Stiky Notes VirusRésolu/Fermé

Question

Bonjour, 

j'ai récemment été victime d'un maleware qui lançait des pop-ups dans mon navigateur et modifiait ses paramètres. J'ai plus ou moins réussi à m'en débarasser grâce à Avast, Malewarebytes, Spybot, CCleaner. 

Il reste cependant un programme que je ne parviens pas à désinstaller. Il s'agit d'un widget "Stiky Notes" qui ne correspond à aucun programme dans "ajouter/désinstaller", et qui démarre au lancement de Windows

Auriez-vous des infos, des conseils là-dessus ? 

Merci d'avance ! :)

Configuration: Windows / Firefox 84.0

Klint · Answer

Il reste d'ailleurs un programme non-désinstallable dans la liste d'"ajouter/désinstaller", présent depuis l'apparition du virus, qui porte le nom de "4633f09-7f92-etc... etc...". une idée de ce que ça peut être ?

MisteryBean · Answer

Bonjour,

Le fait de mettre plusieurs messages fait croire que quelqu'un t'a répondu !!!!

Si spybot est toujours présent , désinstalles le , il est totalement obsolète

----------------------------


On va commencer par un diagnostic du PC :

Bien lire toute la procédure avant de poster les rapports

--> Télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau

--> Pour un système en 32 bits
--> Pour un système en 64 bits

Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?


--> Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page.
--> Ferme toutes les applications, y compris ton navigateur
--> Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
--> Sous Vista, Windows 7 / 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
--> Attendre qu'il indique L'outil est prêt à fonctionner
--> Sur le menu principal, clique sur Analyser et patiente le temps de l'analyse
--> A la fin du scan, les rapports FRST.txt et Addition.txt sont créés. Poste ces rapports dans ta prochaine réponse.
--> Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs



--> Le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

---------------------------------------------------------------------------------------------

Sont attendus les rapports FRST.txt et Addition.txt

Tous les rapports doivent être hébergés sur https://security-x.fr/up/ et tu indiques les liens obtenus dans ta réponse

MisteryBean · Answer

Salut ,

Il y a un problème sur les rapports .

La liste des programmes et des services de sécurité est vide , tu n'as rien d'installé sur ce PC? 

Relances un scan FRST et vérifie dans le rapport Addition si les programmes apparaissent en début de rapport dans les sections suivantes :

==================== Centre de sécurité ======================== ==================== Programmes installés ====================== 

Si les programmes apparaissent , postes les nouveaux rapports FRST et Addition

Si c'est vide , ouvres Ccleaner => Outils => Désinstallation des programmes => Attends que les programmes apparaissent dans la fenêtre et cliques en bas à droite sur "enregistrer dans un fichier" => Un fichier "install.txt" va être créé , postes le

Klint · Answer

Salut, 

toujours rien dans les sections Centre de sécurité et Programmes installés. Voici le fichier install.txt de CCleaner. 

merci ! 

https://up.security-x.fr/file.php?h=R24a31756b914685f7a89847b905da802

MisteryBean · Answer

RE_

Avant de faire un correctif , il faudrait que tu vérifie la restauration car il semble y avoir un problème :

Réactive la restauration

Crée un point

Dis moi si ça fonctionne  

PS : il y a un proxy sur ce PC , tu es au courant ?

Klint · Answer

Bonjour, 

dans le panneau de configuration, Windows me dit que la restauration est déjà activée sur le disque C, et désactivée pour le D. J'ai donc activé celle du D. Chose étonnante, il existe un 3ème disque, nommé RESTORE, (désactivée). Et non, je n'avais aucune idée de la présence d'un proxy sur ce PC.... 

PS : en essayant de créer un point de restauration, je reçois le message d'erreur suivant : https://up.security-x.fr/file.php?h=R00455abc0a13caa20ad21147a00ff024

Merci pour l'aide!

PPS : le proxy ne serait-il pas un service automatique de Kapersky?

MisteryBean · Answer

RE_

PS : en essayant de créer un point de restauration, je reçois le message d'erreur suivant : https://up.security-x.fr/file.php?h=R00455abc0a13caa20ad21147a00ff024 

Oui , c'est ce que j'avais vu sur les rapports , c'est pour ça que je voulais tester .

Est ce que Kaspersky est une version gratuite ou achetée ?
Si c'est une version gratuite , il faudrait le désinstaller , en plus , tu as deux versions ?
Kaspersky Anti-Virus Kaspersky 26/04/2021 21.3.10.391Kaspersky Anti-Virus Kaspersky 05/04/2021 21.2.16.590Kaspersky VPN Kaspersky 05/04/2021 21.2.16.590 

PPS : le proxy ne serait-il pas un service automatique de Kapersky? 

Je ne pense pas , un VPN oui , mais pas un proxy et il ne se serait mis en place que par ton biais.

------------
------------------------------

Fais ceci :

--> Copie ce qui se trouve ci dessous de start:: à end:: (sans le coller nulle part)

--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger
Si FRST semble se bloquer ou ne répond pas , laisse tourner

--> Un fichier fixlog est créé au même endroit que FRST , postes le   

--> Essaie de créer un point de restauration et dis moi si tu as toujours le problème . 

--> Si pareil , désactives la restauration sur C: , dis oui pour supprimer tout les points , réactive la et essaie de créer un point 

start::cmd: DISM /Online /Cleanup-image /Restorehealthcmd: sfc /scannowemptytemp:end::

Klint · Answer

fixlog.txt : 

https://up.security-x.fr/file.php?h=Rb03c9ea961be7a1d752faf5750c3efdf

j'ai toujours le même problème de restauration, même lorsque tous les points sont supprimés ..

Mon Kapersky est bien une version gratuite, car j'avais eu des problèmes à réinstaller Avast (j'ai l'impression que les téléchargements d'antivirus à partir d'un setup sont systématiquement bloqués)

Klint · Answer

En fait, FRST a fini de corriger au bout de quelques minutes et a créé un nouveau fixlog.txt 

https://up.security-x.fr/file.php?h=Re5c2ff01acea257ce56c3c8ffb6a70ab

Et si jamais ça peut mettre sur une piste, mon menu à gauche du Explorer ressemble à ça : (avec une absence de texte donc et des raccourcis inopérants)

https://up.security-x.fr/file.php?h=Re5c2ff01acea257ce56c3c8ffb6a70ab

MisteryBean · Answer

RE_

Dans ton second message , tu as mis deux fois le même lien .

Il y a des soucis sur ce Windows , il faudrait corriger , mais il faut être sur que la restauration fonctionne .

Sur Windows 10 , pas besoin d'antivirus tiers , Windows defender est largement suffisant

Essaie de lancer ce petit logiciel et essaie à nouveau de créer un point.

MisteryBean · Answer

RE_

On va faire un correctif , puis on essaiera de réparer Windows .

Pour qu'il n'y ai pas de problème , désinstalles :

Kaspersky Anti-Virus Kaspersky 26/04/2021 21.3.10.391Kaspersky Anti-Virus Kaspersky 05/04/2021 21.2.16.590Kaspersky VPN Kaspersky 05/04/2021 21.2.16.590 Sophos Virus Removal Tool Sophos Limited
Peut être que tu ne verras qu'un Kaspersky Anti-Virus Kaspersky

---------
----------------------

--> Copie ce qui se trouve ici : https://textup.fr/551245tz  de start:: à end:: (sans le coller nulle part)

--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger

--> Un fichier fixlog est créé au même endroit que FRST , postes le

--> Essaie de créer un point de restauration

Klint · Answer

Bonjour, 

merci pour ton aide face à ce problème insistant. 

Je n'ai pas réussi à désinstaller le Kaspersky datant du 05/04. Un message s'affiche tel que "le programme d'installation est en cours.... redémarrez et réessayez". 

J'ai fait appliquer les corrections par FRST64, mais le point de restauration est toujours impossible à créer, avec le même message relatif aux VSS. 

Voici le fixlog : 
https://up.security-x.fr/file.php?h=R2c36a8436d87bc5942f9ba0e4b9d0cfc

Bonne journée

PS: autre élément étrange, on trouve dans ProgramesFilesx86, une application nommée MaskVPN qui ne se retrouve pas dans la liste Désinstaller du panneau de config.

MisteryBean · Answer

RE_

OK pour le fixlog , tu ne dois plus avoir de problème avec Stiky Notes ?

Reste a régler les erreurs systèmes .

Relances un scan FRST et postes les nouveaux rapports

----------
-------------------------

=> Télécharge FSS (si le téléchargement ne démarre pas automatiquement, cliques sur "clic here")
=> Exécute-le par clic droit exécuter en tant qu'administrateur
=> Vérifie que les options ci-dessous sont cochées:


=> Clique sur "Scan".
=> Il y a création d'un rapport d'analyse (FSS.txt) dans le dossier où se trouve FSS.exe.
=> Poste le rapport dans la prochaine réponse.

Klint · Answer

Merci, plus de problèmes avec StikyNotes depuis un moment oui, voici les rapports : 

https://up.security-x.fr/file.php?h=R84c2283086addab6e239e2e61e0ccd27

https://up.security-x.fr/file.php?h=R188f720ccb1d81f3ac59c21ffbe32264

https://up.security-x.fr/file.php?h=R68de8cf6e4dee29ceb7d38d0c072d3c0

Merci!

MisteryBean · Answer

RE_

Des problèmes sur Update et defender , on va essayer de réparer :

--> Télécharges le fichier FIXLIST au même endroit que le programme FRST (FRST64) <= (Important)

Suivre depuis un téléphone ou depuis un autre PC si possible .

--> Démarres en mode sans échec avec ou sans réseau depuis les paramètres : https://www.malekal.com/demarrer-windows10-mode-echec/#Demarrer_Windows_10_en_mode_sans_echec

--> Dans le tuto , il faut ensuite descendre dans Options de récupération

--> Choisir l'option 4 ou 5 pour le mode sans échec avec ou sans prise en charge réseau

--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger

--> Un fichier fixlog est créé au même endroit que FRST , redémarres en mode normal et postes le 

----------------
----------------------------
Après redémarrage en mode normal , rends toi ICI et cliques sur Mettre à jour maintenant

ça va mettre à jour vers la dernière version de win10 et réparer les services endommagés.

----------------
-----------------------------

Une fois la mise à jour effectué , relances un scan FRST pour voir si on a enfin des rapports complets

Klint · Answer

Bonjour Mistery Bean, 

je viens de réaliser ces actions, et en effet, ça a désormais l'air de bien mieux marcher. Merci mille fois!

Je vous poste les différents rapports ici : 
Fixlog : https://up.security-x.fr/file.php?h=R802a323612018d8661fde91c6d17d810

FRST : https://up.security-x.fr/file.php?h=Rfb4230af7ea5790b1364caa496b7634e

addition : https://up.security-x.fr/file.php?h=R5b077223ef51e04d74d36086b59d16ab

MisteryBean · Answer

RE_

KIS est toujours présent , tu ne l'avais pas désinstallé (ou tu as réinstallé la dernière version ?):
Kaspersky Anti-Virus (HKLM-x32\...\{63129F5E-8EC5-41BA-A4CF-47966CE84953}) (Version: 21.2.16.590 - Kaspersky) HiddenKaspersky Anti-Virus (HKLM-x32\...\InstallWIX_{63129F5E-8EC5-41BA-A4CF-47966CE84953}) (Version: 21.2.16.590 - Kaspersky)  

Le programme que tu indiquais aussi :
{4633f099-7f92-4115-a0c8-055388aa1428} (HKU\S-1-5-21-4002426620-4048338870-2653177955-1001\...\{4633f099-7f92-4115-a0c8-055388aa1428}) (Version: - South Editor Ltd.) 

Essaie de le désinstaller et en fonction de tes réponses , je te referais un correctif

MisteryBean · Answer

RE_

un message d'erreur m'empêche de le faire à chaque fois.  

Tu peux m'indiquer le message ?

-----------
------------------------------

--> Copie ce qui se trouve ci dessous de start:: à end:: (sans le coller nulle part)

--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger

--> Un second KIS va apparaitre dans la liste des programmes , essaie de le désinstaller et dis moi si tu as le même message d'erreur

start::Kaspersky Anti-Virus (HKLM-x32\...\{63129F5E-8EC5-41BA-A4CF-47966CE84953}) (Version: 21.2.16.590 - Kaspersky) Hiddenend::

Klint · Answer

Le message pour l'application inconnue est 

"Windows ne trouve pas
 "C:\Users\fauch\AppData\Roaming\Lifelord\57c36285-ea0-4d1F-ac9d-af9e90ae071b.exe" Vérifiez que vous avez entré le nom correct, puis réessayez."

Le message pour Kapersky est 
"L'application de la nouvelle version de l'application est lancée. La suppression n'est pas possible actuellement. Il est conseillé de réessayer la suppression de l'application après le redémarrage de l'ordinateur". 

Je ne peux désinstaller aucun des deux Kapersky dans la liste, le premier car le bouton désinstaller est grisé/inactif. Le second car il y a ce message d'erreur. 

merci!

MisteryBean · Answer

RE_

Redémarres en mode sans echec et essaie de désinstaller KIS .

La procédure est dans ce message : https://forums.commentcamarche.net/forum/affich-37050184-stiky-notes-virus#18 (ne tiens pas compte du fixlist :-)  )

Klint · Answer

J'ai essayé, mais Windows me dit que la fonction désinstaller est inaccessible en Mode sans échec...

MisteryBean · Answer

RE_

Bizarre , ça ne devrait pas mettre ce message :-(

On va tout virer manuellement en mode normal , fais ceci : 

--> Dans cortana/rechercher , tapes CMD
--> Clic droit sur invite de commande et exécuter en tant qu'administrateur
--> Dans l'invite ,copie/colles ce qui suit (une ligne par ligne) et valides par entrée
--> Un fichier KIS.txt sera créé à la racine de C: postes le ici https://up.security-x.fr/ et donnes le lien obtenus dans ton prochain message

reg query "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall" /s >> c:\KIS.txt

reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall" /s >> c:\KIS.txt 

--------------
-------------------------------

Relances un scan FRST et postes les nouveaux rapports .

Trois fichiers attendus : KIS.txt / FRST / Addition

Klint · Answer

Ok merci !!

Voici les 3 rapports : 

KIS : https://up.security-x.fr/file.php?h=R82995eeaed35d1e8807c37feac345be2
FRST : https://up.security-x.fr/file.php?h=R7579e7a3edad3c3f0353bce5ccd64d8e
Addition : https://up.security-x.fr/file.php?h=Rcc8ecac59563503c65a8281166238e4d

MisteryBean · Answer

RE_

OK , il me faudrait un autre rapport .

Ouvres FRST en administrateur , copie/colles {4633f099-7f92-4115-a0c8-055388aa1428}  dans la fenêtre de recherche (fenêtre blanche) , puis cliques sur chercher fichiers , un fichier search.txt est créé , postes le

Klint · Answer

Voici le résultat : 

Farbar Recovery Scan Tool (x64) Version: 02-06-2021
Exécuté par fauch (04-06-2021 16:09:50)
Exécuté depuis C:\Users\fauch\Desktop\FRST
Mode d'amorçage: Normal

================== Chercher Fichiers: "{4633f099-7f92-4115-a0c8-055388aa1428}" =============
 Fin de Chercher

MisteryBean · Answer

RE_

Où est ce qu'il se planque :-( 

Refait la procédure d'ici : https://forums.commentcamarche.net/forum/affich-37050184-stiky-notes-virus?page=2#26 avec cette ligne ci dessous

reg query "HKEY_USERS\S-1-5-21-4002426620-4048338870-2653177955-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall" /s >> c:\KIS.txt

MisteryBean · Answer

RE_

OK , il est bien là, on va pouvoir le virer .

Après le correctif , tu ne devrais plus avoir les KIS ni le programme chelou 

--------------
--------------------------------

--> Copie ce qui se trouve ici : https://textup.fr/557444Qz  de start:: à end:: (sans le coller nulle part)

--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger
Si FRST semble se bloquer ou ne répond pas , laisse tourner

--> Un fichier fixlog est créé au même endroit que FRST , postes le

--> Dis moi si tu as toujours le problème .

MisteryBean · Answer

Ok , pour moi , c'est bon , le dossier associé au programme chelou été supprimé , et pour KIS , il ne restait que deux clés de registre .

Pour supprimer automatiquement tous les fichiers/dossiers créés par FRST et l'outil lui-même, renomme FRST/FRST64.exe en uninstall.exe et exécute-le. 

La procédure nécessite un redémarrage 

Bonne continuation ;-)

Stiky Notes Virus

28 réponses

Fin de Chercher

Discussions similaires

Newsletters