWS\system32\partizan.exe
2023-09-11 13:32 C:\ProgramData\360safe
2023-09-11 13:32 C:\ProgramData\AVAST Software
2023-09-11 13:32 C:\ProgramData\Avira
2023-09-11 13:32 C:\ProgramData\BookManager
2023-09-11 13:32 C:\ProgramData\Doctor Web
2023-09-11 13:32 C:\ProgramData\ESET
2023-09-11 13:32 C:\ProgramData\Evernote
2023-09-11 13:32 C:\ProgramData\FingerPrint
2023-09-11 13:32 C:\ProgramData\grizzly
2023-09-11 13:32 C:\ProgramData\Kaspersky Lab
2023-09-11 13:32 C:\ProgramData\Kaspersky Lab Setup Files
2023-09-11 13:32 C:\ProgramData\McAfee
2023-09-11 13:32 C:\ProgramData\Norton
2023-09-11 13:32 C:\ProgramData\princeton-produce
2023-09-11 13:32 C:\ProgramData\WavePad
2023-09-11 13:32 C:\Users\lelep\Downloads\AutoLogger
2023-09-11 13:32 C:\Users\lelep\Downloads\AV_block_remover
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

[Sfultrox]

Pour avast, c'était juste pour être sûr que je n'avais pas seulement un problème avec MBAM.
Oui j'ai fait la manip' pour supprimer toutes les datas de MBAM, mais ça m'a refait pareil en essayant de le réinstaller..

C'est noté pour les MDP

Le fixlog :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 25.01.2024
Exécuté par lelep (26-01-2024 18:37:35) Run:2
Exécuté depuis d:\Users\lelep\Desktop
Profils chargés: lelep
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Start:
CloseProcesses:
CreateRestorePoint:
S3 WMPNetworkSvc; D:\Program Files\Windows Media Player\wmpnetwk.exe [956416 2023-11-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION
R2 MBAMService; C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe <==== ATTENTION (Accès refusé)
D:\Program Files\Windows Media Player
HKLM\...\RunOnce: [AvRepair] => "C:\Program Files\Avast Software\Avast\setup\instup.exe" /instop:repair /wait (Pas de fichier)
HKU\S-1-5-21-3320284121-2949908740-937258094-1001\...\Run: [Opera Stable] => C:\FRST\Quarantine\C\Users\lelep\AppData\Local\Programs\Opera\Opera\launcher.exe [2350496 2024-01-18] (Opera Norway AS -> Opera Software)
Task: {5BC0FB42-D37E-4F1F-B35E-C805234CD4E7} - System32\Tasks\Opera scheduled Autoupdate 1694381332 => C:\Users\lelep\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Pas de fichier)
S0 MbamElam; C:\WINDOWS\System32\DRIVERS\MbamElam.sys [21480 2024-01-25] (Microsoft Windows Early Launch Anti-malware Publisher -> Malwarebytes)
R3 MBAMSwissArmy; C:\WINDOWS\System32\Drivers\mbamswissarmy.sys [239576 2024-01-26] (Microsoft Windows Hardware Compatibility Publisher -> Malwarebytes)
2024-01-25 15:42 - 2024-01-26 12:55 - 000000000 ___DC C:\Users\lelep\AppData\Local\UnHackMe
2024-01-25 15:42 - 2024-01-25 15:42 - 000000000 ___DC C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reanimator
2024-01-25 15:42 - 2024-01-25 15:42 - 000000000 ____D D:\Program Files (x86)\Greatis
2024-01-25 15:42 - 2015-12-28 11:32 - 000049968 ____C (Greatis Software) C:\WINDOWS\system32\partizan.exe
2023-09-11 13:32 C:\ProgramData\360safe
2023-09-11 13:32 C:\ProgramData\AVAST Software
2023-09-11 13:32 C:\ProgramData\Avira
2023-09-11 13:32 C:\ProgramData\BookManager
2023-09-11 13:32 C:\ProgramData\Doctor Web
2023-09-11 13:32 C:\ProgramData\ESET
2023-09-11 13:32 C:\ProgramData\Evernote
2023-09-11 13:32 C:\ProgramData\FingerPrint
2023-09-11 13:32 C:\ProgramData\grizzly
2023-09-11 13:32 C:\ProgramData\Kaspersky Lab
2023-09-11 13:32 C:\ProgramData\Kaspersky Lab Setup Files
2023-09-11 13:32 C:\ProgramData\McAfee
2023-09-11 13:32 C:\ProgramData\Norton
2023-09-11 13:32 C:\ProgramData\princeton-produce
2023-09-11 13:32 C:\ProgramData\WavePad
2023-09-11 13:32 C:\Users\lelep\Downloads\AutoLogger
2023-09-11 13:32 C:\Users\lelep\Downloads\AV_block_remover
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:̩
*****************

Processus fermé avec succès.
Erreur: (0) Impossible de créer un point de restauration.
HKLM\System\CurrentControlSet\Services\WMPNetworkSvc => supprimé(es) avec succès
WMPNetworkSvc => service supprimé(es) avec succès
MBAMService => Impossible d'arrêter le service.
HKLM\System\CurrentControlSet\Services\MBAMService => supprimé(es) avec succès
MBAMService => service supprimé(es) avec succès

"D:\Program Files\Windows Media Player" dossier déplacer:

D:\Program Files\Windows Media Player => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\\AvRepair" => supprimé(es) avec succès
"HKU\S-1-5-21-3320284121-2949908740-937258094-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Opera Stable" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{5BC0FB42-D37E-4F1F-B35E-C805234CD4E7}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5BC0FB42-D37E-4F1F-B35E-C805234CD4E7}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Opera scheduled Autoupdate 1694381332 => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Opera scheduled Autoupdate 1694381332" => supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\MbamElam => supprimé(es) avec succès
MbamElam => service supprimé(es) avec succès
MBAMSwissArmy => Service arrêté avec succès.
HKLM\System\CurrentControlSet\Services\MBAMSwissArmy => supprimé(es) avec succès
MBAMSwissArmy => service supprimé(es) avec succès

"C:\Users\lelep\AppData\Local\UnHackMe" dossier déplacer:

C:\Users\lelep\AppData\Local\UnHackMe => déplacé(es) avec succès

"C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reanimator" dossier déplacer:

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reanimator => déplacé(es) avec succès
"2024-01-25 15:42 - 2024-01-25 15:42 - 000000000 ____D D:\Program Files (x86)\Greatis" => non trouvé(e)
C:\WINDOWS\system32\partizan.exe => déplacé(es) avec succès

"C:\ProgramData\360safe" dossier déplacer:

C:\ProgramData\360safe => déplacé(es) avec succès

"C:\ProgramData\AVAST Software" dossier déplacer:

C:\ProgramData\AVAST Software => déplacé(es) avec succès

"C:\ProgramData\Avira" dossier déplacer:

C:\ProgramData\Avira => déplacé(es) avec succès

"C:\ProgramData\BookManager" dossier déplacer:

C:\ProgramData\BookManager => déplacé(es) avec succès

"C:\ProgramData\Doctor Web" dossier déplacer:

C:\ProgramData\Doctor Web => déplacé(es) avec succès

"C:\ProgramData\ESET" dossier déplacer:

C:\ProgramData\ESET => déplacé(es) avec succès

"C:\ProgramData\Evernote" dossier déplacer:

C:\ProgramData\Evernote => déplacé(es) avec succès

"C:\ProgramData\FingerPrint" dossier déplacer:

C:\ProgramData\FingerPrint => déplacé(es) avec succès

"C:\ProgramData\grizzly" dossier déplacer:

C:\ProgramData\grizzly => déplacé(es) avec succès

"C:\ProgramData\Kaspersky Lab" dossier déplacer:

C:\ProgramData\Kaspersky Lab => déplacé(es) avec succès

"C:\ProgramData\Kaspersky Lab Setup Files" dossier déplacer:

C:\ProgramData\Kaspersky Lab Setup Files => déplacé(es) avec succès

"C:\ProgramData\McAfee" dossier déplacer:

C:\ProgramData\McAfee => déplacé(es) avec succès

"C:\ProgramData\Norton" dossier déplacer:

C:\ProgramData\Norton => déplacé(es) avec succès

"C:\ProgramData\princeton-produce" dossier déplacer:

C:\ProgramData\princeton-produce => déplacé(es) avec succès

"C:\ProgramData\WavePad" dossier déplacer:

C:\ProgramData\WavePad => déplacé(es) avec succès

"C:\Users\lelep\Downloads\AutoLogger" dossier déplacer:

C:\Users\lelep\Downloads\AutoLogger => déplacé(es) avec succès

"C:\Users\lelep\Downloads\AV_block_remover" dossier déplacer:

C:\Users\lelep\Downloads\AV_block_remover => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3320284121-2949908740-937258094-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3320284121-2949908740-937258094-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

FlushDNS => terminé(e)
BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 9590644 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 164495190 B
Windows/system/drivers => 11132808 B
Edge => 0 B
Chrome => 21776041 B
Firefox => 0 B
Opera => 8349539 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 0 B
lelep => 18774136 B

RecycleBin => 1912 B
EmptyTemp: => 223.3 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 18:37:44 ====

[Malekal_morte]

En fait le malware a créé plein de dossiers utilisés par les antivirus avec des permissions erronées... Du coup ça empêche l'installation.
Il doit peut être aussi resté des clés dans le registre qui peut empêcher le démarrage.
Tu as vérifié toutes les clés Disallow ?

Pour FRST :

Exécuté depuis d:\Users\lelep\Desktop\Winlogon (2).exe

Est-ce que FRST se lance avec son nom de fichier normal ?

~~

Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur https://pjjoint.malekal.com/ et donne le lien ici.

[Sfultrox]

Pour les clés Disallow je ne sais pas trop où elle se trouve, je ne maitrise pas le registre..
J'ai mis sur 0 celle-là :
Ordinateur\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun

Pour FRST oui c'est bon il se ferme pas.

Le rapport NOD32 :
https://pjjoint.malekal.com/files.php?i ... 6c11o8h5q7

[Sfultrox]

Après l'analyse NOD32, MBAM ne marche pas, même après un clean.
A chaque fois que je télécharge un exe, un dossier "scoped_dir..*chiffres*" se crée dans téléchargements avec un doublon du exe. Je ne sais pas d'où ça vient et si ça à quelque chose à voir mais ça ne faisait pas ça avant.

Ps : je ne peux plus accéder au forum depuis mon ordinateur, erreur 403 une tentative de spam ou d'attaque a été détecté...