RunDLL Problème lors du démarrage Résolu/Fermé

Question

Bonjour, 

C'est apparemment un problème assez récurrent mais la réponse semble varier pour chaque cas. Donc mon ordinateur avait probablement était infecté il y a deux jours. J'avais utilisé CCleaner et Malwarebytes Anti-Malware afin d'analyser et nettoyer. Enfin bref ça va mieux maintenant, si ce n'est qu'au démarrage, j'ai à chaque fois une fenêtre de RunDLL qui s'ouvre et qui m'indique qu'il y a eu un problème au démarrage de C:\Users\Pierre\AppData\Local\FoodForm\(séries de chiffres et lettres)\ptetqnacf.dll 
Accès refusé.

J'ai fait un scan et nettoyage avec AdwCleaner dont voici le rapport:
# AdwCleaner v5.031 - Logfile created 27/01/2016 at 18:53:37
# Updated 25/01/2016 by Xplode
# Database : 2016-01-25.3 [Server]
# Operating system : Windows 7 Home Premium Service Pack 1 (x64)
# Username : Pierre - PIERRE-PC
# Running from : C:\Users\Pierre\Documents\Téléchargements\Films\adwcleaner_5.031.exe
# Option : Cleaning
# Support : https://toolslib.net/forum


*




 [ Services ] *****

[-] Service Deleted : TDataSvr
[-] Service Deleted : vToolbarUpdater40.2.4


*




 [ Folders ] *****

[-] Folder Deleted : C:\Program Files (x86)\Exploremedia
[-] Folder Deleted : C:\Program Files (x86)\TData
[-] Folder Deleted : C:\Program Files (x86)\Common Files\AVG Secure Search
[-] Folder Deleted : C:\Program Files\Common Files\AVG Secure Search
[-] Folder Deleted : C:\ProgramData\apn
[-] Folder Deleted : C:\ProgramData\AVG Secure Search
[-] Folder Deleted : C:\ProgramData\AVG Security Toolbar
[-] Folder Deleted : C:\Users\Pierre\AppData\Roaming\Store
[-] Folder Deleted : C:\Users\Pierre\AppData\Roaming\Systweak
[-] Folder Deleted : C:\Users\Pierre\AppData\Roaming\WTools


*




 [ Files ] *****

[-] File Deleted : C:\END
[-] File Deleted : C:\Windows\SysNative\drivers\sdfhgdf.sys


*




 [ DLLs ] *****

[-] File Disinfected : C:\Windows\SysNative\dnsapi.dll
[-] File Disinfected : C:\Windows\SysWOW64\dnsapi.dll


*




 [ Shortcuts ] *****
 [ Scheduled tasks ] *****

[-] Task Deleted : KDLSRHQJHIYHKUHS
[-] Task Deleted : VSLNMTLL1
[-] Task Deleted : KDLSRHQJHIYHKUHS
[-] Task Deleted : VSLNMTLL1


*




 [ Registry ] *****

[-] Key Deleted : HKLM\SOFTWARE\Google\Chrome\NativeMessagingHosts\avgsh
[-] Key Deleted : HKLM\SOFTWARE\MozillaPlugins\@avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin
[-] Key Deleted : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\zcengine
[-] Key Deleted : HKCU\Software\Google\Chrome\Extensions\chfdnecihphmhljaaejmgoiahnihplgn
[-] Key Deleted : HKLM\SOFTWARE\Classes\AppID\{9F2949D6-977B-4B61-B513-0C2EE52C2B4F}
[-] Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}
[-] Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}
[-] Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{933B95E2-E7B7-4AD9-B952-7AC336682AE3}
[-] Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{95B7759C-8C7F-4BF1-B163-73684A933233}
[-] Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{459DD0F7-0D55-D3DC-67BC-E6BE37E9D762}
[-] Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{B2BC04DF-EFBD-409A-95CA-36874E5AB92A}
[-] Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{CA3A5461-96B5-46DD-9341-5350D3C94615}
[-] Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{34EBA76A-E745-4B18-96C9-2B8E2BA8B246}
[-] Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{3A8E009B-E66D-4016-87CF-EC57FA9A4BC1}
[-] Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{4D4D0357-0376-4656-A040-65AC089E84A2}
[-] Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{6D5AF218-5F7E-40E0-B49D-54FFAFE2001A}
[-] Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{89E46EA6-2F87-4D79-8FFA-8B264F93F54A}
[-] Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{9ECCDEFC-1C26-4BB3-B6DF-252672D9FFFA}
[-] Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{F1BC674D-15D8-46C5-AC51-12AB16D67616}
[-] Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{F811C371-1DC7-4E2F-8676-D96B85BE4AF1}
[-] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{C401D2CE-DC27-45C7-BC0C-8E6EA7F085D6}
[-] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{3EB2F93E-56E6-40F5-843C-8AAB586283D3}
[-] Key Deleted : HKLM\SOFTWARE\Classes\Interface\{6DFACC0F-819B-4D0E-BCB0-F12DBE3ADAF3}
[-] Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{C2AC8A0E-E48E-484B-A71C-C7A937FAAB94}
[-] Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{50AEADA6-8E7B-40FB-8C47-8DA4ED2A0497}
[-] Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}
[-] Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{95B7759C-8C7F-4BF1-B163-73684A933233}
[-] Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}
[-] Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{95B7759C-8C7F-4BF1-B163-73684A933233}
[-] Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B2BC04DF-EFBD-409A-95CA-36874E5AB92A}
[-] Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}
[-] Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{95B7759C-8C7F-4BF1-B163-73684A933233}
[-] Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{B2BC04DF-EFBD-409A-95CA-36874E5AB92A}
[-] Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{B2BC04DF-EFBD-409A-95CA-36874E5AB92A}
[-] Key Deleted : [x64] HKLM\SOFTWARE\Classes\Interface\{C401D2CE-DC27-45C7-BC0C-8E6EA7F085D6}
[-] Key Deleted : [x64] HKLM\SOFTWARE\Classes\Interface\{3EB2F93E-56E6-40F5-843C-8AAB586283D3}
[-] Key Deleted : [x64] HKLM\SOFTWARE\Classes\Interface\{6DFACC0F-819B-4D0E-BCB0-F12DBE3ADAF3}
[-] Key Deleted : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{B2BC04DF-EFBD-409A-95CA-36874E5AB92A}
[-] Key Deleted : HKCU\Software\Microsoft\Tinstalls
[-] Key Deleted : HKCU\Software\Reg\Clean
[-] Key Deleted : HKCU\Software\Store
[-] Key Deleted : HKCU\Software\TeleCharger
[-] Key Deleted : HKCU\Software\tstamptoken
[-] Key Deleted : HKCU\Software\Tutorials
[-] Key Deleted : HKCU\Software\WTools
[-] Key Deleted : HKLM\SOFTWARE\Jawego
[-] Key Deleted : HKLM\SOFTWARE\QuickSearch
[-] Key Deleted : HKLM\SOFTWARE\Reg\Clean
[-] Key Deleted : HKLM\SOFTWARE\TData
[-] Key Deleted : HKLM\SOFTWARE\zcengine
[-] Value Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [vProt]


*




 [ Web browsers ] *****

[-] [C:\Users\Pierre\AppData\Roaming\Mozilla\Firefox\Profiles\du645x1f.default\prefs.js] [Preference] Deleted : user_pref("browser.search.selectedEngine", "yoursearching");
[-] [C:\Users\Pierre\AppData\Roaming\Mozilla\Firefox\Profiles\du645x1f.default\prefs.js] [Preference] Deleted : user_pref("extensions.quick_start.enable_search1", false);
[-] [C:\Users\Pierre\AppData\Roaming\Mozilla\Firefox\Profiles\du645x1f.default\prefs.js] [Preference] Deleted : user_pref("extensions.quick_start.sd.closeWindowWithLastTab_prev_state", false);
[-] [C:\Users\Pierre\AppData\Roaming\Mozilla\Firefox\Profiles\du645x1f.default\prefs.js] [Preference] Deleted : user_pref("extensions.srchvstrn.hmpgUrl", "hxxp://Vosteran.com/?f=1&a=vst_tele_15_02_ch&cd=2XzuyEtN2Y1L1Qzu0D0CtD0E0AtCtBtAyBtA0BtA0DyEtB0AtN0D0Tzu0StCtCtDtBtN1L2XzutAtFyCtFtCyCtFyCtN1L1CzutCyEtBzytDy[...]
[-] [C:\Users\Pierre\AppData\Roaming\Mozilla\Firefox\Profiles\du645x1f.default\prefs.js] [Preference] Deleted : user_pref("extensions.srchvstrn.newTabUrl", "hxxp://Vosteran.com/?f=2&a=vst_tele_15_02_ch&cd=2XzuyEtN2Y1L1Qzu0D0CtD0E0AtCtBtAyBtA0BtA0DyEtB0AtN0D0Tzu0StCtCtDtBtN1L2XzutAtFyCtFtCyCtFyCtN1L1CzutCyEtBzyt[...]
[-] [C:\Users\Pierre\AppData\Roaming\Mozilla\Firefox\Profiles\du645x1f.default\prefs.js] [Preference] Deleted : user_pref("extensions.srchvstrn.tlbrSrchUrl", "hxxp://Vosteran.com/?f=3&a=vst_tele_15_02_ch&cd=2XzuyEtN2Y1L1Qzu0D0CtD0E0AtCtBtAyBtA0BtA0DyEtB0AtN0D0Tzu0StCtCtDtBtN1L2XzutAtFyCtFtCyCtFyCtN1L1CzutCyEtBz[...]
[-] [C:\Users\Pierre\AppData\Local\Google\Chrome\User Data\Default\Web Data] [Search Provider] Deleted : www.bing.com
[-] [C:\Users\Pierre\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] [Startup_URLs] Deleted : hxxp://www.yoursearching.com/?type=hp&ts=1453762885&z=b559c7669ed527edcb8ed8fg4zew1cfmdq9ocb6b5c&from=brd&uid=ST500LM012XHN-M500MBB_S2ZYJ9DDB37733
[-] [C:\Users\Pierre\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] [Default_Search_Provider_Data] Deleted : hxxp://www.trovi.com/Results.aspx?q={searchTerms}&GD=SY1000167&SearchSource=56&UM=2
[-] [C:\Users\Pierre\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] [Extension] Deleted : jlcgehabolcakkjhgmgpkagpolbjlhfa


*


























:: "Tracing" keys removed
:: Winsock settings cleared

########## EOF - C:\AdwCleaner\AdwCleaner[C1].txt - [8251 bytes] ##########

Que suis-je censé faire maintenant ? En fait, avant j'avais une double fenêtre de RunDLL qui s'affichait, mais je suis allé dans le "Planificateurs de tâches" pour désactiver FoodForm au démarrage (à ce moment, c'était FoodForm.dll qui s'affichait à la fin du message, non ptetqnacf.dll), et depuis je n'en ai plus qu'une qui s'affiche: celle dont j'ai parlé en début de message. Alors je suis allé voir dans mes fichier mis en quarantaine par Malwarebytes, et j'ai restauré ptetqnacf lorsque je l'ai trouvé (j'aurais surement pas dû faire tout ça). Et ça n'a rien changé, suite à quoi j'ai fait le rapport ci-dessus. Voilà voilà

fabul · Answer

Salut,

Regarde si tu vois quelque chose de mauvais ou inutile surtout dans les onglets "Logon", "Scheduled Tasks" et "Services" de Autoruns

Tu devrais voir une ligne jaune avec le nom du fichier du message en question, supprime.


Tu peux faire un scan avec RegRun Reanimator (Download Mirror 1 ou 2)

Clic sur "Fix Problems".

Clic sur "Scan Windows Startup...".

Coche la case "Use Deep Level Scanning Once (For Advanced Users)".

Clic sur "Make Scan Now".

Après l'analyse, clic sur "Fix Problems".

Si il y a plus d'une quinzaine de détections, Prohibited/Suspicious/Warnings, tu peux le dire, on procédera différemment.

Attention, il détecte souvent des faux positifs (des bons fichiers).

Si tu a besoin d'aide, voir plus bas*

Tu peux chercher sur Internet pour le nom d'un item/fichier avec clic droit
dans le milieu de la fenêtre et "Copy To Clipboard"

Passe avec la flèche ou clic sur "False Positive" si c'est un item que tu connais comme bon.

Ne supprime que des malwares ou inutiles avec le bouton "Get It Out", sinon tu peux endommager ton système ou tes programmes.

Clic sur "Reboot Computer" a la fin pour effectuer la suppression et confirme pour redémarrer.



Si tu a besoin d'aide par rapport aux détections de RegRun Reanimator,

Clic-droit dans le milieu de la fenêtre et choisis "Save To File" pour copier le résultat dans un fichier texte.

Tu peux le nommer 1 (tout court), le .txt sera généré automatiquement.

Clic sur la flèche pour passer a l'item suivant, fais comme pour le premier et nomme le 2, et ainsi de suite avec les autres.

A la fin, clic sur "Exit".

Poste les résultats contenus dans les fichiers texte dans ton prochain message.