[Résolu] Windows 10 infecté, perte des droits Administrateur

SerpicoInkorupt · par **SerpicoInkorupt** » 15 août 2016 15:36

Bonjour à vous tous

C'est un portable Toshiba Satellite sous Windows 10. Hier soir mon frère à téléchargé un programme qui a installé pleins de logiciels automatiquement ! En voulant ouvrir Microsoft Security Essential (MSE) je me suis aperçu qu'il avait pris aussi mes droits Administrateur ; MSE, le centre de maintenance, les options de sécurités, tout a été verrouillé!! J'ai donc scanné mon Windows infecté avec RogueKiller, AdwCleaner et Malwarebytes Anti-Malware et tout ceci 2 fois mais sans succès...

Par avance merci

par **Malekal_morte** » 15 août 2016 15:54

Salut,

As-tu tenté d'effectuer une restauration du système à une date antérieure à tous les problèmes ?

SerpicoInkorupt · par **SerpicoInkorupt** » 15 août 2016 16:13

Merci pour la rapidité de la réponse !

Non pas de restauration ça fait pas longtemps que j'ai Windows 10 et du coup c'est pas foutu pareil... J'ai trouvé dans récupération soit la remis en état usine soit la récupération qui remet tout par défaut sans supprimer les fichiers utilisateurs... mais c'est bon je viens de trouver la restauration par contre c'est pas disponible du fait que je n'ai pas de point de sauvegarde...

par **Malekal_morte** » 15 août 2016 16:57

Vois si tu peux en faire une.

SerpicoInkorupt · par **SerpicoInkorupt** » 15 août 2016 17:15

C'est fait mais bizarrement rien à changé après la restauration.

par **Malekal_morte** » 15 août 2016 18:44

Ok, ça aurait été trop simple.. Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

SerpicoInkorupt · par **SerpicoInkorupt** » 15 août 2016 18:45

ok merci

http://pjjoint.malekal.com/files.php?id ... c11h7o13d7
http://pjjoint.malekal.com/files.php?id ... 13c7e10o13
http://pjjoint.malekal.com/files.php?id ... o13b9l7w12

par **Malekal_morte** » 15 août 2016 23:16

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [win_en_77] => [X]
16-08-14 18:17 - 2016-08-14 18:17 - 00000000 ____D C:\Users\Julien\AppData\LocalLow0144C0C0
2016-08-14 18:16 - 2016-08-15 02:46 - 00187904 _____ C:\WINDOWS\rsrcs.dll
2016-08-14 18:16 - 2016-08-14 18:15 - 00001188 _____ C:\WINDOWS\system32\Drivers\etc\hp.bak
2016-08-14 18:15 - 2016-08-15 00:13 - 00000000 ____D C:\Users\Julien\AppData\Roaming\Nuidereg
2016-08-14 18:15 - 2016-08-14 18:15 - 00112128 _____ C:\Users\Julien\AppData\Local\hoeyuz.dll
2016-08-14 18:15 - 2016-08-14 18:15 - 00000000 ____D C:\Users\Julien\AppData\Local\Tempfolder
ShortcutWithArgument: C:\Users\Julien\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www%2dsearching.com/?prd=set_epf&s=g8ezcsdbl0au,b788d710-5cad-473a-82fb-7963b1a36351,
ShortcutWithArgument: C:\Users\Julien\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www%2dsearching.com/?prd=set_epf&s=g8ezcsdbl0au,b788d710-5cad-473a-82fb-7963b1a36351,
ShortcutWithArgument: C:\Users\Julien\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Microsoft Edge.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "microsoft-edge:hxxp://www%2dsearching.com/?prd=set_epe&s=g8ezcsdbl0au,b788d710-5cad-473a-82fb-7963b1a36351,"
ShortcutWithArgument: C:\Users\Julien\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Search.lnk -> C:\program files (x86)\Google\Chrome\application\chrome.exe (Google Inc.) -> hxxp://www%2dsearching.com/?prd=set_epf&s=g8ezcsdbl0au,b788d710-5cad-473a-82fb-7963b1a36351,
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www%2dsearching.com/?prd=set_epf&s=g8ezcsdbl0au,b788d710-5cad-473a-82fb-7963b1a36351,
2016-08-14 18:15 - 2016-08-14 18:15 - 00000000 ____D C:\ProgramData\dbg
Task: {ED9369DE-D20A-483D-9FDF-736DAB4FB917} - System32\Tasks\IBUpd2 => C:\Users\Julien\AppData\Local\BrowserAir\48.0.0.0\updater.exe [2016-06-30] () <==== ATTENTION
Task: {1B68E53A-3FCC-40FA-A603-73B534350EE4} - System32\Tasks\SMW_UpdateTask_Time_343236373531333532312d375b553441415045575a4a6c
 Hosts:
EmptyTemp:
RemoveProxy:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

Passe RepairDNS
Donne le rapport via pjjoint.

SerpicoInkorupt · par **SerpicoInkorupt** » 16 août 2016 00:03

Code : Tout sélectionner

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 15-08-2016 01
Exécuté par Julien (15-08-2016 23:49:23) Run:1
Exécuté depuis C:\Users\Julien\Desktop
Profils chargés: Julien (Profils disponibles: Julien)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [win_en_77] => [X]
16-08-14 18:17 - 2016-08-14 18:17 - 00000000 ____D C:\Users\Julien\AppData\LocalLow0144C0C0
2016-08-14 18:16 - 2016-08-15 02:46 - 00187904 _____ C:\WINDOWS\rsrcs.dll
2016-08-14 18:16 - 2016-08-14 18:15 - 00001188 _____ C:\WINDOWS\system32\Drivers\etc\hp.bak
2016-08-14 18:15 - 2016-08-15 00:13 - 00000000 ____D C:\Users\Julien\AppData\Roaming\Nuidereg
2016-08-14 18:15 - 2016-08-14 18:15 - 00112128 _____ C:\Users\Julien\AppData\Local\hoeyuz.dll
2016-08-14 18:15 - 2016-08-14 18:15 - 00000000 ____D C:\Users\Julien\AppData\Local\Tempfolder
ShortcutWithArgument: C:\Users\Julien\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www%2dsearching.com/?prd=set_epf&s=g8ezcsdbl0au,b788d710-5cad-473a-82fb-7963b1a36351,
ShortcutWithArgument: C:\Users\Julien\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www%2dsearching.com/?prd=set_epf&s=g8ezcsdbl0au,b788d710-5cad-473a-82fb-7963b1a36351,
ShortcutWithArgument: C:\Users\Julien\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Microsoft Edge.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "microsoft-edge:hxxp://www%2dsearching.com/?prd=set_epe&s=g8ezcsdbl0au,b788d710-5cad-473a-82fb-7963b1a36351,"
ShortcutWithArgument: C:\Users\Julien\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Search.lnk -> C:\program files (x86)\Google\Chrome\application\chrome.exe (Google Inc.) -> hxxp://www%2dsearching.com/?prd=set_epf&s=g8ezcsdbl0au,b788d710-5cad-473a-82fb-7963b1a36351,
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www%2dsearching.com/?prd=set_epf&s=g8ezcsdbl0au,b788d710-5cad-473a-82fb-7963b1a36351,
2016-08-14 18:15 - 2016-08-14 18:15 - 00000000 ____D C:\ProgramData\dbg
Task: {ED9369DE-D20A-483D-9FDF-736DAB4FB917} - System32\Tasks\IBUpd2 => C:\Users\Julien\AppData\Local\BrowserAir\48.0.0.0\updater.exe [2016-06-30] () <==== ATTENTION
Task: {1B68E53A-3FCC-40FA-A603-73B534350EE4} - System32\Tasks\SMW_UpdateTask_Time_343236373531333532312d375b553441415045575a4a6c
 Hosts:
EmptyTemp:
RemoveProxy:
*****************

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\win_en_77 => valeur supprimé(es) avec succès
16-08-14 18:17 - 2016-08-14 18:17 - 00000000 ____D C:\Users\Julien\AppData\LocalLow0144C0C0 => Erreur: Pas de correction automatique trouvée pour cet élément.
C:\WINDOWS\rsrcs.dll => déplacé(es) avec succès
C:\WINDOWS\system32\Drivers\etc\hp.bak => déplacé(es) avec succès
C:\Users\Julien\AppData\Roaming\Nuidereg => déplacé(es) avec succès
C:\Users\Julien\AppData\Local\hoeyuz.dll => déplacé(es) avec succès
C:\Users\Julien\AppData\Local\Tempfolder => déplacé(es) avec succès
C:\Users\Julien\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk => Raccourci argument supprimé(es) avec succès.
C:\Users\Julien\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk => Raccourci argument supprimé(es) avec succès.
C:\Users\Julien\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Microsoft Edge.lnk => Raccourci argument supprimé(es) avec succès.
C:\Users\Julien\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Search.lnk => Raccourci argument supprimé(es) avec succès.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk => Raccourci argument supprimé(es) avec succès.
C:\ProgramData\dbg => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{ED9369DE-D20A-483D-9FDF-736DAB4FB917}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{ED9369DE-D20A-483D-9FDF-736DAB4FB917}" => clé supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\IBUpd2 => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\IBUpd2" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{1B68E53A-3FCC-40FA-A603-73B534350EE4}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1B68E53A-3FCC-40FA-A603-73B534350EE4}" => clé supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\SMW_UpdateTask_Time_343236373531333532312d375b553441415045575a4a6c => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\SMW_UpdateTask_Time_343236373531333532312d375b553441415045575a4a6c" => clé supprimé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-3377844448-3391154728-731169647-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-3377844448-3391154728-731169647-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 32768 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 21358048 B
Java, Flash, Steam htmlcache => 57343787 B
Windows/system/drivers => 15834621 B
Edge => 52402 B
Chrome => 418544360 B
Firefox => 17283685 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 0 B
Julien => 86267026 B

RecycleBin => 0 B
EmptyTemp: => 588.1 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 23:49:56 ====

par **Malekal_morte** » 16 août 2016 09:07

ok passe à RepairDNS, voir fin de mon message précédent.

SerpicoInkorupt · par **SerpicoInkorupt** » 16 août 2016 13:58

désolé pour repair dns j'avais lu trop vite ...

http://pjjoint.malekal.com/files.php?id ... n11m14l116

par **Malekal_morte** » 16 août 2016 19:22

refais un scan FRST et donne les rapports via pjjoint.
Après tu peux décrire exactement quel est le problème ?
car là il restait des infections.

SerpicoInkorupt · par **SerpicoInkorupt** » 16 août 2016 21:11

http://pjjoint.malekal.com/files.php?id ... 15t10t5f15
http://pjjoint.malekal.com/files.php?id ... e13u10d6i7
http://pjjoint.malekal.com/files.php?id ... 3z11g14u12

Depuis tout ce qu'on a fait depuis le début j'ai plus de logiciels qui s'installent tout seul genre navigateurs messageries ect ... mais j'ai toujours pas récupéré l'accès au centre de maintenance ou a Microsoft Windows Defender... la sécurité Windows est bloquée par la stratégie de groupe.

SerpicoInkorupt · par **SerpicoInkorupt** » 16 août 2016 21:18

Sans titre.png

Voici ce que j'ai quand j'essaie d'ouvrir Microsoft Windows Defender

SerpicoInkorupt · par **SerpicoInkorupt** » 16 août 2016 21:21

Sans titre1.png

Voici ce que j'ai quand j'essaie d'ouvrir Sécurité et maintenance de Windows.

Malekal.com forum

[Résolu] Windows 10 infecté, perte des droits Administrateur

[Résolu] Windows 10 infecté, perte des droits Administrateur

Re: Windows 10 a été infecté, perte des droits Administrateu

Re: Windows 10 a été infecté, perte des droits Administrateu

Re: Windows 10 a été infecté, perte des droits Administrateu

Re: Windows 10 a été infecté, perte des droits Administrateu

Re: Windows 10 a été infecté, perte des droits Administrateu

Re: Windows 10 a été infecté, perte des droits Administrateu

Re: Windows 10 a été infecté, perte des droits Administrateu

Re: Windows 10 a été infecté, perte des droits Administrateu

Re: Windows 10 a été infecté, perte des droits Administrateu

Re: Windows 10 a été infecté, perte des droits Administrateu

Re: Windows 10 a été infecté, perte des droits Administrateu

Re: Windows 10 a été infecté, perte des droits Administrateu

Re: Windows 10 a été infecté, perte des droits Administrateu

Re: Windows 10 a été infecté, perte des droits Administrateu