Sujet Précédent Sujet Suivant

Message au démarrage de Windows winrmsrv.exe

Résolu/Fermé
budcorp Messages postés 51 Date d'inscription dimanche 4 août 2013 Statut Membre Dernière intervention 14 octobre 2022 - Modifié le 24 mars 2020 à 16:11
bazfile Messages postés 56331 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 7 novembre 2024 - 21 déc. 2020 à 14:49
uBonjour,

Ce matin, au démarrage de mon PC, j'ai eu une demande d'autorisation pour cet exécutable : winrmsrv.

De ce que j'ai compris, c'est un malware. Comment faire pour l'enlever efficacement ?

Merci d'avance.

16 réponses

Réponse 1 / 16
bazfile Messages postés 56331 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 7 novembre 2024 19 260
24 mars 2020 à 09:33
Bonjour,
Ton pc est infecté.
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis ouvre-le tu auras ceci:

Clique sur Analyser à la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition envoie ces rapports sur https://pjjoint.malekal.com/ voir ce tutoriel paragraphe Envoyer les rapports d’analyse sur pjjoint puis donne les deux liens générés par Pjoint dans ton prochain message.
0
Réponse 2 / 16
budcorp Messages postés 51 Date d'inscription dimanche 4 août 2013 Statut Membre Dernière intervention 14 octobre 2022 4
Modifié le 24 mars 2020 à 10:43
Hi,
Merci pour la réactivité !!

Voici les 2 rapports :

https://pjjoint.malekal.com/files.php?id=20200324_k13g13b14n11d15

https://pjjoint.malekal.com/files.php?id=FRST_20200324_p8s15l10e15w5

Merci
0
Réponse 3 / 16
bazfile Messages postés 56331 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 7 novembre 2024 19 260
24 mars 2020 à 11:03
Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST
2 - Copie l'intégralité du script qui est dans l'encadré qui suit : 
Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction
Task: {15F77406-0DC8-4878-897C-DF5C1A4BD77C} - System32\Tasks\Microsoft\Windows\WDI\SrvHost => rundll32.exe winscomrssrv.dll,SrvMainHost
Task: {D98445F5-4170-4173-991E-4732E186205B} - System32\Tasks\Microsoft\Windows\Application Experience\StartupCheckLibrary => rundll32.exe StartupCheckLibrary.dll,DllMainRunLibrary
Task: {DE296D8D-16AE-4C68-B908-7FD957E2DA51} - System32\Tasks\OInstall => C:\Windows\OInstall.exe [10265648 2019-04-18] (WZTeam -> ) [Fichier non signé]
Task: {F3D2B5E7-7040-464D-98B1-FD585DF1C842} - System32\Tasks\Microsoft\Windows\Windows Error Reporting\winrmsrv => C:\Windows\system32\winrmsrv.exe [731136 2020-03-17] (Microsoft Corporation) [Fichier non signé]
Task: {9B7154C7-764F-4CDE-88BE-28049441B349} - System32\Tasks\Microsoft\Windows\Wininet\Winlogui => C:\Windows\system32\winlogui.exe [750592 2020-03-17] (Microsoft Corporation) [Fichier non signé]
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction
S3 wuauserv; C:\Windows\system32\svchost.exe [51696 2018-09-15] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)
S3 wuauserv; C:\Windows\SysWOW64\svchost.exe [45448 2018-09-15] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)
CloseProcesses:
End::

3- Une fois le script copié clique sur Corriger.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.
5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT.
0
Réponse 4 / 16
budcorp Messages postés 51 Date d'inscription dimanche 4 août 2013 Statut Membre Dernière intervention 14 octobre 2022 4
24 mars 2020 à 11:15
Voici le lien :
https://pjjoint.malekal.com/files.php?id=20200324_d6t6c5r5l14

Au redémarrage, je n'ai pas eu de demande d'autorisation comme précédemment.

Je verrais au prochain démarrage
0
bazfile Messages postés 56331 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 7 novembre 2024 19 260
24 mars 2020 à 12:05
Pour moi c'est OK à toi de me dire si c'est bon pour toi, change tous tes mots de passe en ligne (email, login de sites etc etc....), fait un nouveau rapport FRST pour vérification.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 16
budcorp Messages postés 51 Date d'inscription dimanche 4 août 2013 Statut Membre Dernière intervention 14 octobre 2022 4
24 mars 2020 à 12:26
Nouveau rapport FRST pour vérif :

https://pjjoint.malekal.com/files.php?id=20200324_s6m13r10f13n6

https://pjjoint.malekal.com/files.php?id=FRST_20200324_o5u12i12f7o8
0
bazfile Messages postés 56331 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 7 novembre 2024 19 260
24 mars 2020 à 13:04
Tu as l'antivirus AVG qui est installé sur ton pc mais il n'est pas actif, si tu ne t'en sers pas tu devrais le désinstaller avec RevoUninstaller en mode Scan Avancé, comme tous les utilisateurs de Windows 10 tu as l'antivirus Windows Defender qui est intégré à Windows 10 mais il n'est pas activé tu devrais l'activer car si j'en crois le rapport FRST actuellement tu n'as pas d'antivirus actif sur ton pc.
Pour ce qui est de l'infection tout est OK elle n'est plus présente.
0
Réponse 6 / 16
budcorp Messages postés 51 Date d'inscription dimanche 4 août 2013 Statut Membre Dernière intervention 14 octobre 2022 4
24 mars 2020 à 14:42
Merci !!
0
Réponse 7 / 16
deltatito
21 déc. 2020 à 12:27
Bonjour j'ai le meme problème que la personnes a qui vous avez répondue pourriez vous m'aidé s'il vous plait ?
0
bazfile Messages postés 56331 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 7 novembre 2024 19 260
21 déc. 2020 à 12:31
Fait ce qui est indiqué dans mon premier message https://forums.commentcamarche.net/forum/affich-36527001-message-au-demarrage-de-windows-winrmsrv-exe#1
0
Réponse 8 / 16
deltatito Messages postés 5 Date d'inscription lundi 21 décembre 2020 Statut Membre Dernière intervention 21 décembre 2020
21 déc. 2020 à 12:44
Bonjour j'ai fait comme vous l'avez conseillez je n'ai pas eu le demande d'execution mais quand j'ecrit le nom du programme je le trouve quand meme, que faire?
0
Réponse 9 / 16
bazfile Messages postés 56331 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 7 novembre 2024 19 260
Modifié le 21 déc. 2020 à 12:48
Suit la procédure indiquée que je te rappelle et donne les liens des rapports, sans ces rapports je ne peut pas t'aider
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis ouvre-le tu auras ceci:

Clique sur Analyser à la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition envoie ces rapports sur https://pjjoint.malekal.com/ voir ce tutoriel paragraphe Envoyer les rapports d’analyse sur pjjoint puis donne les deux liens générés par Pjoint dans ton prochain message.
0
Réponse 10 / 16
deltatito Messages postés 5 Date d'inscription lundi 21 décembre 2020 Statut Membre Dernière intervention 21 décembre 2020
21 déc. 2020 à 12:58
frst : https://pjjoint.malekal.com/files.php?id=FRST_20201221_n10n9p15b7e12

addition : https://pjjoint.malekal.com/files.php?id=20201221_r7n5h7c85
0
Réponse 11 / 16
bazfile Messages postés 56331 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 7 novembre 2024 19 260
21 déc. 2020 à 13:11
Bonjour,
Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST
2 - Copie l'intégralité du script qui est dans l'encadré qui suit : 
Start::
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [Genshin Impact_Launcher] => [X]
Task: {02044D07-0BD7-4644-8DE3-E59BE149E7AD} - System32\Tasks\Microsoft\Windows\Application Experience\StartupCheckLibrary => rundll32.exe StartupCheckLibrary.dll,DllMainRunLibrary
Task: {4C429F0F-FCD7-42C6-8816-853FCE3F969E} - System32\Tasks\Microsoft\Windows\WDI\SrvHost => rundll32.exe winscomrssrv.dll,SrvMainHost
Task: {8451B81F-EA2A-4E20-85E3-76824FDA6038} - System32\Tasks\Microsoft\Windows\Windows Error Reporting\winrmsrv => C:\Windows\system32\winrmsrv.exe [731136 2020-05-30] (Microsoft Corporation) [Fichier non signé]
Task: {2B60AAA8-26F8-4D8E-894E-0210F58408B8} - System32\Tasks\Microsoft\Windows\Wininet\Winlogui => C:\Windows\system32\winlogui.exe [750592 2020-05-30] (Microsoft Corporation) [Fichier non signé]
S3 wuauserv; C:\Windows\system32\svchost.exe [53744 2019-03-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)
S3 wuauserv; C:\Windows\SysWOW64\svchost.exe [45448 2019-03-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)
C:\Windows\system32\winrmsrv.exe
C:\Windows\system32\winlogui.exe
C:\WINDOWS\system32\StartupCheckLibrary.dll
C:\WINDOWS\system32\winscomrssrv.dll
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

Par prudence change tes mots de passe en ligne.

POUR INFORMATION:

Ta version de Windows 10 n'est pas à jour pour le vérifier va sur cette page clique sur Mettre à jour maintenant cela lancera le téléchargement de l'outil de Microsoft il suffira de l'ouvrir et il te permettra de mettre à jour Windows 10 vers la dernière version et te dira si elle est compatible avec ton pc, attention cette mise à jour dure un certain temps, si tu as un pc portable branche-le au secteur car ce serait dommage de tomber en panne de batterie avant que le mise à jour soit terminée.
0
Réponse 12 / 16
deltatito Messages postés 5 Date d'inscription lundi 21 décembre 2020 Statut Membre Dernière intervention 21 décembre 2020
Modifié le 21 déc. 2020 à 13:17
j'ai deja fait la procédure doit-je la refaire? et oui ne nous en faite pas je me depeche d'aller faire ma mise a jour windows.

https://pjjoint.malekal.com/files.php?id=20201221_t9b11f6m8j11
0
bazfile Messages postés 56331 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 7 novembre 2024 19 260
Modifié le 21 déc. 2020 à 13:24
Si tu as fait toi-même un script oui il faut la refaire, le script est personnel tu ne dois pas faire un script toi-même à l'aveugle cela peut être dangereux pour ton pc et tu as certainement oublié certains éléments infectieux non indiqués comme tel dans le rapport FRST.
Donne le lien du fixlog
0
Réponse 13 / 16
deltatito Messages postés 5 Date d'inscription lundi 21 décembre 2020 Statut Membre Dernière intervention 21 décembre 2020
21 déc. 2020 à 13:50
je n'ai pas fait moi meme , j'ai recopié celui qui est donné dans votre message
0
bazfile Messages postés 56331 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 7 novembre 2024 19 260
Modifié le 21 déc. 2020 à 13:54
OK donc donne-moi le lien du fixlog
Rappel de mon message: 
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.
0
Réponse 14 / 16
deltatito Messages postés 5 Date d'inscription lundi 21 décembre 2020 Statut Membre Dernière intervention 21 décembre 2020
21 déc. 2020 à 13:54
fixlog https://pjjoint.malekal.com/files.php?id=20201221_u9c10p7f15d10
0
bazfile Messages postés 56331 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 7 novembre 2024 19 260
Modifié le 21 déc. 2020 à 14:04
Non tu n'as pas fait le script que je t'ai indiqué tu as fait le script que j'avais fait au mois de mars et qui ne t'était pas destiné, dans le fixlog que tu m'as envoyé on voit ceci: 
fixlist contenu:
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction
Task: {15F77406-0DC8-4878-897C-DF5C1A4BD77C} - System32\Tasks\Microsoft\Windows\WDI\SrvHost => rundll32.exe winscomrssrv.dll,SrvMainHost
Task: {D98445F5-4170-4173-991E-4732E186205B} - System32\Tasks\Microsoft\Windows\Application Experience\StartupCheckLibrary => rundll32.exe StartupCheckLibrary.dll,DllMainRunLibrary
Task: {DE296D8D-16AE-4C68-B908-7FD957E2DA51} - System32\Tasks\OInstall => C:\Windows\OInstall.exe [10265648 2019-04-18] (WZTeam -> ) [Fichier non signé]
Task: {F3D2B5E7-7040-464D-98B1-FD585DF1C842} - System32\Tasks\Microsoft\Windows\Windows Error Reporting\winrmsrv => C:\Windows\system32\winrmsrv.exe [731136 2020-03-17] (Microsoft Corporation) [Fichier non signé]
Task: {9B7154C7-764F-4CDE-88BE-28049441B349} - System32\Tasks\Microsoft\Windows\Wininet\Winlogui => C:\Windows\system32\winlogui.exe [750592 2020-03-17] (Microsoft Corporation) [Fichier non signé]
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction
S3 wuauserv; C:\Windows\system32\svchost.exe [51696 2018-09-15] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)
S3 wuauserv; C:\Windows\SysWOW64\svchost.exe [45448 2018-09-15] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)
CloseProcesses:


Alors que le script qui t'étais destiné c'était ceci : 
Start::
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [Genshin Impact_Launcher] => [X]
Task: {02044D07-0BD7-4644-8DE3-E59BE149E7AD} - System32\Tasks\Microsoft\Windows\Application Experience\StartupCheckLibrary => rundll32.exe StartupCheckLibrary.dll,DllMainRunLibrary
Task: {4C429F0F-FCD7-42C6-8816-853FCE3F969E} - System32\Tasks\Microsoft\Windows\WDI\SrvHost => rundll32.exe winscomrssrv.dll,SrvMainHost
Task: {8451B81F-EA2A-4E20-85E3-76824FDA6038} - System32\Tasks\Microsoft\Windows\Windows Error Reporting\winrmsrv => C:\Windows\system32\winrmsrv.exe [731136 2020-05-30] (Microsoft Corporation) [Fichier non signé]
Task: {2B60AAA8-26F8-4D8E-894E-0210F58408B8} - System32\Tasks\Microsoft\Windows\Wininet\Winlogui => C:\Windows\system32\winlogui.exe [750592 2020-05-30] (Microsoft Corporation) [Fichier non signé]
S3 wuauserv; C:\Windows\system32\svchost.exe [53744 2019-03-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)
S3 wuauserv; C:\Windows\SysWOW64\svchost.exe [45448 2019-03-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)
C:\Windows\system32\winrmsrv.exe
C:\Windows\system32\winlogui.exe
C:\WINDOWS\system32\StartupCheckLibrary.dll
C:\WINDOWS\system32\winscomrssrv.dll
EmptyTemp:
End::

Évite de faire n'importe quoi et ne fait que ce que je t'indique.

0
Réponse 15 / 16
deltatito
Modifié le 21 déc. 2020 à 14:12
nouveau fixlog
https://pjjoint.malekal.com/files.php?id=20201221_h5j9f10h14k11
0
bazfile Messages postés 56331 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 7 novembre 2024 19 260
21 déc. 2020 à 14:13
Le fixlog est OK ton problème est-il toujours présent ?
0
Réponse 16 / 16
deltatito
21 déc. 2020 à 14:31
non c'est bon quand je cherche il n'est plus la , je te remercie de m'avoir dédier ton temps a moi encore merci
0
bazfile Messages postés 56331 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 7 novembre 2024 19 260
21 déc. 2020 à 14:49
De rien
Bonne journée
0