Démarrage alerte

Bleach5962 -  
MisteryBean Messages postés 8876 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

en démarrant mon pc j'ai une alerte du pare feu windows concernant C:\windows\system32\winrmsrv.exe

j'ai lu partout qu’apparemment il s'agissait d'un trojan.

Quelqu'un aurait une solution ?
je vous met les scan FRST
https://pjjoint.malekal.com/files.php?id=FRST_20200403_i11i11k5b15o14
https://pjjoint.malekal.com/files.php?id=20200403_c10b10x8t15y12


merci d'avance


Configuration: Windows / Chrome 80.0.3987.149
A voir également:

9 réponses

Réponse 1 / 9
MisteryBean Messages postés 8876 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   1 262
 
Salut ,

Windows defender est désactivé , c'est voulu ? 
AV: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}


--> Copie ce qui suit de start:: à end:: (sans le coller nulle part)
--> Ouvres FRST et cliques sur Corriger
--> Un fichier fixlog est créé sur le bureau , postes le 

start::
closeprocesses:
createrestorepoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
Task: {04C50A9C-C4CF-47B7-8C00-872517D0D95B} - System32\Tasks\Microsoft\Windows\WDI\SrvHost => rundll32.exe winscomrssrv.dll,SrvMainHost <==== ATTENTION
Task: {9465C90B-B556-429B-8DE3-BF6F50A918C1} - System32\Tasks\Microsoft\Windows\Windows Error Reporting\winrmsrv => C:\Windows\system32\winrmsrv.exe [731136 2020-04-03] (Microsoft Corporation) [Fichier non signé] <==== ATTENTION
C:\Windows\system32\winrmsrv.exe
Task: {96565D3C-7195-41C0-B1AF-874981460028} - System32\Tasks\Microsoft\Windows\Wininet\Winlogui => C:\Windows\system32\winlogui.exe [750592 2020-04-03] (Microsoft Corporation) [Fichier non signé]
Task: {E0BAF0A6-A623-4B79-8665-7F53DAFDAD73} - System32\Tasks\McAfee\DAD.Execute.Updates => C:\Program Files\Common Files\McAfee\DynamicAppDownloader\1.4.111\DADUpdater.exe
Tcpip\..\Interfaces\{8a64b112-a72c-464d-b173-e38879212179}: [DhcpNameServer] 10.66.208.1
C:\Windows\system32\winlogui.exe
BHO: Pas de nom -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> Pas de fichier
BHO-x32: Pas de nom -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> Pas de fichier
Filter: application/x-mfe-ipt - {3EF5086B-5478-4598-A054-786C45D75692} -  Pas de fichier
S2 Freemake Improver; C:\ProgramData\Freemake\FreemakeUtilsService\FreemakeUtilsService.exe [81280 2020-03-02] (Mixbyte Inc -> Freemake)
S3 wuauserv; C:\WINDOWS\system32\svchost.exe [51696 2018-09-15] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)
S3 wuauserv; C:\WINDOWS\SysWOW64\svchost.exe [45448 2018-09-15] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)
S2 0241551580228551mcinstcleanup; C:\WINDOWS\TEMP\024155~1.EXE -cleanup -nolog [X]
S3 MyWiFiDHCPDNS; "C:\Program Files\Intel\WiFi\bin\PanDhcpDns.exe" [X]
2020-04-03 18:54 - 2020-04-03 18:54 - 000731136 _____ (Microsoft Corporation) C:\WINDOWS\system32\winrmsrv.exe
2020-04-03 18:54 - 2020-04-03 18:54 - 000681472 _____ (Microsoft Corporation) C:\WINDOWS\system32\winscomrssrv.dll
2020-04-03 18:54 - 2020-04-03 18:54 - 000000024 _____ C:\WINDOWS\system32\WinUpdates105.dat
2020-04-03 18:54 - 2020-04-03 18:54 - 000000003 _____ C:\WINDOWS\system32\wdbcache.tmp
2020-04-01 22:57 - 2020-04-03 18:54 - 000750592 _____ (Microsoft Corporation) C:\WINDOWS\system32\winlogui.exe
2020-04-01 14:33 - 2020-04-01 14:34 - 000000000 ____D C:\Users\ghatt\Documents\Freemake
2020-04-01 14:33 - 2020-04-01 14:34 - 000000000 ____D C:\Program Files (x86)\Freemake
2020-04-01 14:33 - 2020-04-01 14:33 - 000000000 ____D C:\Users\ghatt\AppData\Local\FreemakeVideoDownloader
2020-04-01 14:33 - 2020-04-01 14:33 - 000000000 ____D C:\ProgramData\Freemake
emptytemp
end::
1
Bleach5962
 
Salut et merci pour ton aide =)

concernant windows defender non ce n'est pas du tout voulu, par contre j'ai essayer d'y accéder et pas moyen la fenêtre regroupant les paramètres de sécurité reste blanche comme neige.

voici le fichier demandé avec FRST :

https://pjjoint.malekal.com/files.php?id=20200404_e12x14k712c14
0
Réponse 2 / 9
MisteryBean Messages postés 8876 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   1 262
 
OK , tout est bon .

Par contre , évite d'installer des m....es pendant la désinfection :(

Désinstalles :
Spybot - Search & Destroy => Totalement obsolète et dépassé .

Vérifie la restauration , car en montant de version , il arrive qu'elle soit désactivé :
http://www.chantal11.com/2017/04/activer-la-protection-du-systeme-windows-10/


Corriges dans FRST avec ce qui suit : 

start::
closeprocesses:
createrestorepoint:
Task: {D43C295C-E114-4DC3-B95E-9F1A965B10E1} - System32\Tasks\Microsoft\Windows\Application Experience\StartupCheckLibrary => rundll32.exe StartupCheckLibrary.dll,DllMainRunLibrary <==== ATTENTION
C:\Windows\System32\StartupCheckLibrary.dll
HKLM-x32\...\Run: [SDTray] => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe [6788032 2018-04-20] (Safer-Networking Ltd. -> Safer-Networking Ltd.)
emptytemp:
end::
1
Réponse 3 / 9
MisteryBean Messages postés 8876 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   1 262
 
RE_ 

concernant windows defender non ce n'est pas du tout voulu, par contre j'ai essayer d'y accéder et pas moyen la fenêtre regroupant les paramètres de sécurité reste blanche comme neige.


Même après la correction ?


Relances FRST avec ceci : (copie sans coller nulle part puis corriger dans FRST ) 
start::
emptytemp:
end::


Télécharge FSS : https://www.bleepingcomputer.com/download/farbar-service-scanner/dl/62/
Lances le par clic droit et administrateur -> Coches toutes les cases --> Clic sur scan -> Postes le rapport
0
Bleach5962
 
Salut Alors pour windows defender j'ai chercher un peu sur le PC apparemment j'avait une version trop ancienne de windows 10 qui ne pouvais plus faire les mises à jour, donc j'ai forcer la mise a jour avec le dernier windows.

J'ai de nouveau accès a windows defender par contre j'ai une erreur au démarrage windows sur StartupCheckLibrary.dll qui apparemment est bloquer par windows defender pour cause de trojan.

j'ai refait un scan du coup.

https://pjjoint.malekal.com/files.php?id=FRST_20200404_z9f5n9i157

https://pjjoint.malekal.com/files.php?id=20200404_w8h14c10q13g9
0
Réponse 4 / 9
MisteryBean Messages postés 8876 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   1 262
 
RE_

Est ce que tu peux faire ce que j'ai demandé avant ? , et au redémarrage , vois si tu as toujours le message WD
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 9
Bleach5962
 
voila le rapport

https://pjjoint.malekal.com/files.php?id=20200404_h15t13t119n13

j'ai toujours l'erreur windows defender
0
Réponse 6 / 9
Bleach5962
 
Super ! tout est bon plus d'erreur au demarrage et windows defender fonctionne à nouveau !

Merci et bonne journée
0
Réponse 7 / 9
MisteryBean Messages postés 8876 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   1 262
 
RE_

OK , peux tu poster le fixlog ?

Pour terminer , Télécharges Malwarebytes , lances un scan et mets ce qu'il trouve en quarantaine .

Postes le rapport
Tuto : https://forum.security-x.fr/tutoriels-317/tutoriel-malwarebytes-anti-malware-22723/
0
Réponse 8 / 9
Bleach5962
 
voila les comptes rendus

Malwarebytes https://pjjoint.malekal.com/files.php?id=20200404_g13r14n8c12i15

Fixlog https://pjjoint.malekal.com/files.php?id=20200404_n8m9m7g10k6
0
Réponse 9 / 9
MisteryBean Messages postés 8876 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   1 262
 
RE_

OK , c'est propre , les détections malwarebytes sont des setup que tu as téléchargés .

Tu peux vider la quarantaine (ou restaurer) et le désinstaller

Historique des détections --> Éléments en quarantaine --> Coches tout --> Supprimer
0