Scan FRST suite à notification Windows "pua:win32/presenoker"

Mots croisés Messages postés 3093 Date d'inscription Statut Membre Dernière intervention -
bazfile Messages postés 58327 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention - 30 nov. 2020 à 16:27

Bonjour,

Une notification Windows m'avertit d'un objet malveillant "pua:win32/presenoker"

De plus, il arrive occasionnellement que l'écran s'éteigne et se rallume, alors que le PC, lui,
ne subit pas cet arrêt/redémarrage, étonnant.

Breff, alors j'ai scanné l'engin avec FRST, dont je dépose ici les 3 fichiers rapports.

https://www.cjoint.com/c/JKCqvVXPmWs

https://www.cjoint.com/c/JKCqwMwwBVs

https://www.cjoint.com/c/JKCqxoMF6Qs

Si quelqu'un peut me suivre.

Merci

Configuration: Windows / Firefox 83.0

A voir également:

Presenoker
Notification visite profil facebook - Guide
Scan qr code pc - Guide
Clé windows 8 - Guide
Windows ne démarre pas - Guide
Montage video windows - Guide

3 réponses

Réponse 1 / 3

bazfile Messages postés 58327 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 19 713

Bonjour,
rien de grave c'est un fichier qui se trouve dans le dossier temporaire de Windows et le fichier d'installation de Format Factory qui se trouve dans le dossier de téléchargement.
Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

Start::
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction
C:\Users\standard\Downloads\FFSetup5.4.5.0.exe
C:\Users\standard\AppData\Local\Temp\Fusion_ld2
EmptyTemp: 
End::

3- Une fois le script copié clique sur Corriger.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

Mots croisés Messages postés 3093 Date d'inscription Statut Membre Dernière intervention 111

J'avais réinstallé Firefox, Gmail en favori, lorsque le PC a redémarré de nouveau tout neuf avec Firefox et Gmail disparu, grr, comme lorsque je l'ai retrouvé à la suite de la manip' effectuée.
J'ose espérer que ça ne va pas se reproduire. Sinon comment je fais?

Réponse 2 / 3

Mots croisés Messages postés 3093 Date d'inscription Statut Membre Dernière intervention 111

Bonsoir Bazfile

Tu n'auras pas de suite, tout simplement parce que (hormis les dossiers images, musique) tout les dossiers sont vide, dont le dossier téléchargement.
Donc pas de rapport Fixlog.

Ceci étant, pourquoi ne pas m'avoir informé que mon PC serait vide de ttes les applications installées au fil du temps, plus de mot de passe, plus de favoris firefox. J'aurais sauvegardé.

Suis surpris que tu m'aies pas informé de cette remise à zéro.

Breff, j'ai bien noté quelques mots de passe, mais pas tout. Me voilà avec quelques semaines de taf pour tenter de retrouver une partie de ce qui est perdu.

Si je rencontre des soucis (concernant le sujet initial) je saurai revenir sur CCM

bazfile Messages postés 58327 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 19 713

Seul les fichiers temporaires aurait dû être supprimés ainsi que les deux fichiers que Windows Defender te signalait (FFSetup5.4.5.0.exe et Fusion_ld2), dans le script il n'y avait aucune commande qui supprimait les logiciels ou les dossiers, peut-être un bug de FRST.

Mots croisés Messages postés 3093 Date d'inscription Statut Membre Dernière intervention 111 > bazfile Messages postés 58327 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention

Alors on dira un bug.

Ce qui fait (comme je disais) que je ne peux faire suivre le rapport Fixlog, le dossier téléchargements étant vidé intégralement de tous ses fichiers.
Pour l'heure je n'ose plus trop avancer, vu que le PC s'est remis en marche avec à nouveau 2 liens supprimés, que j'avais réinstallé comme mon adresse mail et le site de CCM.
Sinon, pour les favoris FF, j'ai retrouvé une sauvegarde de l'année passée, c'est mieux que rien.
Pour les mots de passe, tout est à refaire.
Tous les raccourcis du menu démarrer, exit aussi, tout comme la barre Rocket Dock aux multiples raccourcis.
Bon assez pour ce soir.

Questiion Bazfile.
Si y'avait des redémarrage non désiré et subit, je m'adresse sur ce forum ou sur un autre, et lequel?

Merci

bazfile Messages postés 58327 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 19 713 > Mots croisés Messages postés 3093 Date d'inscription Statut Membre Dernière intervention

Alors on dira un bug.

Oui vu que c'est la première fois que cela m'arrive avec FRST et que je sais très bien ce que j'ai supprimé il il suffit de regarder le script.

Vu tes dossiers disparus et ton écran qui s’éteint par moment je me demande si ton problème n'est pas aussi matériel, teste ton disque dur avec CrystalDiskInfo le résultat est instantané.
Sert-toi des codes couleur qui suivent pour interpréter les résultats, clique sur l'image pour l'agrandir :

Si y'avait des redémarrage non désiré et subit, je m'adresse sur ce forum ou sur un autre, et lequel?

ce forum n'est que pour les désinfections pour les problèmes de Windows ou les problèmes matériels pose ta question dans le forum le plus adapté, exemple https://forums.commentcamarche.net/forum/windows-10-328/new

Pour information:
Dans tous mes scripts FRST je demande la création d'un point de restauration qui permet de revenir en arrière en cas de problème, si tu souhaites revenir en arrière appuie simultanément sur les touches Windows et R une fenêtre apparaît copie/colle ceci rstrui.exe puis clique sur OK la restauration système s'ouvre, fait une restauration système en choisissant le point de restauration créé par FRST, normalement le pc reviendra comme il était avant de faire le script FRST.

Je viens de redémarrer le PC, grrrr, il s'ouvre en "profil temporaire".

J'ai regardé sur Google, il est dit que dans cette configuration, tout le bureau est vide des icones, des raccourcis, breff, de tout quoi.
Alors je suis sur un lien que je vais suivre "https://blog.itgs-solutions.ch/resoudre-le-probleme-du-profil-temporaire-avec-windows-7-ou-10/#:~:text=Le%20compte%20%28ou%20profil%29%20temporaire%20se%20cr%C3%A9e%20chaque,compte%20dans%20la%20base%20de%20registre%20de%20Windows."

Mais avant, je vais voir si je peux restaurer comme tu le suggères

https://www.cjoint.com/c/JKCv7K6jXZs

Je n'ai pas de point de restauration à l'heure de FRST.
Je pars donc sur un point système de aujourd'hui en milieu de journée

Réponse 3 / 3

Mots croisés Messages postés 3093 Date d'inscription Statut Membre Dernière intervention 111

Bjr Bazfile

Ok pour ton compte rendu.

Oui, des incohérences.

FRST n'est pas responsable, aussi, c'est ptet en faisant cette analyse que je me suis retrouvé sur ce profil temporaire. Je veux dire par là que FRST a permis de mettre à jour ces incohérences.

Pour moi, ces incohérences datent depuis ce changement de DD il y a moins de 2 ans.
Celui-ci a été remplacé par un gars (sur connaissance) qui parait il connait en informatique. Chuis allé confiant bien sûr.
Je me suis retrouvé avec un Win 10 pro, alors que depuis Win 7, mon PC est équipé d'un Win familial et que j'ai fait évoluer au fil des changements des systèmes d'exploitation par migration.

Breff, je me demande en fait si mon PC est bien un Win 10 légal, pfffff et grrrrr.

Mais là, je sors du sujet initial Bazfile.

Comment je peux procéder pour continuer, ou bien aller sur un autre forum pour en discuter et lequel?

Merci

Voici un screen de "gestion des disques".

https://www.cjoint.com/c/JKDjuBEYwjs

bazfile Messages postés 58327 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 19 713

Tout ça me parait incompréhensible comment peut-on diviser un disque en autant de partitions quand on partitionne un disque pour avoir une partition D pour stocker des documents, tu as en général la partition pour le disque C qui contient Windows et les logiciels que tu installes et ensuite une partition D où on stocke les données comme les documents les vidéos/photos etc etc.. il y a aussi 2 ou 3 petites partitions de quelques centaines de mo réservées au système et de récupération, je ne sais pas trop à quoi servent ces deux partitions Y et Z.

Je ne comprend pas comment tu as pu avoir une version de Windows 10 pro en migrant d'une version de Windows 7 famille normalement quand on migre gratuitement de Windows 7 famille vers Windows 10 la version de Windows 10 doit être la version famille pas la version pro voir https://www.commentcamarche.net/informatique/windows/119-passer-gratuitement-de-windows-7-a-windows-10/.

Pour ce qui est du lien de la page de Malekal concernant le profil temporaire tu peux essayer voir si tu peux réparer tes erreurs de profil.

Il est probable que ta version de Windows ne soit pas officielle vu que dans le rapport FRST on trouve un autokms :

2020-11-22 19:51 - 2019-01-29 15:20 - 000000000 ____D C:\Program Files\KMSpico

il a été installé le 29 janvier 2019 cela fait donc presque deux ans, voir https://www.malekal.com/kmspico/ c'est un peu dommage d'utiliser ce genre de truc quand on voit cette page.
Voila c'est tout ce que je peux te dire à propos de ton pc.

Bazfile, qu'on soit clair.

Si je parle d'un Windows 10 qui ne serait pas légal, c'est que je suis en osmose avec toi. Ça m'exaspère.
Si je peux comprendre, c'est que mon Windows 10 pourrait être une version crackée.
Effectivement, le PC a tjrs été en Windows familial, et c'est que plus tard après le remplacement du DD qui m'a lâché, que j'ai constaté que le PC était en version PRO.

Concernant le partitionnement des disques, je ne comprends pas qu'il soit tant partitionné, mais bon, ne connaissant pas dans ce domaine, j'ai pensé ça normal, GRRR.

Et puis pourquoi m'aurait il installé une version crackée, alors que les versions précédentes ont tjrs été légales puisque (comme je t'ai dit), j'ai migré légalement à chaque changement de système.

Dis moi.
Je dois demander de l'aide sur un autre forum? Parce que je voudrais bien remettre tout ça dans l'ordre, alors il me faudra de l'aide pour réinstaller le PC dans les normes.

Je n'ai plus de contact avec ce gars.

Et puis pourquoi m'aurait il installé une version crackée,

La raison ce n'est pas mon problème, je constate juste la présence de KMSpico et il n'est jamais là par hasard.

Je dois demander de l'aide sur un autre forum? Parce que je voudrais bien remettre tout ça dans l'ordre, alors il me faudra de l'aide pour réinstaller le PC dans les normes.

Effectivement ce serait mieux car ici ce n'est que pour les infections.

Je pense que tu devrais faire les choses dans l'ordre, tout dépend comment démarre ton pc, car je ne sais pas vraiment où tu en es:

Si ton pc démarre sous profil temporaire voit avec les différentes solutions données sur cette page pour ma part il y a un peu plus d'un an mon pc a démarré sans raison sur profil temporaire j'ai résolu le problème en allant dans la registre cela correspond au paragraphe CORRIGER LES INCOHÉRENCES DANS PROFILELIST du tutoriel de Malekal mais attention ne fait ça que si tu es sous profil temporaire, si tu es sous ton profil normal tu passe à la suite.

Si tu es sous ton profil normal tu peux réparer Windows 10 sans perte de données https://www.malekal.com/reparer-windows10-sans-perte-donnees/

Si rien ne fonctionne il faudra sauvegarder les données que tu souhaites conserver sur D et réinstaller Windows 10 sur C voir cette page en prenant bien entendu une version officielle voir cette page.

Pour les partitions tu verras ça plus tard ce n'est pas pressé.

Merci Bazfile, j'attendais ta réponse.

Lorsque tu m'a suggéré de faire une restauration à une date antérieure, je l'ai faite. De là j'ai retrouvé le profil normal.

Ok, je vais donc poursuivre sur le forum "Windows".

Merci, bon am

Pour les partitions Swap et Temp je pense que c'est le résultat d'un tuto que tu as dû suivre ou que la personne qui t'a installé Windows a dû suivre et c'est malheureux car risqué voir LE TURORIEL QU'IL NE FALLAIT PAS SUIVRE (merci à MysteryBean pour la recherche du tuto).
Bonne soirée.

Discussions similaires

PUA:Win32/Presenoker

win32/presenoker

PC infecté par PUA:Win32/CandyOpen et PUA:Win32/Presenoker

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

Votre réponse

Discussions similaires