Windows 8.1 a été infecté, message RUNDLL au démarrage

[Le Berger]

Bonjour,

Windows 8.1 a été infecté par un virus que j'ai réussi à détruire. Malheureusement j'ai à présent une boite de dialogue qui apparait au démarrage "RUNDLL" qui me dit qu'un fichier .tmp me manque. Je suppose qu'il s'agit de restes..

Avez-vous des conseilles ou même des solutions ?

Meilleures salutations et merci d'avance pour votre aide !

[Malekal_morte]

Salut,

Pour voir cela :


Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[Le Berger]

Merci pour ton aide !
Voici les liens :

http://pjjoint.malekal.com/files.php?id ... 5e14y14z10

http://pjjoint.malekal.com/files.php?id ... m5m6c13w13

http://pjjoint.malekal.com/files.php?id ... k8t13m6x12

J'attends tes prochaines intructions et j'espère que tout es comme tu le souhaite !

Merci encore !

[Malekal_morte]

ouaip, tu as été infecté par le Ransomware Locky

2016-04-27 15:38 - 2016-04-27 15:38 - 01306717 _____ C:\Users\icheffe\Documents\0A363CDCAB4CE3AF75C439A48B4EE8F0.locky
2016-04-27 15:38 - 2016-04-27 15:38 - 00731221 _____ C:\Users\icheffe\Downloads\0A363CDCAB4CE3AF0859192300FB6D41.locky
2016-04-27 15:38 - 2016-04-27 15:38 - 00282383 _____ C:\Users\icheffe\Downloads\0A363CDCAB4CE3AF648E9B05BC79AEB3.locky

Voici les deux étapes à effectuer.

1/
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
 2016-04-28 11:28 - 2016-04-28 11:28 - 00000030 _____ C:\Users\icheffe\AppData\LocalLow\uwf7B48.tmp  
 2016-04-27 17:20 - 2016-04-27 17:20 - 00696444 _____ (Microsoft Corporation) C:\Users\icheffe\AppData\LocalLow\vssDAAD.tmp  
 2016-04-27 17:20 - 2016-04-27 17:20 - 00577404 _____ (Realtek Semiconductor) C:\Users\icheffe\AppData\Roaming\DA00.tmp  
 2016-04-27 17:20 - 2016-04-27 17:20 - 00462848 ___SH (Microsoft Corporation) C:\Users\icheffe\AppData\Roaming\DA00.tmp2  
 2016-04-27 15:38 - 2016-04-27 15:38 - 00001208 _____ C:\Users\icheffe\Downloads\_HELP_instructions.txt  
 2016-04-27 15:38 - 2016-04-27 15:38 - 00001208 _____ C:\Users\icheffe\Documents\_HELP_instructions.txt  
 2016-04-27 11:03 - 2016-04-27 11:03 - 00696444 _____ (Microsoft Corporation) C:\Users\icheffe\AppData\LocalLow\zcp78C1.tmp  
 2016-04-27 11:03 - 2016-04-27 11:03 - 00696444 _____ (Microsoft Corporation) C:\Users\icheffe\AppData\LocalLow\clyF430.tmp  
2016-04-26 14:23 - 2016-04-26 14:23 - 00696444 _____ (Microsoft Corporation) C:\Users\icheffe\AppData\LocalLow\ykcCF32.tmp  
  2016-04-18 16:58 - 2016-04-18 16:58 - 00636016 _____ (Microsoft Corporation) C:\Users\icheffe\AppData\LocalLow\wwnDE57.tmp 
  2016-04-27 17:20 - 2016-04-27 17:20 - 0577404 _____ (Realtek Semiconductor) C:\Users\icheffe\AppData\Roaming\DA00.tmp  
 2016-04-27 17:20 - 2016-04-27 17:20 - 0462848 ___SH (Microsoft Corporation) C:\Users\icheffe\AppData\Roaming\DA00.tmp2  
Task: {F67AD9C2-A5C9-48A4-BC7A-881B216B8A2B} - System32\Tasks\User_Feed_Synchronization-{d1ae068e-88f0-1735-12d4-93b7817e3472} => Rundll32.exe C:\Users\icheffe\AppData\LocalLow\uwf7B48.tmp 3PqmS5NqsCQ5AnnUwPVHY
 

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.

2/

Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/

[Le Berger]

Voilà la copie du fichier texte :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version:27-04-2016
Exécuté par icheffe (2016-04-28 17:53:44) Run:1
Exécuté depuis C:\Users\icheffe\Desktop
Profils chargés: icheffe (Profils disponibles: icheffe & Administrateur & AdminAPI)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
2016-04-28 11:28 - 2016-04-28 11:28 - 00000030 _____ C:\Users\icheffe\AppData\LocalLow\uwf7B48.tmp
2016-04-27 17:20 - 2016-04-27 17:20 - 00696444 _____ (Microsoft Corporation) C:\Users\icheffe\AppData\LocalLow\vssDAAD.tmp
2016-04-27 17:20 - 2016-04-27 17:20 - 00577404 _____ (Realtek Semiconductor) C:\Users\icheffe\AppData\Roaming\DA00.tmp
2016-04-27 17:20 - 2016-04-27 17:20 - 00462848 ___SH (Microsoft Corporation) C:\Users\icheffe\AppData\Roaming\DA00.tmp2
2016-04-27 15:38 - 2016-04-27 15:38 - 00001208 _____ C:\Users\icheffe\Downloads\_HELP_instructions.txt
2016-04-27 15:38 - 2016-04-27 15:38 - 00001208 _____ C:\Users\icheffe\Documents\_HELP_instructions.txt
2016-04-27 11:03 - 2016-04-27 11:03 - 00696444 _____ (Microsoft Corporation) C:\Users\icheffe\AppData\LocalLow\zcp78C1.tmp
2016-04-27 11:03 - 2016-04-27 11:03 - 00696444 _____ (Microsoft Corporation) C:\Users\icheffe\AppData\LocalLow\clyF430.tmp
2016-04-26 14:23 - 2016-04-26 14:23 - 00696444 _____ (Microsoft Corporation) C:\Users\icheffe\AppData\LocalLow\ykcCF32.tmp
2016-04-18 16:58 - 2016-04-18 16:58 - 00636016 _____ (Microsoft Corporation) C:\Users\icheffe\AppData\LocalLow\wwnDE57.tmp
2016-04-27 17:20 - 2016-04-27 17:20 - 0577404 _____ (Realtek Semiconductor) C:\Users\icheffe\AppData\Roaming\DA00.tmp
2016-04-27 17:20 - 2016-04-27 17:20 - 0462848 ___SH (Microsoft Corporation) C:\Users\icheffe\AppData\Roaming\DA00.tmp2
Task: {F67AD9C2-A5C9-48A4-BC7A-881B216B8A2B} - System32\Tasks\User_Feed_Synchronization-{d1ae068e-88f0-1735-12d4-93b7817e3472} => Rundll32.exe C:\Users\icheffe\AppData\LocalLow\uwf7B48.tmp 3PqmS5NqsCQ5AnnUwPVHY

*****************

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
C:\Users\icheffe\AppData\LocalLow\uwf7B48.tmp => déplacé(es) avec succès
C:\Users\icheffe\AppData\LocalLow\vssDAAD.tmp => déplacé(es) avec succès
C:\Users\icheffe\AppData\Roaming\DA00.tmp => déplacé(es) avec succès
C:\Users\icheffe\AppData\Roaming\DA00.tmp2 => déplacé(es) avec succès
C:\Users\icheffe\Downloads\_HELP_instructions.txt => déplacé(es) avec succès
C:\Users\icheffe\Documents\_HELP_instructions.txt => déplacé(es) avec succès
C:\Users\icheffe\AppData\LocalLow\zcp78C1.tmp => déplacé(es) avec succès
C:\Users\icheffe\AppData\LocalLow\clyF430.tmp => déplacé(es) avec succès
C:\Users\icheffe\AppData\LocalLow\ykcCF32.tmp => déplacé(es) avec succès
C:\Users\icheffe\AppData\LocalLow\wwnDE57.tmp => déplacé(es) avec succès
"C:\Users\icheffe\AppData\Roaming\DA00.tmp" => non trouvé(e).
"C:\Users\icheffe\AppData\Roaming\DA00.tmp2" => non trouvé(e).
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{F67AD9C2-A5C9-48A4-BC7A-881B216B8A2B}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F67AD9C2-A5C9-48A4-BC7A-881B216B8A2B}" => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\User_Feed_Synchronization-{d1ae068e-88f0-1735-12d4-93b7817e3472} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\User_Feed_Synchronization-{d1ae068e-88f0-1735-12d4-93b7817e3472}" => clé supprimé(es) avec succès


Le système a dû redémarrer.

==== Fin de Fixlog 17:54:03 ====


Et j'ai également transmis mon dossier Quarataine sur le site.

[Malekal_morte]

Merci reçu.

Ton antivirus Trend-Micro est fonctionnel ?
C'est un PC d'entreprise ?