RunDLL Problème lors du démarrage [Résolu/Fermé]

Signaler
Messages postés
2
Date d'inscription
mercredi 27 janvier 2016
Statut
Membre
Dernière intervention
27 janvier 2016
-
Messages postés
26240
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
24 novembre 2020
-
Bonjour,

C'est apparemment un problème assez récurrent mais la réponse semble varier pour chaque cas. Donc mon ordinateur avait probablement était infecté il y a deux jours. J'avais utilisé CCleaner et Malwarebytes Anti-Malware afin d'analyser et nettoyer. Enfin bref ça va mieux maintenant, si ce n'est qu'au démarrage, j'ai à chaque fois une fenêtre de RunDLL qui s'ouvre et qui m'indique qu'il y a eu un problème au démarrage de C:\Users\Pierre\AppData\Local\FoodForm\(séries de chiffres et lettres)\ptetqnacf.dll
Accès refusé.

J'ai fait un scan et nettoyage avec AdwCleaner dont voici le rapport:
# AdwCleaner v5.031 - Logfile created 27/01/2016 at 18:53:37
# Updated 25/01/2016 by Xplode
# Database : 2016-01-25.3 [Server]
# Operating system : Windows 7 Home Premium Service Pack 1 (x64)
# Username : Pierre - PIERRE-PC
# Running from : C:\Users\Pierre\Documents\Téléchargements\Films\adwcleaner_5.031.exe
# Option : Cleaning
# Support : https://toolslib.net/forum


*
          • [ Services ] *****


[-] Service Deleted : TDataSvr
[-] Service Deleted : vToolbarUpdater40.2.4


*
          • [ Folders ] *****


[-] Folder Deleted : C:\Program Files (x86)\Exploremedia
[-] Folder Deleted : C:\Program Files (x86)\TData
[-] Folder Deleted : C:\Program Files (x86)\Common Files\AVG Secure Search
[-] Folder Deleted : C:\Program Files\Common Files\AVG Secure Search
[-] Folder Deleted : C:\ProgramData\apn
[-] Folder Deleted : C:\ProgramData\AVG Secure Search
[-] Folder Deleted : C:\ProgramData\AVG Security Toolbar
[-] Folder Deleted : C:\Users\Pierre\AppData\Roaming\Store
[-] Folder Deleted : C:\Users\Pierre\AppData\Roaming\Systweak
[-] Folder Deleted : C:\Users\Pierre\AppData\Roaming\WTools


*
          • [ Files ] *****


[-] File Deleted : C:\END
[-] File Deleted : C:\Windows\SysNative\drivers\sdfhgdf.sys


*
          • [ DLLs ] *****


[-] File Disinfected : C:\Windows\SysNative\dnsapi.dll
[-] File Disinfected : C:\Windows\SysWOW64\dnsapi.dll


*
          • [ Shortcuts ] *****
          • [ Scheduled tasks ] *****


[-] Task Deleted : KDLSRHQJHIYHKUHS
[-] Task Deleted : VSLNMTLL1
[-] Task Deleted : KDLSRHQJHIYHKUHS
[-] Task Deleted : VSLNMTLL1


*
          • [ Registry ] *****


[-] Key Deleted : HKLM\SOFTWARE\Google\Chrome\NativeMessagingHosts\avgsh
[-] Key Deleted : HKLM\SOFTWARE\MozillaPlugins\@avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin
[-] Key Deleted : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\zcengine
[-] Key Deleted : HKCU\Software\Google\Chrome\Extensions\chfdnecihphmhljaaejmgoiahnihplgn
[-] Key Deleted : HKLM\SOFTWARE\Classes\AppID\{9F2949D6-977B-4B61-B513-0C2EE52C2B4F}
[-] Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}
[-] Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}
[-] Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{933B95E2-E7B7-4AD9-B952-7AC336682AE3}
[-] Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{95B7759C-8C7F-4BF1-B163-73684A933233}
[-] Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{459DD0F7-0D55-D3DC-67BC-E6BE37E9D762}
[-] Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{B2BC04DF-EFBD-409A-95CA-36874E5AB92A}
[-] Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{CA3A5461-96B5-46DD-9341-5350D3C94615}
[-] Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{34EBA76A-E745-4B18-96C9-2B8E2BA8B246}
[-] Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{3A8E009B-E66D-4016-87CF-EC57FA9A4BC1}
[-] Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{4D4D0357-0376-4656-A040-65AC089E84A2}
[-] Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{6D5AF218-5F7E-40E0-B49D-54FFAFE2001A}
[-] Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{89E46EA6-2F87-4D79-8FFA-8B264F93F54A}
[-] Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{9ECCDEFC-1C26-4BB3-B6DF-252672D9FFFA}
[-] Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{F1BC674D-15D8-46C5-AC51-12AB16D67616}
[-] Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{F811C371-1DC7-4E2F-8676-D96B85BE4AF1}
[-] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{C401D2CE-DC27-45C7-BC0C-8E6EA7F085D6}
[-] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{3EB2F93E-56E6-40F5-843C-8AAB586283D3}
[-] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{6DFACC0F-819B-4D0E-BCB0-F12DBE3ADAF3}
[-] Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{C2AC8A0E-E48E-484B-A71C-C7A937FAAB94}
[-] Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{50AEADA6-8E7B-40FB-8C47-8DA4ED2A0497}
[-] Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}
[-] Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{95B7759C-8C7F-4BF1-B163-73684A933233}
[-] Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}
[-] Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{95B7759C-8C7F-4BF1-B163-73684A933233}
[-] Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B2BC04DF-EFBD-409A-95CA-36874E5AB92A}
[-] Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}
[-] Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{95B7759C-8C7F-4BF1-B163-73684A933233}
[-] Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{B2BC04DF-EFBD-409A-95CA-36874E5AB92A}
[-] Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{B2BC04DF-EFBD-409A-95CA-36874E5AB92A}
[-] Key Deleted : [x64] HKLM\SOFTWARE\Classes\Interface\{C401D2CE-DC27-45C7-BC0C-8E6EA7F085D6}
[-] Key Deleted : [x64] HKLM\SOFTWARE\Classes\Interface\{3EB2F93E-56E6-40F5-843C-8AAB586283D3}
[-] Key Deleted : [x64] HKLM\SOFTWARE\Classes\Interface\{6DFACC0F-819B-4D0E-BCB0-F12DBE3ADAF3}
[-] Key Deleted : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{B2BC04DF-EFBD-409A-95CA-36874E5AB92A}
[-] Key Deleted : HKCU\Software\Microsoft\Tinstalls
[-] Key Deleted : HKCU\Software\Reg\Clean
[-] Key Deleted : HKCU\Software\Store
[-] Key Deleted : HKCU\Software\TeleCharger
[-] Key Deleted : HKCU\Software\tstamptoken
[-] Key Deleted : HKCU\Software\Tutorials
[-] Key Deleted : HKCU\Software\WTools
[-] Key Deleted : HKLM\SOFTWARE\Jawego
[-] Key Deleted : HKLM\SOFTWARE\QuickSearch
[-] Key Deleted : HKLM\SOFTWARE\Reg\Clean
[-] Key Deleted : HKLM\SOFTWARE\TData
[-] Key Deleted : HKLM\SOFTWARE\zcengine
[-] Value Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [vProt]


*
          • [ Web browsers ] *****


[-] [C:\Users\Pierre\AppData\Roaming\Mozilla\Firefox\Profiles\du645x1f.default\prefs.js] [Preference] Deleted : user_pref("browser.search.selectedEngine", "yoursearching");
[-] [C:\Users\Pierre\AppData\Roaming\Mozilla\Firefox\Profiles\du645x1f.default\prefs.js] [Preference] Deleted : user_pref("extensions.quick_start.enable_search1", false);
[-] [C:\Users\Pierre\AppData\Roaming\Mozilla\Firefox\Profiles\du645x1f.default\prefs.js] [Preference] Deleted : user_pref("extensions.quick_start.sd.closeWindowWithLastTab_prev_state", false);
[-] [C:\Users\Pierre\AppData\Roaming\Mozilla\Firefox\Profiles\du645x1f.default\prefs.js] [Preference] Deleted : user_pref("extensions.srchvstrn.hmpgUrl", "hxxp://Vosteran.com/?f=1&a=vst_tele_15_02_ch&cd=2XzuyEtN2Y1L1Qzu0D0CtD0E0AtCtBtAyBtA0BtA0DyEtB0AtN0D0Tzu0StCtCtDtBtN1L2XzutAtFyCtFtCyCtFyCtN1L1CzutCyEtBzytDy[...]
[-] [C:\Users\Pierre\AppData\Roaming\Mozilla\Firefox\Profiles\du645x1f.default\prefs.js] [Preference] Deleted : user_pref("extensions.srchvstrn.newTabUrl", "hxxp://Vosteran.com/?f=2&a=vst_tele_15_02_ch&cd=2XzuyEtN2Y1L1Qzu0D0CtD0E0AtCtBtAyBtA0BtA0DyEtB0AtN0D0Tzu0StCtCtDtBtN1L2XzutAtFyCtFtCyCtFyCtN1L1CzutCyEtBzyt[...]
[-] [C:\Users\Pierre\AppData\Roaming\Mozilla\Firefox\Profiles\du645x1f.default\prefs.js] [Preference] Deleted : user_pref("extensions.srchvstrn.tlbrSrchUrl", "hxxp://Vosteran.com/?f=3&a=vst_tele_15_02_ch&cd=2XzuyEtN2Y1L1Qzu0D0CtD0E0AtCtBtAyBtA0BtA0DyEtB0AtN0D0Tzu0StCtCtDtBtN1L2XzutAtFyCtFtCyCtFyCtN1L1CzutCyEtBz[...]
[-] [C:\Users\Pierre\AppData\Local\Google\Chrome\User Data\Default\Web Data] [Search Provider] Deleted : www.bing.com
[-] [C:\Users\Pierre\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] [Startup_URLs] Deleted : hxxp://www.yoursearching.com/?type=hp&ts=1453762885&z=b559c7669ed527edcb8ed8fg4zew1cfmdq9ocb6b5c&from=brd&uid=ST500LM012XHN-M500MBB_S2ZYJ9DDB37733
[-] [C:\Users\Pierre\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] [Default_Search_Provider_Data] Deleted : hxxp://www.trovi.com/Results.aspx?q={searchTerms}&GD=SY1000167&SearchSource=56&UM=2
[-] [C:\Users\Pierre\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] [Extension] Deleted : jlcgehabolcakkjhgmgpkagpolbjlhfa


*


:: "Tracing" keys removed
:: Winsock settings cleared

########## EOF - C:\AdwCleaner\AdwCleaner[C1].txt - [8251 bytes] ##########

Que suis-je censé faire maintenant ? En fait, avant j'avais une double fenêtre de RunDLL qui s'affichait, mais je suis allé dans le "Planificateurs de tâches" pour désactiver FoodForm au démarrage (à ce moment, c'était FoodForm.dll qui s'affichait à la fin du message, non ptetqnacf.dll), et depuis je n'en ai plus qu'une qui s'affiche: celle dont j'ai parlé en début de message. Alors je suis allé voir dans mes fichier mis en quarantaine par Malwarebytes, et j'ai restauré ptetqnacf lorsque je l'ai trouvé (j'aurais surement pas dû faire tout ça). Et ça n'a rien changé, suite à quoi j'ai fait le rapport ci-dessus. Voilà voilà

1 réponse

Messages postés
26240
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
24 novembre 2020
3 286
Salut,

Regarde si tu vois quelque chose de mauvais ou inutile surtout dans les onglets "Logon", "Scheduled Tasks" et "Services" de Autoruns

Tu devrais voir une ligne jaune avec le nom du fichier du message en question, supprime.


Tu peux faire un scan avec RegRun Reanimator (Download Mirror 1 ou 2)

Clic sur "Fix Problems".

Clic sur "Scan Windows Startup...".

Coche la case "Use Deep Level Scanning Once (For Advanced Users)".

Clic sur "Make Scan Now".

Après l'analyse, clic sur "Fix Problems".

Si il y a plus d'une quinzaine de détections, Prohibited/Suspicious/Warnings, tu peux le dire, on procédera différemment.

Attention, il détecte souvent des faux positifs (des bons fichiers).

Si tu a besoin d'aide, voir plus bas*

Tu peux chercher sur Internet pour le nom d'un item/fichier avec clic droit
dans le milieu de la fenêtre et "Copy To Clipboard"

Passe avec la flèche ou clic sur "False Positive" si c'est un item que tu connais comme bon.

Ne supprime que des malwares ou inutiles avec le bouton "Get It Out", sinon tu peux endommager ton système ou tes programmes.

Clic sur "Reboot Computer" a la fin pour effectuer la suppression et confirme pour redémarrer.



Si tu a besoin d'aide par rapport aux détections de RegRun Reanimator,

Clic-droit dans le milieu de la fenêtre et choisis "Save To File" pour copier le résultat dans un fichier texte.

Tu peux le nommer 1 (tout court), le .txt sera généré automatiquement.

Clic sur la flèche pour passer a l'item suivant, fais comme pour le premier et nomme le 2, et ainsi de suite avec les autres.

A la fin, clic sur "Exit".

Poste les résultats contenus dans les fichiers texte dans ton prochain message.
Messages postés
2
Date d'inscription
mercredi 27 janvier 2016
Statut
Membre
Dernière intervention
27 janvier 2016

J'ai utilisé Autoruns et RedRun Reanimator (seulement 4 détections, j'en ai supprimé 2) et lorsque j'ai redémarré mon ordinateur, mon message d'erreur RunDLL n'apparaissait plus. Donc merci beaucoup ! Puis-je marquer le problème comme résolu ?
Messages postés
26240
Date d'inscription
dimanche 18 janvier 2009
Statut
Contributeur
Dernière intervention
24 novembre 2020
3 286
Bien,

Si tu le souhaite, tu peux cliquer sur "Marquer comme résolu"

Tu peux garder RegRun Reanimator, il peut t’être utile pour trouver et éliminer des malwares, cliquer sur "False positive" pour les éléments sains quand il y en a, il ne les détectera plus.

Si tu désinstalle RegRun Reanimator, juste avant, tu peux cliquer sur "Uninstall Partizan" (dans le programme).

Et tu peux cliquer sur ce fichier .reg qui remet la clé Bootexecute par défaut si elle ne l'est pas:

https://www.cjoint.com/c/DIwp0hjRA6Y

Tu peux cliquer sur le fichier .reg même si tu garde RegRun Reanimator.