dwm.exe has stopped working

[gabagarre]

Bonjour,

J'aurai besoin d'aide pour régler ce problème de message d'erreur répétitif.J'ai vu que le sujet a déjà été abordé et apparemment résolu. ( message en français, je suppose que cela ne change rien à la solution ? )

J ai lu le tuto frst et suivi la procédure, j'ai donc récupéré les trois liens via pijoint :

FRST :
http://pjjoint.malekal.com/files.php?id ... g14n9t11e6
ADDITION :
http://pjjoint.malekal.com/files.php?id ... 5j9t8p12p9
SHORTCUT :
http://pjjoint.malekal.com/files.php?id ... 8t5l6n10g8

Merci à la ou les personnes qui voudront bien jeter un oeil

G.

[Malekal_morte]

Salut,

Pas d'antivirus => infecté.

Envoie C:\Users\gab\AppData\Local\Temp\msupdate71\dwm.exe sur http://upload.malekal.com

~~


Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutorial-farbar ... -frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

Task: {3035B07F-139D-4694-9DB5-B6CE7057A766} - System32\Tasks\{0121A32C-5302-46BC-A78A-E07907F02625} => pcalua.exe -a C:\Users\gab\AppData\Roaming\oursurfing\UninstallManager.exe -c -ptid=smt
Task: {585F498E-D0EF-4D20-90E3-BBBEDCBB4499} - \AdobeFlashPlayerUpdate No Task File <==== ATTENTION
HKLM-x32\...\Run: [YourFile DownloaderInstaller Starter] => C:\Users\gab\AppData\Local\Temp\install836911.exe -startup <===== ATTENTION
CHR HKU\S-1-5-21-1241078361-2519069356-1188919136-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [paoponfhfdfnjgddpnpjkambkcgdaaib] - C:\Users\gab\AppData\Local\CRE\paoponfhfdfnjgddpnpjkambkcgdaaib.crx [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [paoponfhfdfnjgddpnpjkambkcgdaaib] - C:\Users\gab\AppData\Local\CRE\paoponfhfdfnjgddpnpjkambkcgdaaib.crx [Not Found]
C:\Users\gab\AppData\Local\Temp\msupdate71

Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur



puis réinitialise tes navigateurs:
==================================
Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :
* Firefox : http://forum.malekal.com/firefox-extens ... 36057.html
* Google Chrome : http://forum.malekal.com/google-chrome- ... 35837.html
* Internet Explorer et modules complémentaires / moteurs de recherche : http://forum.malekal.com/

~~

installe Avast! : https://www.malekal.com/2010/11/12/tuto ... rus-avast/
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)

[gabagarre]

Merci pour cette réponse éclair !

Je ne peux trouver ce fichier et donc l'uploader sur le site , j'ai eu beau fouiller tout le disque C:, je ne trouve pas de dossier application data

C:\Users\gab\AppData\Local\Temp\msupdate71\dwm.exe



J ai quand même fait la manip avec frst, voici le fixlog que j'ai eu au redémarrage :

( si je comprends bien, à la fin du rapport le message indique qu'il n'a pas réussi à virer le fameux fichier dwm.exe
mais que cela se ferait au prochain reboot ; j ai donc redémarré mais le petit message persiste..raahh..



Fix result of Farbar Recovery Scan Tool (x64) Version:08-06-2015
Ran by gab at 2015-06-10 23:38:27 Run:1
Running from C:\Users\gab\Desktop
Loaded Profiles: gab (Available Profiles: gab)
Boot Mode: Normal
==============================================

fixlist content:
*****************
Task: {3035B07F-139D-4694-9DB5-B6CE7057A766} - System32\Tasks\{0121A32C-5302-46BC-A78A-E07907F02625} => pcalua.exe -a C:\Users\gab\AppData\Roaming\oursurfing\UninstallManager.exe -c -ptid=smt
Task: {585F498E-D0EF-4D20-90E3-BBBEDCBB4499} - \AdobeFlashPlayerUpdate No Task File <==== ATTENTION
HKLM-x32\...\Run: [YourFile DownloaderInstaller Starter] => C:\Users\gab\AppData\Local\Temp\install836911.exe -startup <===== ATTENTION
CHR HKU\S-1-5-21-1241078361-2519069356-1188919136-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [paoponfhfdfnjgddpnpjkambkcgdaaib] - C:\Users\gab\AppData\Local\CRE\paoponfhfdfnjgddpnpjkambkcgdaaib.crx [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [paoponfhfdfnjgddpnpjkambkcgdaaib] - C:\Users\gab\AppData\Local\CRE\paoponfhfdfnjgddpnpjkambkcgdaaib.crx [Not Found]
C:\Users\gab\AppData\Local\Temp\msupdate71
*****************

"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{3035B07F-139D-4694-9DB5-B6CE7057A766}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3035B07F-139D-4694-9DB5-B6CE7057A766}" => key removed successfully
C:\Windows\System32\Tasks\{0121A32C-5302-46BC-A78A-E07907F02625} => moved successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{0121A32C-5302-46BC-A78A-E07907F02625}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{585F498E-D0EF-4D20-90E3-BBBEDCBB4499}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{585F498E-D0EF-4D20-90E3-BBBEDCBB4499}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AdobeFlashPlayerUpdate" => key removed successfully
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\YourFile DownloaderInstaller Starter => value removed successfully
"HKU\S-1-5-21-1241078361-2519069356-1188919136-1000\SOFTWARE\Google\Chrome\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib" => key removed successfully
"HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib" => key removed successfully

"C:\Users\gab\AppData\Local\Temp\msupdate71" folder move:

Could not move "C:\Users\gab\AppData\Local\Temp\msupdate71" folder => Scheduled to move on reboot.


Result of scheduled files to move (Boot Mode: Normal) (Date&Time: 2015-06-10 23:40:21)<=

C:\Users\gab\AppData\Local\Temp\msupdate71 => Is moved successfully

==== End of Fixlog 23:40:21 ====

[gabagarre]

Bon,
en matant le tuto, je vois la note informative qui parle de la quarantaine.
Je trouve donc le fichier dwm (pas de .exe) et d'autres fichiers associés ici :

C:\quarantaine\C\users\gab\appdata\local\temp\msupdate71\dwm..et autres

Se trouvant dans la zone de quarantaine, ce fameux dwm.exe devrait avoir été supprimé, non ?

[Malekal_morte]

oui, si tu peux l'envoyer sur http://upload.malekal.com

[gabagarre]

OK

je viens de t'uploader le fichier

[Malekal_morte]

Merci,

C'est un Trojan.Miner bien détecté.
Avast! le détecte.
Installe donc Avast! comme cela t'a été suggéré dans la procédure.
Activel es détections LPis dessus.

SHA256: 215b14bc7fe9d288fc7bdf49d5980c30f453a0a67d22ad8442caf7fb835626cc
Nom du fichier : dwm.exe
Ratio de détection : 36 / 57
Date d'analyse : 2015-06-11 14:54:57 UTC (il y a 1 minute)

Antivirus Résultat Mise à jour
ALYac Trojan.Generic.14642020 20150611
AVG Generic36.ADKK 20150611
AVware Trojan.Win32.Generic!BT 20150611
Ad-Aware Trojan.Generic.14642020 20150611
Agnitum Riskware.BitCoinMiner! 20150611
AhnLab-V3 HackTool/Win32.BitCoinMiner 20150611
Antiy-AVL Trojan/Win32.TSGeneric 20150611
Arcabit Trojan.Generic.DDF6B64 20150611
Avast Win64:PUP-gen [PUP] 20150611
Avira TR/BitCoinMiner.Gen 20150611
Baidu-International Hacktool.Win64.BitCoinMiner.ts 20150611
BitDefender Trojan.Generic.14642020 20150611
CAT-QuickHeal RiskTool.Win64.r9 (Not a Virus) 20150611
Cyren W64/Trojan.PAZA-2738 20150611
DrWeb Tool.BtcMine.390 20150611
ESET-NOD32 a variant of Win64/BitCoinMiner.U potentially unsafe 20150611
Emsisoft Trojan.Generic.14642020 (B) 20150611
F-Secure Trojan.Generic.14642020 20150611
Fortinet Riskware/BitCoinMiner 20150611
GData Trojan.Generic.14642020 20150611
Ikarus not-a-virus:RiskTool.BitCoinMiner 20150611
K7AntiVirus Unwanted-Program ( 004b8f7a1 ) 20150611
K7GW Unwanted-Program ( 004b8f7a1 ) 20150611
Kaspersky not-a-virus:RiskTool.Win64.BitCoinMiner.ts 20150611
McAfee RDN/Generic PUP.x!cxm 20150611
McAfee-GW-Edition RDN/Generic PUP.x!cxm 20150610
MicroWorld-eScan Trojan.Generic.14642020 20150611
Panda Trj/CI.A 20150611
Qihoo-360 Win32/Virus.RiskTool.ef8 20150611
Rising PE:Trojan.Win32.Generic.16F431BE!385102270 20150611
Sophos Troj/Miner-AB 20150611
Symantec WS.Reputation.1 20150611
TrendMicro TROJ_GEN.R0C1C0RF315 20150611
TrendMicro-HouseCall TROJ_GEN.R0C1C0RF315 20150611
VIPRE Trojan.Win32.Generic!BT 20150611
nProtect Trojan.Generic.14642020 20150611

[gabagarre]

Avast installé

J ai lancé l'analyse au démarrage, il a trouvé plusieurs logiciels malveillants et les a mit en quarantaine
il a aussi détecté ce fichier dwm.exe et les autres fichiers se trouvant dans le même dossier mais m'indique qu'il est dans l'impossibilité de le traiter ( j ai essayé quarantaine, corriger, supprimer ..rien n'y fait

[gabagarre]

Cependant, je n'ai plus de message "dwm.exe has stopped working"
On dirait que ça a fonctionné malgré tout
Merci pour ton aide précieuse
Bonne continuation

A bientôt

G.

[Malekal_morte]

yep change tes mots de passe

Le reste de la sécurité : http://forum.malekal.com/comment-securi ... ateur.html