[Résolu] Une page Decorator s'ouvre inopinément

[fifi29]

bonjour a tous et passez de bonnes fêtes

sur mon pc j'ai une page decorator qui s'ouvre aléatoirement

j'ai passer , adwcleaner , roguekiller , zhpcleaner et jrt ... il persite

malwarebytes bloque sur analyse mémoire .

après zhp cleaner le pc redémarre mais bloque avant le bureau

donc me voila vous demandez de l'aide

merci

1° rapport zhp cleaner

 

~ ZHPCleaner v2019.12.29.164 by Nicolas Coolman (2019/12/29)
~ Run by delphine (Administrator)  (30/12/2019 14:29:29)
~ Web: https://www.nicolascoolman.com
~ Blog: https://nicolascoolman.eu/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version OK
~ Type : Scanner
~ Report : C:\Users\delphine\Desktop\ZHPCleaner (S).txt
~ Quarantine : C:\Users\delphine\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ System Restore Point :
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 8 Pro, 64-bit  (Build 9200)

---\\  ALTERNATE DATA STREAM (ADS). (0)
~ Aucun élément malicieux ou superflu trouvé.

---\\  SERVICE. (0)
~ Aucun élément malicieux ou superflu trouvé.

---\\  NAVIGATEUR INTERNET. (0)
~ Aucun élément malicieux ou superflu trouvé.

---\\  FICHIER HÔTE. (1)
~ Le fichier hôte est légitime. (57)

---\\  TÂCHE PLANIFIÉE. (1)
TROUVÉ tâche: [KMSAutoNet] [C:\ProgramData\KMSAutoS\KMSAuto Net.exe (Not File) ]  =>HackTool.AutoKMS

---\\  EXPLORATEUR  ( Dossiers, Fichiers ). (6)
TROUVÉ fichier: C:\Users\delphine\AppData\Local\Temp\CProgram Files (x86)Opera65.0.3467.78opera_autoupdate.download.lock    =>.SUP.Temporary.Opera
TROUVÉ fichier: C:\Users\delphine\AppData\Local\Temp\CProgram Files (x86)Opera65.0.3467.78opera_autoupdate.metrics.lock    =>.SUP.Temporary.Opera
TROUVÉ fichier: C:\Users\delphine\AppData\Local\Temp\WER4EFA.tmp.hdmp    =>.SUP.Temporary.Empty
TROUVÉ fichier: C:\Users\delphine\AppData\Local\Temp\WEREAF.tmp.hdmp    =>.SUP.Temporary.Empty
TROUVÉ fichier: C:\Users\delphine\AppData\Local\Temp\WERF4B8.tmp.hdmp    =>.SUP.Temporary.Empty
TROUVÉ fichier: C:\Users\delphine\AppData\Local\Temp\WERF4C.tmp.dmp    =>.SUP.Temporary.Empty

---\\  BASE DE REGISTRES ( Clés, Valeurs, Données ). (3)
TROUVÉ clé: [X64] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\KMSAutoNet []  =>HackTool.WinActivator
TROUVÉ valeur: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\\C:\Users\delphine\Downloads\Microsoft Toolkit.exe.FriendlyAppName [Microsoft Toolkit]  =>.SUP.Orphan.MUICache
TROUVÉ valeur: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\\C:\Program Files (x86)\voigt\Campeche.exe.FriendlyAppName [Campeche]  =>.SUP.Orphan.MUICache

---\\  RÉCAPITULATIF DES ÉLÉMENTS TROUVÉS SUR VOTRE STATION. (5)
https://nicolascoolman.eu/2017/02/02/hacktool-autokms/ =>HackTool.AutoKMS
https://nicolascoolman.eu/2017/01/20/logiciels-superflus/ =>.SUP.Temporary.Opera
https://nicolascoolman.eu/2017/01/20/logiciels-superflus/ =>.SUP.Temporary.Empty
https://nicolascoolman.eu/2017/01/13/hacktool-winactivator/ =>HackTool.WinActivator
https://nicolascoolman.eu/2017/01/20/logiciels-superflus/ =>.SUP.Orphan.MUICache

---\\ BILAN DE LA REPARATION
~ Aucune réparation effectuée.
~ Google Chrome OK
~ Mozilla Firefox OK
~ Internet Explorer OK
~ Opera OK

---\\ STATISTIQUES
~ Items scannés : 121519
~ Items trouvés : 12
~ Items annulés : 0
~ Items options : 13/13
~ Gain de place (Octets) : 15022752

~ End of search in 00h32mn17s

---\\  LISTE DES RAPPORTS (3)
ZHPCleaner-[R]-29122019-11_40_43.txt
ZHPCleaner--29122019-11_36_52.txt
ZHPCleaner--30122019-15_01_46.txt

 

 

rapport après nettoyage

~ ZHPCleaner v2019.12.29.164 by Nicolas Coolman (2019/12/29)
~ Run by delphine (Administrator)  (30/12/2019 15:41:19)
~ Web: https://www.nicolascoolman.com
~ Blog: https://nicolascoolman.eu/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version OK
~ Type : Nettoyer
~ Report : C:\Users\delphine\Desktop\ZHPCleaner (R).txt
~ Quarantine : C:\Users\delphine\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ System Restore Point : OK
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 8 Pro, 64-bit  (Build 9200)

---\\  ALTERNATE DATA STREAM (ADS). (0)
~ Aucun élément malicieux ou superflu trouvé.

---\\  SERVICE. (0)
~ Aucun élément malicieux ou superflu trouvé.

---\\  NAVIGATEUR INTERNET. (0)
~ Aucun élément malicieux ou superflu trouvé.

---\\  FICHIER HÔTE. (1)
~ Le fichier hôte est légitime. (57)

---\\  TÂCHE PLANIFIÉE. (1)
SUPPRIMÉ tâche: [KMSAutoNet] [C:\ProgramData\KMSAutoS\KMSAuto Net.exe (Not File) ]  =>HackTool.AutoKMS

---\\  EXPLORATEUR  ( Dossiers, Fichiers ). (6)
DEPLACÉ fichier: C:\Users\delphine\AppData\Local\Temp\CProgram Files (x86)Opera65.0.3467.78opera_autoupdate.download.lock    =>.SUP.Temporary.Opera
DEPLACÉ fichier: C:\Users\delphine\AppData\Local\Temp\CProgram Files (x86)Opera65.0.3467.78opera_autoupdate.metrics.lock    =>.SUP.Temporary.Opera
DEPLACÉ fichier: C:\Users\delphine\AppData\Local\Temp\WER4EFA.tmp.hdmp    =>.SUP.Temporary.Empty
DEPLACÉ fichier: C:\Users\delphine\AppData\Local\Temp\WEREAF.tmp.hdmp    =>.SUP.Temporary.Empty
DEPLACÉ fichier: C:\Users\delphine\AppData\Local\Temp\WERF4B8.tmp.hdmp    =>.SUP.Temporary.Empty
DEPLACÉ fichier: C:\Users\delphine\AppData\Local\Temp\WERF4C.tmp.dmp    =>.SUP.Temporary.Empty

---\\  BASE DE REGISTRES ( Clés, Valeurs, Données ). (3)
SUPPRIMÉ clé^: [X64] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\KMSAutoNet []  =>HackTool.WinActivator
SUPPRIMÉ valeur: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\\C:\Users\delphine\Downloads\Microsoft Toolkit.exe.FriendlyAppName [Microsoft Toolkit]  =>.SUP.Orphan.MUICache
SUPPRIMÉ valeur: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\\C:\Program Files (x86)\voigt\Campeche.exe.FriendlyAppName [Campeche]  =>.SUP.Orphan.MUICache

---\\  RÉCAPITULATIF DES ÉLÉMENTS TROUVÉS SUR VOTRE STATION. (5)
https://nicolascoolman.eu/2017/02/02/hacktool-autokms/ =>HackTool.AutoKMS
https://nicolascoolman.eu/2017/01/20/logiciels-superflus/ =>.SUP.Temporary.Opera
https://nicolascoolman.eu/2017/01/20/logiciels-superflus/ =>.SUP.Temporary.Empty
https://nicolascoolman.eu/2017/01/13/hacktool-winactivator/ =>HackTool.WinActivator
https://nicolascoolman.eu/2017/01/20/logiciels-superflus/ =>.SUP.Orphan.MUICache

---\\  NETTOYAGE ADDITIONNEL. (11)
~ Suppression des Clés de registre Tracing. (11)
~ Suppression des anciens rapports ZHPCleaner. (0)

---\\ BILAN DE LA REPARATION
~ Réparation réalisée avec succès.
~ Google Chrome OK
~ Mozilla Firefox OK
~ Internet Explorer OK
~ Opera OK
~ Le système a été redémarré.

---\\ STATISTIQUES
~ Items scannés : 1588
~ Items trouvés : 0
~ Items annulés : 0
~ Items options : 13/13
~ Gain de place (Octets) : 15022752

~ End of clean in 00h00mn25s

---\\  LISTE DES RAPPORTS (4)
ZHPCleaner-[R]-29122019-11_40_43.txt
ZHPCleaner--29122019-11_36_52.txt
ZHPCleaner--30122019-15_01_46.txt
ZHPCleaner-[R]-30122019-15_41_44.txt

 

 

Modifié le 4 janvier 2020 par fifi29

[fifi29]

capture d'écran de la mémoire juste en utilisant internet

et des processus ou l'on voit decorator

[longaripa]

Bonjour 

Nous allons commencer par établir un diagnostic du PC . Pour cela , 
Télécharger Farbar Recovery Scan Tool (de Farbar) sur le Bureau.(IMPORTANT)
Attention: Il faut  lancer la version compatible avec  le  système : 32 ou  64bits.
Cliquer ici pour la version 32 bits
Cliquer ici pour la version 64 bits
Info : comment savoir quelle version de Windows j'utilise ?
Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

• Faire un click droit  sur l'outil, puis executer en tant qu'administrateur pour le lancer. Quand l'outil se lance, cliquer sur Oui pour accepter le disclaimer.
• Cliquer sur le bouton  Analyser. .

  

• L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
  

• A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt.

 
Poster les deux rapports générés.

[*]Pour les rapports, merci d'utiliser ce service de rapport en ligne : déposer le fichier via "parcourir" et poster simplement les liens obtenus dans votre réponse.
Une aide à l'utilisation ici

Sont attendus  les rapports : 
frst.txt
addition.txt
 

[fifi29]

bonjour et merci longaripa de ton aide

voici les rapports

https://up.security-x.fr/file.php?h=R3fbe18fbeb16f6720dd822b74adbb38d

https://up.security-x.fr/file.php?h=R5068ba2211ecbd7f1df2cc75510ee98c

 

 

[longaripa]

Re 

Il y a quelques parasites à nettoyer.

FRST - Correctif :

• Fermer toutes les applications, y compris le navigateur
• Exécuter FRST64.exe par clic-droit -> Exécuter en tant qu'administrateur
• Copier la totalité du contenu, de Start:: à End:: (clic-droit -> Sélectionner -> Copier) de ce correctif hébergé ici -> https://textup.fr/393193pz
• Inutile de le coller , ca sera fait automatiquement par le programme. Il faut juste copier .
• Sur le menu principal de FRST, cliquer une seule fois sur Corriger et patienter le temps de la correction
  
• Accepter le redémarrage du système si demandé
• L'outil va créer un rapport de correction Fixlog.txt. Poster ce rapport dans la prochaine réponse.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

1 rapport à poster 
Fixlog.txt.

[fifi29]

voici donc le rapport

https://up.security-x.fr/file.php?h=R8ac30e0af1479649501f28d1c3340a75

mais decorator viens de s'ouvrir encore

fallait il marquer Start:: à End:: avec le copier

car j'ai mis

[longaripa]

Il résiste, le bougre? 

refaites une analyse avec FRST et postez les 2 rapports, frst.txt et addition.txt , comme dans mon 1er message

[fifi29]

re voici  2° rapport

https://up.security-x.fr/file.php?h=Rc6a88ff7e08c84b2167f1e4fd961972d

https://up.security-x.fr/file.php?h=Rdf31a3d07069d3670a62b48285aee891

merci et bonne année 2020 a toi et toutes l'équipe

[longaripa]

Bonjour et bonne année 2020 

Un autre correctif .
Apres celui-ci, une fois que le PC aura redémarré, faire une analyse avec MBAM (Malwarebytes Anti-Malware) 

Poster les 2 rapports

 

FRST - Correctif :

• Fermer toutes les applications, y compris le navigateur
• Exécuter FRST64.exe par clic-droit -> Exécuter en tant qu'administrateur
• Copier la totalité du contenu, de Start:: à End:: (clic-droit -> Sélectionner -> Copier) de ce correctif hébergé ici -> https://textup.fr/393315L2
  
• Inutile de le coller , ca sera fait automatiquement par le programme. Il faut juste copier .
  
• Sur le menu principal de FRST, cliquer une seule fois sur Corriger et patienter le temps de la correction
  
  
• Accepter le redémarrage du système si demandé
  
• L'outil va créer un rapport de correction Fixlog.txt. Poster ce rapport dans la prochaine réponse.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

1 rapport à poster 
Fixlog.txt.

[fifi29]

bon voila le rapport fixlog

https://up.security-x.fr/file.php?h=R7b175f55bb6e931e658e3c08cba77818

malwarebytes plante a système