Exclusions Windows Defender => Rapports FRST

azura · par **azura** » 28 avr. 2019 11:37

Bonjour,

j'ai plusieurs exceptions dans Windows Defender, j'ai fais tourner AdwCleaner et ZHP ZHPCleaner, mais ces exceptions sont toujours présentent.

Ci-joint les rapports FRST

https://pjjoint.malekal.com/files.php?i ... 4t12i15q15
et
https://pjjoint.malekal.com/files.php?i ... 11s10j5r10

Merci à vous!

Cyril

par **Malekal_morte** » 28 avr. 2019 12:16

Salut,

Pas bien compris l'histoire des exclusions sur Windows Defender.
Ton ordinateur est infecté, du coup tu as installé Spybot qui ne sert strictement à rien.

A désinstaller:

CyberLink
McAfee LiveSafe (sauf si acheté)
Spybot - Search & Destroy (inutile et inefficace)

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start
CloseProcesses:
CreateRestorePoint:
Startup: C:\Users\azura\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ffehwfrg.lnk [2019-04-28]
Startup: C:\Users\azura\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\graefrfw.lnk [2019-04-28]
Startup: C:\Users\azura\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\unsafe.lnk [2019-04-26]
ShortcutTarget: unsafe.lnk -> C:\Program Files (x86)\Intolerable\Permissibility.exe (Pas de fichier)
Startup: C:\Users\azura\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\unsafeunsafe.lnk [2019-04-26]
ShortcutTarget: unsafeunsafe.lnk -> C:\Program Files (x86)\cars\Constituting.exe (Pas de fichier)
GroupPolicy: Restriction - Chrome <==== ATTENTION
HKU\S-1-5-21-4165557938-3228295665-3492650234-1001\...\Run: [fcf3-+rOfK.exe] => C:\Program Files\Intel\FG6AANYHWOPE\fcf3-+rOfK.exe [401920 2019-04-26] () [Fichier non signé]
HKU\S-1-5-21-4165557938-3228295665-3492650234-1001\...\Run: [Peppery] => "C:\Program Files (x86)\Intolerable\Permissibility.exe" tnzadwtnzadwtnzadwtnzad.tnzadktnzadntnzadmtnzad.tnzadptnzadwtnzad/tnzadad2h0h1h9htnzad0zg4zg2ad6tnzadadhqhtml0ptnzadFcOOyr4Q0Dtnzad5e41VRwG
HKU\S-1-5-21-4165557938-3228295665-3492650234-1001\...\Run: [Discharged] => "C:\Program Files (x86)\cars\Constituting.exe" tnzadwtnzadwtnzadwtnzad.tnzadktnzadntnzadmtnzad.tnzadptnzadwtnzad/tnzadad2h0h1h9htnzad0zg4zg2ad6tnzadadhqhtml0ptnzadFcOOyr4Q0Dtnzad5e41VRwG
HKU\S-1-5-21-4165557938-3228295665-3492650234-1001\...\Run: [Gottlieb] => "C:\Program Files (x86)\Fal\Permissibility.exe" tnzadwtnzadwtnzadwtnzad.tnzadktnzadntnzadmtnzad.tnzadptnzadwtnzad/tnzadad2h0h1h9htnzad0zg4zg2ad6tnzadadhqhtml0ptnzadFcOOyr4Q0Dtnzad5e41VRwG
HKU\S-1-5-21-4165557938-3228295665-3492650234-1001\...\Run: [Meriting] => "C:\Program Files (x86)\Intolerable\Permissibility.exe" tnzadwtnzadwtnzadwtnzad.tnzadktnzadntnzadmtnzad.tnzadptnzadwtnzad/tnzadad2h0h1h9htnzad0zg4zg2ad6tnzadadhqhtml0ptnzadFcOOyr4Q0Dtnzad5e41VRwG
HKU\S-1-5-21-4165557938-3228295665-3492650234-1001\...\Run: [Molds] => "C:\Program Files (x86)\cars\Constituting.exe" tnzadwtnzadwtnzadwtnzad.tnzadktnzadntnzadmtnzad.tnzadptnzadwtnzad/tnzadad2h0h1h9htnzad0zg4zg2ad6tnzadadhqhtml0ptnzadFcOOyr4Q0Dtnzad5e41VRwG
HKU\S-1-5-21-4165557938-3228295665-3492650234-1001\...\Run: [Experience] => "C:\Program Files (x86)\Fal\Permissibility.exe" tnzadwtnzadwtnzadwtnzad.tnzadktnzadntnzadmtnzad.tnzadptnzadwtnzad/tnzadad2h0h1h9htnzad0zg4zg2ad6tnzadadhqhtml0ptnzadFcOOyr4Q0Dtnzad5e41VRwG
HKU\S-1-5-21-4165557938-3228295665-3492650234-1001\...\Run: [spl] => C:\Program Files (x86)\derogate\spl.exe [49513 2019-04-26] () [Fichier non signé]
HKU\S-1-5-21-4165557938-3228295665-3492650234-1001\...\Run: [sansom] => "C:\Program Files (x86)\Intolerable\Permissibility.exe" tnzadwtnzadwtnzadwtnzad.tnzadktnzadntnzadmtnzad.tnzadptnzadwtnzad/tnzadad2h0h1h9htnzad0zg4zg2ad6tnzadadhqhtml0ptnzadFcOOyr4Q0Dtnzad5e41VRwG
HKU\S-1-5-21-4165557938-3228295665-3492650234-1001\...\Run: [7207038015db34f316d596ed3996ecd2] => regsvr32.exe /s /n /u /i:"C:\Users\azura\AppData\Roaming\VL58358DJA1.txt" scrobj.dll. <==== ATTENTION
HKLM\...\Run: [Overlaying] => "C:\Program Files (x86)\Intolerable\Permissibility.exe" tnzadwtnzadwtnzadwtnzad.tnzadktnzadntnzadmtnzad.tnzadptnzadwtnzad/tnzadad2h0h1h9htnzad0zg4zg2ad6tnzadadhqhtml0ptnzadFcOOyr4Q0Dtnzad5e41VRwG
HKLM\...\Run: [Branched] => "C:\Program Files (x86)\cars\Constituting.exe" tnzadwtnzadwtnzadwtnzad.tnzadktnzadntnzadmtnzad.tnzadptnzadwtnzad/tnzadad2h0h1h9htnzad0zg4zg2ad6tnzadadhqhtml0ptnzadFcOOyr4Q0Dtnzad5e41VRwG
HKLM\...\Run: [Sputum] => "C:\Program Files (x86)\Fal\Permissibility.exe" tnzadwtnzadwtnzadwtnzad.tnzadktnzadntnzadmtnzad.tnzadptnzadwtnzad/tnzadad2h0h1h9htnzad0zg4zg2ad6tnzadadhqhtml0ptnzadFcOOyr4Q0Dtnzad5e41VRwG
HKLM-x32\...\Run: [Tunica] => "C:\Program Files (x86)\Intolerable\Permissibility.exe" tnzadwtnzadwtnzadwtnzad.tnzadktnzadntnzadmtnzad.tnzadptnzadwtnzad/tnzadad2h0h1h9htnzad0zg4zg2ad6tnzadadhqhtml0ptnzadFcOOyr4Q0Dtnzad5e41VRwG
HKLM-x32\...\Run: [Tunc] => "C:\Program Files (x86)\cars\Constituting.exe" tnzadwtnzadwtnzadwtnzad.tnzadktnzadntnzadmtnzad.tnzadptnzadwtnzad/tnzadad2h0h1h9htnzad0zg4zg2ad6tnzadadhqhtml0ptnzadFcOOyr4Q0Dtnzad5e41VRwG
HKLM-x32\...\Run: [Mancha] => "C:\Program Files (x86)\Fal\Permissibility.exe" tnzadwtnzadwtnzadwtnzad.tnzadktnzadntnzadmtnzad.tnzadptnzadwtnzad/tnzadad2h0h1h9htnzad0zg4zg2ad6tnzadadhqhtml0ptnzadFcOOyr4Q0Dtnzad5e41VRwG
Task: {0D70AF8B-E63C-4D61-BD48-8C6B545F002C} - System32\Tasks\Opera scheduled Autoupdate 711520318 => C:\Users\azura\AppData\Roaming\Microsoft\Windows\ffehwfrg\jcwvtfsr.exe [540672 2018-12-08] (Quanergy Systems) [Fichier non signé]
Task: {2F496829-37A5-463B-8F00-0E1787A43811} - System32\Tasks\reptilian_undulationsreptilian_undulations => C:\Program Files (x86)\Fal\Permissibility.exe
Task: {5E3BA76D-7284-4D61-97A9-E053EDDCB2A6} - System32\Tasks\puts nigelputs nigel => C:\Program Files (x86)\Fal\Constituting.exe
Task: {FD9CCCE7-44C5-4367-9613-A1C9520D2060} - System32\Tasks\{A8613C44-2FBE-406E-85C8-D484A50006A7} => C:\Program Files (x86)\Jetmedia\NativeDesktopMediaService\watchdog.exe <==== ATTENTION
2019-04-28 10:57 - 2019-04-28 10:58 - 000000000 ____D C:\AdwCleaner
2019-04-28 10:57 - 2019-04-28 10:57 - 007316688 _____ (Malwarebytes) C:\Users\azura\Desktop\adwcleaner-7-2-7 (1).exe
2019-04-28 10:37 - 2019-04-28 10:56 - 000006728 _____ C:\Users\azura\Desktop\ZHPCleaner (R).txt
2019-04-28 10:32 - 2019-04-28 10:47 - 000006967 _____ C:\Users\azura\Desktop\ZHPCleaner (S).txt
2019-04-28 10:24 - 2019-04-28 10:56 - 000000000 ____D C:\Users\azura\AppData\Roaming\ZHP
2019-04-28 10:24 - 2019-04-28 10:24 - 003135360 _____ C:\Users\azura\Downloads\ZHPCleaner.exe
2019-04-28 10:24 - 2019-04-28 10:24 - 003135360 _____ C:\Users\azura\Downloads\ZHPCleaner (1).exe
2019-04-28 10:24 - 2019-04-28 10:24 - 000000926 _____ C:\Users\azura\Desktop\ZHPCleaner.lnk
2019-04-28 10:24 - 2019-04-28 10:24 - 000000000 ____D C:\Users\azura\AppData\Local\ZHP
2019-04-26 17:49 - 2019-04-26 17:50 - 000000000 ____D C:\Program Files\NWVkYzYyYj
2019-04-26 17:49 - 2019-04-26 17:49 - 000924160 _____ C:\WINDOWS\xgbbgkkwxwdtbw.xgbb
2019-04-26 17:24 - 2019-04-26 17:24 - 000000290 __RSH C:\Users\azura\ntuser.pol
2019-04-26 17:22 - 2019-04-26 17:22 - 000000012 _____ C:\WINDOWS\b62376500
2019-04-26 17:21 - 2019-04-26 17:21 - 000004048 _____ C:\WINDOWS\System32\Tasks\unauthorised clever ancestorsunauthorised clever ancestors
2019-04-26 17:21 - 2019-04-26 17:21 - 000004016 _____ C:\WINDOWS\System32\Tasks\inconceivable-grassrootinconceivable-grassroot
2019-04-26 17:21 - 2019-04-26 17:21 - 000004012 _____ C:\WINDOWS\System32\Tasks\reptilian_undulationsreptilian_undulations
2019-04-26 17:21 - 2019-04-26 17:21 - 000004008 _____ C:\WINDOWS\System32\Tasks\juana_schoolteachersjuana_schoolteachers
2019-04-26 17:21 - 2019-04-26 17:21 - 000003972 _____ C:\WINDOWS\System32\Tasks\intoxicatesintoxicates
2019-04-26 17:21 - 2019-04-26 17:21 - 000003964 _____ C:\WINDOWS\System32\Tasks\puts nigelputs nigel
2019-04-26 17:21 - 2019-04-26 17:21 - 000003960 _____ C:\WINDOWS\System32\Tasks\tufatufa
2019-04-26 17:21 - 2019-04-26 17:21 - 000000000 ___HD C:\Program Files (x86)\derogate
2019-04-26 17:21 - 2019-04-26 17:21 - 000000000 ____D C:\ProgramData\{CFC377A3-8A13-4967-6B97-E4C56B70BD94}
2019-04-26 17:21 - 2019-04-26 17:21 - 000000000 ____D C:\ProgramData\{5DBFB09E-4D2E-DB1B-5650-985756B7C106}
2019-04-26 17:21 - 2019-04-26 17:21 - 000000000 ____D C:\Program Files (x86)\Seed Trade
2019-04-26 17:21 - 2019-04-26 17:21 - 000000000 ____D C:\Program Files (x86)\hypnotics
2019-04-26 17:21 - 2019-04-26 17:20 - 001446912 _____ (TODO: <Company name>) C:\Users\azura\AppData\Local\DamDomdox.exe
2019-04-26 17:20 - 2019-04-28 10:54 - 000000000 ____D C:\Program Files (x86)\MachinerData
2019-04-26 17:20 - 2019-04-26 20:10 - 000000290 __RSH C:\ProgramData\ntuser.pol
2019-04-26 17:20 - 2019-04-26 17:51 - 000722944 _____ C:\Users\azura\AppData\Local\sha.db
2019-04-26 17:20 - 2019-04-26 17:32 - 000015360 _____ C:\Users\azura\AppData\Local\hlamgu.dll
2019-04-26 17:20 - 2019-04-26 17:21 - 000005568 _____ C:\Users\azura\AppData\Local\md.xml
2019-04-26 17:20 - 2019-04-26 17:20 - 001446912 _____ (TODO: <Company name>) C:\Users\azura\AppData\Local\Tipit.exe
2019-04-26 17:20 - 2019-04-26 17:20 - 000140800 _____ C:\Users\azura\AppData\Local\installer.dat
2019-04-26 17:20 - 2019-04-26 17:20 - 000126464 _____ C:\Users\azura\AppData\Local\lobby.dat
2019-04-26 17:20 - 2019-04-26 17:20 - 000072787 _____ C:\Users\azura\AppData\Local\Tipit.tst
2019-04-26 17:20 - 2019-04-26 17:20 - 000010240 _____ C:\WINDOWS\feature.exe
2019-04-26 17:20 - 2019-04-26 17:20 - 000000000 ____D C:\ProgramData\s7dqcwtW
2019-04-26 17:20 - 2019-04-26 17:20 - 000000000 ____D C:\ProgramData\rxyaalZYcV2f
2019-04-26 17:20 - 2019-04-26 17:20 - 000000000 ____D C:\ProgramData\Polit
2019-04-26 17:20 - 2019-04-26 17:20 - 000000000 ____D C:\ProgramData\Lamia
2019-04-26 17:20 - 2019-04-26 17:20 - 000000000 ____D C:\ProgramData\fb
2019-04-26 17:20 - 2019-04-26 17:20 - 000000000 ____D C:\Program Files (x86)\foldershare
2019-04-25 23:18 - 2019-04-25 23:18 - 001634304 _____ C:\WINDOWS\YTQ4NzEzNDFkY2Y.exe
2019-04-25 23:18 - 2019-04-25 23:18 - 000206952 _____ C:\WINDOWS\system32\Drivers\Y2IxZTBlOWQyNTEzM
2019-04-25 23:18 - 2019-04-25 23:18 - 000096517 _____ C:\WINDOWS\uninstaller.dat
2018-10-26 13:54 - 2018-10-26 13:54 - 003391184 _____ (Ventis Media Inc.                                           ) C:\ProgramData\Befas.exe
2018-03-23 21:48 - 2018-03-25 11:58 - 000000061 _____ () C:\Users\azura\AppData\Roaming\ArchiFacile.json
2019-04-26 18:08 - 2019-04-26 18:08 - 000000261 _____ () C:\Users\azura\AppData\Roaming\VL58358DJA1.txt
2019-04-26 17:21 - 2019-04-26 17:21 - 007926784 _____ () C:\Users\azura\AppData\Local\agent.dat
2017-02-09 16:20 - 2017-11-23 23:14 - 000067310 _____ () C:\Users\azura\AppData\Local\BTServer.log
2019-04-26 17:21 - 2019-04-26 17:21 - 000070992 _____ () C:\Users\azura\AppData\Local\Config.xml
2018-10-26 13:49 - 2018-10-26 13:49 - 000016384 _____ () C:\Users\azura\AppData\Local\cuttci.dll
2019-04-26 17:21 - 2019-04-26 17:20 - 001446912 _____ (TODO: <Company name>) C:\Users\azura\AppData\Local\DamDomdox.exe
2019-04-26 17:21 - 2019-04-26 17:21 - 002038033 _____ () C:\Users\azura\AppData\Local\DamDomdox.tst
2019-04-26 17:21 - 2019-04-26 17:21 - 001895382 _____ () C:\Users\azura\AppData\Local\FaxSaotip.bin
2019-04-26 17:20 - 2019-04-26 17:32 - 000015360 _____ () C:\Users\azura\AppData\Local\hlamgu.dll
2019-04-26 17:20 - 2019-04-26 17:20 - 000140800 _____ () C:\Users\azura\AppData\Local\installer.dat
2019-04-26 17:20 - 2019-04-26 17:20 - 000126464 _____ () C:\Users\azura\AppData\Local\lobby.dat
2019-04-26 17:20 - 2019-04-26 17:21 - 000005568 _____ () C:\Users\azura\AppData\Local\md.xml
2019-04-26 17:21 - 2019-04-26 17:21 - 000126464 _____ () C:\Users\azura\AppData\Local\noah.dat
2019-04-26 17:20 - 2019-04-26 17:51 - 000722944 _____ () C:\Users\azura\AppData\Local\sha.db
2019-04-26 17:20 - 2019-04-26 17:20 - 001446912 _____ (TODO: <Company name>) C:\Users\azura\AppData\Local\Tipit.exe
2019-04-26 17:20 - 2019-04-26 17:20 - 000072787 _____ () C:\Users\azura\AppData\Local\Tipit.tst
2019-04-26 17:21 - 2019-04-26 17:21 - 000032038 _____ () C:\Users\azura\AppData\Local\uninstall_temp.ico

Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :
* Réinitialiser et réparer Mozilla Firefox
* Réinitialiser et réparer Google Chrome
* Réinitialiser et réparer Internet Explorer
(Ne pas utiliser Zeok)

3)
Faire un nettoyage Malwarebytes Anti-Malware (MBAM ) version gratuite

4)
Refais un scan FRST et donne les nouveaux rapports via pjjoint

azura · par **azura** » 29 avr. 2019 18:27

Bonjour,

Merci pour la réponse,

Pour illustrer mes exclusions de windows defender que je ne peux supprimer , ci-joint une copie écran :
https://pjjoint.malekal.com/files.php?i ... p15w8f14h6

J'ai supprimé Spybot et Mcafee

Ci-joint le fixlog :
https://pjjoint.malekal.com/files.php?i ... g9e6y9v6g9

Analyse Adwcleaner :
https://pjjoint.malekal.com/files.php?i ... 7e15q10q12
Nettoyage AdwCleaner
https://pjjoint.malekal.com/files.php?i ... 5y15r9m8r6

Merci!

par **Malekal_morte** » 29 avr. 2019 19:54

Supprime AdwCleaner, c'est MBAM qu'il faut utiliser et pas AdwCleaner.
Ce n'est pas la même chose, lis bien le contenu du lien.

azura · par **azura** » 29 avr. 2019 23:29

Oups désolé, MBAM effectué!

Ci-joint les FRST :

https://pjjoint.malekal.com/files.php?i ... n7c12j11p8
et
https://pjjoint.malekal.com/files.php?i ... z14w7q10j9

par **Malekal_morte** » 30 avr. 2019 00:29

ok ça doit être mieux.
Après je n'ai pas compris ton histoire d'exclusion mais il n'y a plus de malwares.
Donc quels problèmes restent-ils ?

azura · par **azura** » 30 avr. 2019 18:11

Bonjour,

Non tout à l'air ok,

Pour mon histoire d'exclusions, lorsque je vais dans :

Sécurité Windows

Protection contre les virus et menaces

Ajouter ou supprimer des exclusions

Je suis surpris de voir des exclusions, avec des noms farfelus, ce qui me perturbe, c'est que je ne sais pas ce que c'est, et je ne peux pas les supprimer car le bouton supprimer est grisé.

Après peut être que c'est rien, je suis juste surpris d'en voir.

En tout cas merci!

par **Malekal_morte** » 30 avr. 2019 22:25

Supprime tout =)

Tu peux supprimer le dossier C:\FRST =)

Pour terminer, à lire : [https://www.malekal.com/que-faire-apres ... ormatique/ que faire après une attaque de virus informatique].
Change tes mots de passe et suis les instructions pour la bonne conduite pour ne plus te faire infecter.

Malekal.com forum

Exclusions Windows Defender => Rapports FRST

Exclusions Windows Defender => Rapports FRST

Re: Exclusions Windows Defender => Rapports FRST

Re: Exclusions Windows Defender => Rapports FRST

Re: Exclusions Windows Defender => Rapports FRST

Re: Exclusions Windows Defender => Rapports FRST

Re: Exclusions Windows Defender => Rapports FRST

Re: Exclusions Windows Defender => Rapports FRST

Re: Exclusions Windows Defender => Rapports FRST