Demande analyse fichiers FRST Le sujet est résolu

[razibus]

Bonjour la communauté

Depuis quelques jours j'ai un doute sur l'intégrité de ma machine. J'ai donc analysé avec Avast! et Malwarebytes Anti-Malware (MBAM) qui n'ont rien détecté.
Maintenant c'est Mozilla Firefox qui me demande le mot de passe maître dès le lancement. Ce qui n'était le cas auparavant. Une réparation avec l'outil inclus, ni une réinstallation n'ont pas résolu le problème.

Dans le doute, je viens vous demander de l'aide pour l'analyse de mes fichiers FRST ci dessous.

https://pjjoint.malekal.com/files.php?i ... 1f710j10z9
https://pjjoint.malekal.com/files.php?i ... 9v6p5g11u8
https://pjjoint.malekal.com/files.php?i ... 10e14k5r12

Merci d'avance à vous

Razibus

[Malekal_morte]

Salut,

Le mot de passe maitre est demandée dès qu'il reconnait un site où tu as des identifiants enregistrés dessus.
C'est normal.

Pas infecté mais beaucoup de programmes au démarrage et pas vraiment utile.
A désinstaller éventuellement :

Avast - Pour laisser la place à Windows Defender, plus léger et mions intrusif
CCleaner - pas utile
CyberLink
Java
Unchecky - pas utile
Wise Care - pas utile

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start
CloseProcesses:
CreateRestorePoint:
2017-05-16 21:41 - 2017-05-16 21:44 - 063849440 _____ () C:\Users\Rasmane\WDMyCloud_win.exe
2017-10-26 11:04 - 2017-05-09 18:02 - 000000002 ____C () C:\Users\Rasmane\AppData\Roaming\paclan.ini
2017-10-26 11:04 - 2017-10-26 11:04 - 000000008 ____C () C:\Users\Rasmane\AppData\Roaming\pacsound.dll
2018-07-17 16:39 - 2018-07-17 16:39 - 000000716 ___HC () C:\Users\Rasmane\AppData\Roaming\{DB507B74-C9C4-88D5-1136-FF9AA82DC9AB}
2018-01-14 23:12 - 2018-01-14 23:12 - 000000107 __SHC () C:\Users\Rasmane\AppData\Local\00000106
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

[razibus]

Merci beaucoup @Malekal_morte. Je m'y attèle de suite

[razibus]

Re Bonjour

Voici le contenu du fichIer Fixlog.txt :

Rasmane => 16925605 B

RecycleBin => 0 B
EmptyTemp: => 105 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 22:13:59 ====

[Malekal_morte]

il est partiel, il manque une partie.

[razibus]

Bonjour,
Sauf à refaire la manip, c'est tout ce qu'il y a dans le fichier Fixlog.txt.
J'ai garder Java car de mémoire, mon logiciel de certification en a besoin. Et aussi Cyberlink (photo editor) et ccleaner (pour les nettoyages et gestion)

A toutes fins utiles, j'ai refais l'analyse. Dites moi si je dois refaire la manip pour le fichier Fixlog.txt

https://pjjoint.malekal.com/files.php?i ... _e5g96q5f9
https://pjjoint.malekal.com/files.php?i ... r11g7q8o15
https://pjjoint.malekal.com/files.php?i ... 13p6t5m7r5

Merci beaucoup

[Malekal_morte]

ok je pense que l'on a terminé,
des problèmes résiduels ?

[razibus]

Merci beaucoup de ta célérité. Plus de problèmes apparemment et me voila rassuré

PS : Pour Firefox, j'ai supprimé le fichier préférences (prefs.js) dans le dossier profil et tout est rentré dans l'ordre (demande du mot de passe maître uniquement quand on va sur un site où on a des utilisateurs enregistrés avec mots de passe et non plus systématiquement dès le lancement de Firefox)

Cordialement et bonne journée

[Malekal_morte]

ok mais comme dis précédemment, ce n'est pas anormal dès lors qu'un site où les identifiants sont enregistrés s'affichent.

[razibus]

Entièrement d'accord avec toi. Sauf que dans mon cas, c'était dès la page d'accueil de Firefox (Configurée sur google). Je précise que je n'utilise pas la connexion au compte Firefox.
Du coup j'avais peur qu'un site malicieux se connecte en arrière plan à l'insu de mon plein gré .
De toute façon, la suppression du fichier perfs.js à réglé le problème (c'est pour ceux qui seraient dans le même cas que moi)

[Malekal_morte]

non je ne pense pas pour le script malveillant.

[KolArgo0l]

Bonjour,

Dans le centre de sécurité windwos defender, j'ai un petit soucis dans l'onglet "Controle des applications et du navigateur" ou le paragraphe : "Vérifier les applications et les fichiers" a été désactivé par l'administrateur... sauf que c'est un PC de maison et je suis le seul admin... d'où mon inquiétude. J

Si dessous les liens tel que suivi sur le site :
FRST : https://pjjoint.malekal.com/files.php?i ... f14t9k14p9
Addition : https://pjjoint.malekal.com/files.php?i ... 3m11l12k15
Shortcut : https://pjjoint.malekal.com/files.php?i ... z6u11i14d6

En vous remerciant par avance pour votre aide.

Cordialement

PS : J'ai déjà "écrit" le fichier joint dans le lien "https://www.malekal.com/windows-defende ... anisation/" mais après redémarrage cela n'a rien changé.

[Malekal_morte]

Salut,

A désinstaller :

CCleaner (inutile)
Dropbox (sauf si tu synchronises)
Hola (à éviter)
McAfee Security Scan Plus
McAfee True Key

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start
CloseProcesses:
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

[KolArgo0l]

Bonjour,

Merci pour ton retour. Malheureusement pas de changement. Tel que demandé, ci-dessous le contenue du fichier fixlog :



Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 06-05.2019
Exécuté par Loic (08-05-2019 14:10:13) Run:1
Exécuté depuis C:\Users\Loic\Desktop
Profils chargés: Loic (Profils disponibles: Loic)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Start
CloseProcesses:
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End
*****************

Processus fermé avec succès.
Erreur: (0) Impossible de créer un point de restauration.
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender => impossible à supprimer, clé était peut-être protégé(e)
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2974288069-747768077-588333995-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2974288069-747768077-588333995-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 9199616 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 151209181 B
Java, Flash, Steam htmlcache => 174102396 B
Windows/system/drivers => 1132293 B
Edge => 7168 B
Chrome => 183517 B
Firefox => 269253060 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 0 B
LocalService => 0 B
NetworkService => 1880 B
NetworkService => 0 B
Loic => 10951243 B

RecycleBin => 0 B
EmptyTemp: => 587.5 MB données temporaires supprimées.

================================

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 08-05-2019 14:15:10)


Résultats de la suppression planifiée des clés après redémarrage:

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender => supprimé(es) avec succès

==== Fin de Fixlog 14:15:10 ====

[Malekal_morte]

Je me demande s'il ne faut pas l'édition pro pour avoir ces fonctions.