Virus winrmsvr
Résolu/Fermé
Valays333
-
Modifié le 4 déc. 2020 à 09:30
bazfile Messages postés 53572 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 19 avril 2024 - 5 déc. 2020 à 19:57
bazfile Messages postés 53572 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 19 avril 2024 - 5 déc. 2020 à 19:57
A voir également:
- Virus winrmsvr
- Svchost.exe virus - Guide
- Lien virus à envoyer - Forum Virus
- Faux message virus iphone - Forum iPhone
- Vérificateur de lien virus - Guide
- Operagxsetup virus ✓ - Forum Virus
5 réponses
bazfile
Messages postés
53572
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
19 avril 2024
18 453
Modifié le 4 déc. 2020 à 10:02
Modifié le 4 déc. 2020 à 10:02
Bonjour,
Infecté par un Trojan miner
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
3- Une fois le script copié clique sur Corriger.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.
Infecté par un Trojan miner
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
Task: {737B3A68-0869-4A7C-8E83-FF9EDAF1D2CD} - System32\Tasks\Microsoft\Windows\Wininet\Winlogui => C:\Windows\system32\winlogui.exe [750592 2020-05-19] (Microsoft Corporation) [Fichier non signé]
C:\Windows\system32\winlogui.exe
Task: {79081793-6882-47FF-BCAB-3BCC7A21FF24} - System32\Tasks\Microsoft\Windows\WDI\SrvHost => rundll32.exe winscomrssrv.dll,SrvMainHost
Task: {A799DE88-E684-4794-86E2-11A171FCDDAC} - System32\Tasks\Microsoft\Windows\Application Experience\StartupCheckLibrary => rundll32.exe StartupCheckLibrary.dll,DllMainRunLibrary
Task: {E7BC2CA7-9DF3-4C51-9D16-AEFE6674E11A} - System32\Tasks\Microsoft\Windows\Windows Error Reporting\winrmsrv => C:\Windows\system32\winrmsrv.exe [731136 2020-05-19] (Microsoft Corporation) [Fichier non signé]
C:\Windows\system32\winrmsrv.exe
CHR HKU\S-1-5-21-3191824939-27712528-3264177581-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh]
CHR HKLM-x32\...\Chrome\Extension: [pbjikboenpfhbbejgkoklgkhjpfogcam]
S3 wuauserv; C:\Windows\system32\svchost.exe [53744 2019-03-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)
S3 wuauserv; C:\Windows\SysWOW64\svchost.exe [45448 2019-03-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ATTENTION (pas de ServiceDLL)
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction
EmptyTemp:
End::
3- Une fois le script copié clique sur Corriger.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.
5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT
Attention par prudence change tes mots de passe en ligne (email, login de sites, réseaux sociaux etc etc.....).
.
Bonjour,
Merci de votre réactivité !
Le fichier fix log se trouve sur ce lien : https://pjjoint.malekal.com/files.php?id=20201204_p11d8g5l11q12
Par contre je n'arrive toujours pas à lancer d'analyse sur windows defender si l'info peut être utile :
Merci de votre réactivité !
Le fichier fix log se trouve sur ce lien : https://pjjoint.malekal.com/files.php?id=20201204_p11d8g5l11q12
Par contre je n'arrive toujours pas à lancer d'analyse sur windows defender si l'info peut être utile :
bazfile
Messages postés
53572
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
19 avril 2024
18 453
4 déc. 2020 à 15:40
4 déc. 2020 à 15:40
As-tu toujours le problème winrmsrv ? Normalement il ne devrait plus être présent.
Quel est le problème exact avec Windows Defender ?
Norton Security Ultra est toujours présent sur ton pc, si tu ne t'en sers plus désinstalle-le.
Ta version de Windows 10 n'est pas à jour elle date du printemps 2019 pour le vérifier va sur cette page clique sur Mettre à jour maintenant cela lancera le téléchargement de l'outil de Microsoft il suffira de l'ouvrir et il te permettra de mettre à jour Windows 10 vers la dernière version et te dira si elle est compatible avec ton pc, attention cette mise à jour dure un certain temps, si tu as un pc portable branche-le au secteur car ce serait sommage de tomber en panne de batterie avant que le mise à jour soit terminée.
Quel est le problème exact avec Windows Defender ?
Norton Security Ultra est toujours présent sur ton pc, si tu ne t'en sers plus désinstalle-le.
Ta version de Windows 10 n'est pas à jour elle date du printemps 2019 pour le vérifier va sur cette page clique sur Mettre à jour maintenant cela lancera le téléchargement de l'outil de Microsoft il suffira de l'ouvrir et il te permettra de mettre à jour Windows 10 vers la dernière version et te dira si elle est compatible avec ton pc, attention cette mise à jour dure un certain temps, si tu as un pc portable branche-le au secteur car ce serait sommage de tomber en panne de batterie avant que le mise à jour soit terminée.
Salut !
Le pare feu me demande plus d'activer wirnmsrv pour le coup ! Donc je pense que le problème est résolu mais justement je ne sais pas si c'est ça qui montre que je suis débarrassé du malware ou le contenu du fichier fixlog ou autre chose.
Je supprime Norton et je mets à jour Windows des que je rentre chez moi
Encore merci pour tes réponses et ta réactivité !
Le pare feu me demande plus d'activer wirnmsrv pour le coup ! Donc je pense que le problème est résolu mais justement je ne sais pas si c'est ça qui montre que je suis débarrassé du malware ou le contenu du fichier fixlog ou autre chose.
Je supprime Norton et je mets à jour Windows des que je rentre chez moi
Encore merci pour tes réponses et ta réactivité !
bazfile
Messages postés
53572
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
19 avril 2024
18 453
>
Valays333
Modifié le 4 déc. 2020 à 16:22
Modifié le 4 déc. 2020 à 16:22
Pour désinstaller Norton tu as cet outil de Norton attention sur la page au paragraphe 6 il faudra cliquer sur supprimer sinon Norton se réinstallera automatiquement.
Pour winrmsrv il est supprimé le fixlog en atteste mais je demande toujours confirmation.
Pour winrmsrv il est supprimé le fixlog en atteste mais je demande toujours confirmation.
Re,
J'ai suivi la procédure de norton qui est definitivement supprimé et mis à jour windows, windows defender refonctionne et tout est nickel !
Encore merci !
J'ai suivi la procédure de norton qui est definitivement supprimé et mis à jour windows, windows defender refonctionne et tout est nickel !
Encore merci !
bazfile
Messages postés
53572
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
19 avril 2024
18 453
4 déc. 2020 à 21:51
4 déc. 2020 à 21:51
De rien. :-)
Je met le sujet en résolu.
Je met le sujet en résolu.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour,
Je me permets de réouvrir le sujet car en faisant un scan windows defender il est apparu ceci :
https://pjjoint.malekal.com/files.php?id=20201205_w6r15o5i5i10
et
https://pjjoint.malekal.com/files.php?id=20201205_l8y8d12x8g5
C'est moi qui ai supprimé la menace et mis en quarantaine l'autre (je pouvais pas la supprimer)
Est-ce que c'est inquiétant ? Une des 2 menaces date du 5/12 alors que j'ai lancé le script le 4/12
Je me permets de réouvrir le sujet car en faisant un scan windows defender il est apparu ceci :
https://pjjoint.malekal.com/files.php?id=20201205_w6r15o5i5i10
et
https://pjjoint.malekal.com/files.php?id=20201205_l8y8d12x8g5
C'est moi qui ai supprimé la menace et mis en quarantaine l'autre (je pouvais pas la supprimer)
Est-ce que c'est inquiétant ? Une des 2 menaces date du 5/12 alors que j'ai lancé le script le 4/12
bazfile
Messages postés
53572
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
19 avril 2024
18 453
Modifié le 5 déc. 2020 à 22:46
Modifié le 5 déc. 2020 à 22:46
Le premier c'est la quarantaine de FRST il te suffit de supprimer FRST (voir en fin de message).
Pour la deuxième partie ces fichiers ne sont plus actifs sur ton pc le script FRST les a désactivé tu peux les supprimer de la quarantaine de Windows Defender https://www.malekal.com/supprimer-restaurer-vider-quarantaine-de-windows-defender
Par prudence fait une nouvelle analyse avec FRST pour voir si tout est OK.
Pour désinstaller FRST, renomme le fichier FRST que tu as téléchargé et renomme-le en uninstall puis ouvre-le la désinstallation se fera automatiquement via un redémarrage du pc.
Pour la deuxième partie ces fichiers ne sont plus actifs sur ton pc le script FRST les a désactivé tu peux les supprimer de la quarantaine de Windows Defender https://www.malekal.com/supprimer-restaurer-vider-quarantaine-de-windows-defender
Par prudence fait une nouvelle analyse avec FRST pour voir si tout est OK.
Pour désinstaller FRST, renomme le fichier FRST que tu as téléchargé et renomme-le en uninstall puis ouvre-le la désinstallation se fera automatiquement via un redémarrage du pc.
