Besoin d'aide avec HOWDECRYPT

Résolu
pepito0910 Messages postés 23 Statut Membre -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour, un de plus avec une infection HOWDECRYPT, j'attend l'analyse de OTL pour vous la joindre, en espérant de l'aide, par contre j'ai également le problème "HOWDECRYPT" sur mes fichiers d'un disque dur externe comment faire pour le désinfecter également;
Merci d'avance

15 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut

    Donne le rapport OTL par http://pjjoint.malekal.com
    0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Relance OTL.
    o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
    Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

    :OTL
    O4 - HKLM..\Run: [zabjphbqnuvngqsy] C:\Windows\System32\regsvr32.exe /s C:\Windows\system32\gwvriqkopajt.dll File not found
    O4 - HKU\S-1-5-21-3016743959-2249549722-1569044802-1000..\Run: [Crypto processor] C:\Users\KNY~1\AppData\Local\Temp\003f88fe.exe ()
    O4 - HKU\S-1-5-21-3016743959-2249549722-1569044802-1000..\RunOnce: [26f8sc] C:\ProgramData\kojllk\diabrha.exe ()
    O4 - HKU\.DEFAULT..\RunOnce: [26f8sc] C:\ProgramData\kojllk\diabrha.exe ()
    O4 - HKU\S-1-5-18..\RunOnce: [26f8sc] C:\ProgramData\kojllk\diabrha.exe ()
    O4 - HKU\S-1-5-21-3016743959-2249549722-1569044802-1000..\RunOnce: [dgk86p] C:\ProgramData\nyyrvd\tuqvdtf.exe (VolDev Software)
    O20 - HKU\S-1-5-21-3016743959-2249549722-1569044802-1000 Winlogon: Shell - (C:\Users\kény\AppData\Roaming\skype.dat) - File not found
    O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
    O20 - HKU\.DEFAULT Winlogon: Shell - (C:\ProgramData\oyyscuv\odataq.exe) - C:\ProgramData\oyyscuv\odataq.exe ()
    O20 - HKU\S-1-5-18 Winlogon: Shell - (C:\ProgramData\oyyscuv\odataq.exe) - C:\ProgramData\oyyscuv\odataq.exe ()
    [2014/01/27 17:38:36 | 000,000,000 | ---D | C] -- C:\ProgramData\jvugc
    [2014/01/27 17:38:30 | 000,000,000 | ---D | C] -- C:\ProgramData\qxtot
    [2014/01/27 17:38:30 | 000,000,000 | ---D | C] -- C:\ProgramData\qouvwj
    [2014/01/27 17:38:30 | 000,000,000 | ---D | C] -- C:\ProgramData\hmkta
    [2014/01/27 17:38:29 | 000,000,000 | ---D | C] -- C:\ProgramData\bfo
    [2014/01/27 17:06:48 | 000,000,000 | ---D | C] -- C:\ProgramData\lkeorrj
    [2014/02/20 19:59:35 | 000,000,000 | ---D | C] -- C:\ProgramData\nyyrvd
    [2014/02/20 19:59:35 | 000,000,000 | ---D | C] -- C:\ProgramData\dsx
    [2014/02/20 19:59:32 | 000,000,000 | ---D | C] -- C:\ProgramData\jpdltt
    [2014/02/20 11:28:25 | 000,000,000 | ---D | C] -- C:\ProgramData\oyyscuv
    [2014/01/30 11:18:12 | 000,000,000 | ---D | C] -- C:\ProgramData\kojllk
    [2014/01/30 11:18:11 | 000,000,000 | ---D | C] -- C:\ProgramData\spx
    [2014/01/30 11:18:03 | 000,000,000 | ---D | C] -- C:\ProgramData\psywtqg

    * poste le rapport ici

    ~~~

    Zip le dossier C:\_OTL
    Ouvre Mon Ordinateur / Poste de travail => Disque C
    Tu dois voir le dossier _OTL, ouvre le.
    Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
    Dessus, fais : Clic droit / Envoyer vers dossier compressé.
    Cela va créer un fichier MovedFiles.zip
    Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com

    Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.

    ~~

    Un nettoyage AdwCleaner (environ 10/15min) :
    ======================================
    Suis ce tutorial https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= AdwCleaner ( d'Xplode ) sur ton bureau.
    Vas sur le lien, télécharge AdwCleaner comme indiqué.
    Lance AdwCleaner, clique sur [Scanner].
    Le scan peux durer plusieurs minutes, patienter.
    Une fois le scan terminé, clique sur [Nettoyer]

    Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
    Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    ~~

    Scan Malwarebytes :
    ===================
    Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    Mets le à jour, fais un scan rapide, supprime tout et copie/colle le rapport ici dans une nouvelle réponse.
    !!! Malwarebyte doit être à jour avant de faire le scan !!!
    Coche tout ce qui est détecté en faisant un clic droit sur la liste puis cocher tout
    puis bouton supprimer sélection pour tout supprimer.

    si Malwarebytes demande de redémarrer le PC, redémarre le avant de passer à l'étape suivante.

    0
  3. pepito0910 Messages postés 23 Statut Membre
     
    Première partie effectuée

    ========== OTL ==========
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\zabjphbqnuvngqsy deleted successfully.
    Registry value HKEY_USERS\S-1-5-21-3016743959-2249549722-1569044802-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Crypto processor deleted successfully.
    C:\Users\KNY~1\AppData\Local\Temp\003f88fe.exe moved successfully.
    Registry value HKEY_USERS\S-1-5-21-3016743959-2249549722-1569044802-1000\Software\Microsoft\Windows\CurrentVersion\RunOnce\\26f8sc deleted successfully.
    C:\ProgramData\kojllk\diabrha.exe moved successfully.
    Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce\\26f8sc deleted successfully.
    File C:\ProgramData\kojllk\diabrha.exe not found.
    Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce\\26f8sc not found.
    File C:\ProgramData\kojllk\diabrha.exe not found.
    Registry value HKEY_USERS\S-1-5-21-3016743959-2249549722-1569044802-1000\Software\Microsoft\Windows\CurrentVersion\RunOnce\\dgk86p deleted successfully.
    C:\ProgramData\nyyrvd\tuqvdtf.exe moved successfully.
    Registry delete failed. HKEY_USERS\S-1-5-21-3016743959-2249549722-1569044802-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Users\kény\AppData\Roaming\skype.dat scheduled to be deleted on reboot.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\VMApplet:SystemPropertiesPerformance.exe deleted successfully.
    File move failed. C:\Windows\System32\SystemPropertiesPerformance.exe scheduled to be moved on reboot.
    Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\ProgramData\oyyscuv\odataq.exe deleted successfully.
    C:\ProgramData\oyyscuv\odataq.exe moved successfully.
    Registry value HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\ProgramData\oyyscuv\odataq.exe deleted successfully.
    File C:\ProgramData\oyyscuv\odataq.exe not found.
    C:\ProgramData\jvugc folder moved successfully.
    C:\ProgramData\qxtot folder moved successfully.
    C:\ProgramData\qouvwj folder moved successfully.
    C:\ProgramData\hmkta folder moved successfully.
    C:\ProgramData\bfo folder moved successfully.
    C:\ProgramData\lkeorrj folder moved successfully.
    Folder move failed. C:\ProgramData\nyyrvd scheduled to be moved on reboot.
    C:\ProgramData\dsx folder moved successfully.
    C:\ProgramData\jpdltt folder moved successfully.
    C:\ProgramData\oyyscuv folder moved successfully.
    Folder move failed. C:\ProgramData\kojllk scheduled to be moved on reboot.
    C:\ProgramData\spx folder moved successfully.
    C:\ProgramData\psywtqg folder moved successfully.

    OTL by OldTimer - Version 3.2.69.0 log created on 02212014_095003

    Files\Folders moved on Reboot...
    File move failed. C:\Windows\System32\SystemPropertiesPerformance.exe scheduled to be moved on reboot.
    C:\ProgramData\nyyrvd folder moved successfully.
    C:\ProgramData\kojllk folder moved successfully.

    PendingFileRenameOperations files...

    Registry entries deleted on Reboot...
    Registry value HKEY_USERS\S-1-5-21-3016743959-2249549722-1569044802-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Users\kény\AppData\Roaming\skype.dat deleted successfully.
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. pepito0910 Messages postés 23 Statut Membre
     
    impossible d'effectuer la deuxième étape:
    "Zip le dossier C:\_OTL
    Ouvre Mon Ordinateur / Poste de travail => Disque C
    Tu dois voir le dossier _OTL, ouvre le.
    Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
    Dessus, fais : Clic droit / Envoyer vers dossier compressé.
    Cela va créer un fichier MovedFiles.zip
    "

    Car apres envoyer vers dossier compressé cela me marque:
    "fichier introuvable ou lecture non autorisée"
    j'appuie sur OK et le fichier ZIP disparait
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      c'est pas ton antivirus qui le vire ?
      0
    2. pepito0910 Messages postés 23 Statut Membre
       
      c'est bien ça
      0
    3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      désactive ton antivirus pour faire l'envoi.
      0
    4. pepito0910 Messages postés 23 Statut Membre
       
      J'arrive pas a envoyer le fichier ZIP, j'ai réussi a le créer, comment faire pour désactiver entierement AVIRA
      Sinon voici le deuxième rapport:

      # AdwCleaner v3.019 - Rapport créé le 21/02/2014 à 10:28:06
      # Mis à jour le 17/02/2014 par Xplode
      # Système d'exploitation : Windows Se7en Titan (32 bits)
      # Nom d'utilisateur : kény - PCNEFERTITI
      # Exécuté depuis : C:\Users\kény\Desktop\adwcleaner.exe
      # Option : Nettoyer

      ***** [ Services ] *****

      Service Supprimé : fe885e3d
      [#] Service Supprimé : Software_update
      [#] Service Supprimé : Software_update_m
      Service Supprimé : WajamUpdaterV3

      ***** [ Fichiers / Dossiers ] *****

      Dossier Supprimé : C:\ProgramData\BoxUpdChk
      Dossier Supprimé : C:\ProgramData\eSafe
      Dossier Supprimé : C:\ProgramData\House Of Soft
      Dossier Supprimé : C:\ProgramData\Viewpoint
      Dossier Supprimé : C:\ProgramData\YoutubeAdblocker
      Dossier Supprimé : C:\ProgramData\greatsaver
      /!\ Non Supprimé ( Junction ) : C:\ProgramData\YoutubeAdblocker
      Dossier Supprimé : C:\Program Files\Babylon
      Dossier Supprimé : C:\Program Files\Boxore
      Dossier Supprimé : C:\Program Files\Conduit
      Dossier Supprimé : C:\Program Files\Fast Browser Search
      Dossier Supprimé : C:\Program Files\fileopenerpro
      Dossier Supprimé : C:\Program Files\GS-Enabler
      Dossier Supprimé : C:\Program Files\MediaPlayerV1
      Dossier Supprimé : C:\Program Files\Search Guard Plus
      Dossier Supprimé : C:\Program Files\Search Guard PlusU
      Dossier Supprimé : C:\Program Files\SGPSA
      Dossier Supprimé : C:\Program Files\VideoPlayerV3
      Dossier Supprimé : C:\Program Files\Viewpoint
      Dossier Supprimé : C:\Program Files\Wajam
      Dossier Supprimé : C:\Program Files\WebAdSystem
      Dossier Supprimé : C:\Program Files\YoutubeAdblocker
      Dossier Supprimé : C:\Program Files\greatsaver
      Dossier Supprimé : C:\Program Files\myBabylon_English
      Dossier Supprimé : C:\Users\kény\AppData\Local\KalityWeb
      Dossier Supprimé : C:\Users\kény\AppData\Local\lollipop
      Dossier Supprimé : C:\Users\kény\AppData\Local\SwvUpdater
      Dossier Supprimé : C:\Users\kény\AppData\Local\torch
      Dossier Supprimé : C:\Users\kény\AppData\Local\Wajam
      Dossier Supprimé : C:\Users\kény\AppData\LocalLow\Conduit
      Dossier Supprimé : C:\Users\kény\AppData\LocalLow\myBabylon_English
      Dossier Supprimé : C:\Users\kény\AppData\Roaming\DigitalSites
      Dossier Supprimé : C:\Users\kény\AppData\Roaming\EZDownloader
      Dossier Supprimé : C:\Users\kény\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Lollipop
      Dossier Supprimé : C:\Users\kény\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wajam
      Dossier Supprimé : C:\Program Files\Software
      Dossier Supprimé : C:\Users\kény\AppData\Roaming\Mozilla\Firefox\Profiles\w89mrhxs.default\Extensions\staged
      Dossier Supprimé : C:\Users\kény\AppData\Roaming\Mozilla\Firefox\Profiles\w89mrhxs.default\Extensions\{8FA0ED66-728B-577E-C7A1-7F68BA822B9C}
      Dossier Supprimé : C:\Users\kény\AppData\Local\Google\Chrome\User Data\Default\Extensions\ifohbjbgfchkkfhphahclmkpgejiplfo
      Dossier Supprimé : C:\Users\kény\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp
      Dossier Supprimé : C:\Users\kény\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbpohikckhbcljgombipcdoinkaedlfa
      Fichier Supprimé : C:\END
      Fichier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WebAdSystem.lnk
      Fichier Supprimé : C:\Program Files\Mozilla Firefox\searchplugins\qone8.xml
      Fichier Supprimé : C:\Users\kény\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtab.crx
      Fichier Supprimé : C:\Users\kény\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_ifohbjbgfchkkfhphahclmkpgejiplfo_0.localstorage
      Fichier Supprimé : C:\Windows\System32\Tasks\BoxSoftwareUpdate
      Fichier Supprimé : C:\Windows\Tasks\SoftwareUpdateTaskMachineCore.job
      Fichier Supprimé : C:\Windows\System32\Tasks\SoftwareUpdateTaskMachineCore
      Fichier Supprimé : C:\Windows\Tasks\SoftwareUpdateTaskMachineUA.job
      Fichier Supprimé : C:\Windows\System32\Tasks\SoftwareUpdateTaskMachineUA

      ***** [ Raccourcis ] *****


      ***** [ Registre ] *****

      Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\cekcjpgehmohobmdiikfnopibipmgnml
      Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\ifohbjbgfchkkfhphahclmkpgejiplfo
      Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp
      [#] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{5794624A-8832-4D9F-AFAF-77D34B75E9B5}
      [#] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5794624A-8832-4D9F-AFAF-77D34B75E9B5}
      [#] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{0F44827C-5DE7-4B7A-901F-BD4F0A4ED992}
      [#] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0F44827C-5DE7-4B7A-901F-BD4F0A4ED992}
      [#] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{A6171DB2-117A-4B8F-8164-D1447E7844CD}
      [#] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A6171DB2-117A-4B8F-8164-D1447E7844CD}
      Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\New Windows\Allow [*.crossrider.com]
      Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\WLXQuickTimeShellExt.DLL
      Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl
      Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl.1
      Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary
      Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary.1
      Clé Supprimée : HKLM\SOFTWARE\Classes\CrossriderApp0002258.BHO.1
      Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
      Clé Supprimée : HKLM\SOFTWARE\Classes\protector_dll.protectorbho
      Clé Supprimée : HKLM\SOFTWARE\Classes\protector_dll.protectorbho.1
      Clé Supprimée : HKLM\SOFTWARE\Classes\SoftwareUpdate.CoreClass
      Clé Supprimée : HKLM\SOFTWARE\Classes\SoftwareUpdate.CoreClass.1
      Clé Supprimée : HKLM\SOFTWARE\Classes\SoftwareUpdate.OnDemandCOMClassMachine
      Clé Supprimée : HKLM\SOFTWARE\Classes\SoftwareUpdate.OnDemandCOMClassMachine.1.0
      Clé Supprimée : HKLM\SOFTWARE\Classes\Updater.AmiUpd
      Clé Supprimée : HKLM\SOFTWARE\Classes\Updater.AmiUpd.1
      Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow [*.crossrider.com]
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASAPI32
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASMANCS
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\au__rasapi32
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\au__rasmancs
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\boxore_RASAPI32
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\boxore_RASMANCS
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\I Want This_RASAPI32
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\I Want This_RASMANCS
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\UpdateTask_RASAPI32
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\UpdateTask_RASMANCS
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\wajam_download_RASAPI32
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\wajam_download_RASMANCS
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\wajam_install_rasapi32
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\wajam_install_rasmancs
      Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [WebAdSystem]
      Clé Supprimée : HKLM\SOFTWARE\MozillaPlugins\@tools.Software.com/Software Update;version=3
      Clé Supprimée : HKLM\SOFTWARE\MozillaPlugins\@tools.Software.com/Software Update;version=9
      Clé Supprimée : HKLM\SOFTWARE\MozillaPlugins\@viewpoint.com/VMP
      Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WajamUpdater
      Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WsysSvc
      Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT1460988
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_pour_arcsoft-print-creations_RASAPI32
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SoftonicDownloader_pour_arcsoft-print-creations_RASMANCS
      Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{0A18A436-2A7A-49F3-A488-30538A2F6323}
      Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17}
      Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{007EFBDF-8A5D-4930-97CC-A4B437CBA777}
      Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
      Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{08C06D61-F1F3-4799-86F8-BE1A89362C85}
      Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
      Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
      Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
      Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{67BD9EEB-AA06-4329-A940-D250019300C9}
      Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{761F6A83-F007-49E4-8EAC-CDB6808EF06F}
      Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{76C45B18-A29E-43EA-AAF8-AF55C2E1AE17}
      Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{96EF404C-24C7-43D0-9096-4CCC8BB7CCAC}
      Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{97720195-206A-42AE-8E65-260B9BA5589F}
      Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{97D69524-BB57-4185-9C7F-5F05593B771A}
      Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{986F7A5A-9676-47E1-8642-F41F8C3FCF82}
      Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{B18788A4-92BD-440E-A4D1-380C36531119}
      Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
      Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{B2E293EE-FD7E-4C71-A714-5F4750D8D7B7}
      Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{FE43409D-F520-4896-A1B0-A4D4D98ABB6C}
      Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{D14ED2E1-C75B-443c-BD7C-333333333310}
      Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{D14ED2E1-C75B-443c-BD7C-333333333313}
      Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
      Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{9EDC0C90-2B5B-4512-953E-35767BAD5C67}
      Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{55555555-5555-5555-5555-550055225558}
      Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{66666666-6666-6666-6666-660066226658}
      Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{77777777-7777-7777-7777-770077227758}
      Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{03F998B2-0E00-11D3-A498-00104B6EB52E}
      Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{08C06D61-F1F3-4799-86F8-BE1A89362C85}
      Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{91C18ED5-5E1C-4AE5-A148-A861DE8C8E16}
      Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9CFACCB6-2F3F-4177-94EA-0D2B72D384C1}
      Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F0626A63-410B-45E2-99A1-3F2475B2D695}
      Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F72841F0-4EF1-4DF5-BCE5-B3AC8ACF5478}
      Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B2E293EE-FD7E-4C71-A714-5F4750D8D7B7}
      Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{9CFACCB6-2F3F-4177-94EA-0D2B72D384C1}
      Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{B2E293EE-FD7E-4C71-A714-5F4750D8D7B7}
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{FE43409D-F520-4896-A1B0-A4D4D98ABB6C}
      Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
      Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
      Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4FC7-90CC-5EA0ABBE9EB8}
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
      Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{B2E293EE-FD7E-4C71-A714-5F4750D8D7B7}]
      Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{B2E293EE-FD7E-4C71-A714-5F4750D8D7B7}]
      Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{08C06D61-F1F3-4799-86F8-BE1A89362C85}]
      Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks [{B2E293EE-FD7E-4C71-A714-5F4750D8D7B7}]
      Donnée Restaurée : HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
      Donnée Restaurée : HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command
      Clé Supprimée : HKCU\Software\Boxore
      Clé Supprimée : HKCU\Software\Cr_Installer
      Clé Supprimée : HKCU\Software\dsiteproducts
      Clé Supprimée : HKCU\Software\FBSearch
      Clé Supprimée : HKCU\Software\Grand Virtual
      Clé Supprimée : HKCU\Software\KalityWeb
      Clé Supprimée : HKCU\Software\lollipop
      Clé Supprimée : HKCU\Software\SGPUpdater
      Clé Supprimée : HKCU\Software\Softonic
      Clé Supprimée : HKCU\Software\Wajam
      Clé Supprimée : HKCU\Software\YahooPartnerToolbar
      Clé Supprimée : HKCU\Software\AppDataLow\{5F189DF5-2D05-472B-9091-84D9848AE48B}
      Clé Supprimée : HKCU\Software\AppDataLow\HavingFunOnline
      Clé Supprimée : HKCU\Software\AppDataLow\Toolbar
      Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit
      Clé Supprimée : HKCU\Software\AppDataLow\Software\Crossrider
      Clé Supprimée : HKCU\Software\AppDataLow\Software\myBabylon_English
      Clé Supprimée : HKLM\Software\{3A7D3E19-1B79-4E4E-BD96-5467DA2C4EF0}
      Clé Supprimée : HKLM\Software\{5F189DF5-2D05-472B-9091-84D9848AE48B}
      Clé Supprimée : HKLM\Software\Boxore
      Clé Supprimée : HKLM\Software\Conduit
      Clé Supprimée : HKLM\Software\dt soft\daemon tools toolbar
      Clé Supprimée : HKLM\Software\eSafeSecControl
      Clé Supprimée : HKLM\Software\KalityWeb
      Clé Supprimée : HKLM\Software\MetaStream
      Clé Supprimée : HKLM\Software\qone8Software
      Clé Supprimée : HKLM\Software\Viewpoint
      Clé Supprimée : HKLM\Software\Wajam
      Clé Supprimée : HKLM\Software\myBabylon_English
      Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Digital Sites
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{4820778D-AB0D-6D18-C316-52A6A0E1D507}
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{CA2B24FD-EE10-42B9-B049-AA80268E7E21}
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{CA41BB14-E67B-1653-C57B-5CA99418A866}
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Search Guard Plus Updater
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Search Guard Plus
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Wajam
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\myBabylon_English Toolbar
      Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\08121C32A9C319F4CB0C11FF059552A4
      Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\38D5CDD0A851B3940A43CC50ABBA251C
      Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\AAC05EAA51DC78A41A1DCE3B31038584
      Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\BA71D41F6CC0B6247B05D473850A8AEA
      Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\CA0054A5AB3EFFE4CB5660E44A1E7DCC
      Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\DF42B2AC01EE9B240B94AA0862E8E712
      Clé Supprimée : HKLM\Software\Classes\Installer\Features\DF42B2AC01EE9B240B94AA0862E8E712
      Clé Supprimée : HKLM\Software\Classes\Installer\Products\DF42B2AC01EE9B240B94AA0862E8E712
      Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\1C875DDE39636004CA8CDAEC335B4160

      ***** [ Navigateurs ] *****

      -\\ Internet Explorer v8.0.7600.16700

      Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Default_Page_URL]
      Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Page_URL]
      Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Start Page]

      -\\ Mozilla Firefox v3.6.12 (fr)

      [ Fichier : C:\Users\kény\AppData\Roaming\Mozilla\Firefox\Profiles\w89mrhxs.default\prefs.js ]

      Ligne Supprimée : user_pref("browser.newtab.url", "hxxp://start.qone8.com/newtab/?type=nt&ts=1383578795&from=adks&uid=ST9160827AS_5RF148GG");
      Ligne Supprimée : user_pref("browser.search.defaultenginename", "qone8");
      Ligne Supprimée : user_pref("browser.search.selectedEngine", "qone8");
      Ligne Supprimée : user_pref("browser.startup.homepage", "hxxp://start.qone8.com/?type=hp&ts=1383578795&from=adks&uid=ST9160827AS_5RF148GG");

      -\\ Google Chrome v33.0.1750.117

      [ Fichier : C:\Users\kény\AppData\Local\Google\Chrome\User Data\Default\preferences ]


      *************************

      AdwCleaner[R0].txt - [17597 octets] - [21/02/2014 10:25:06]
      AdwCleaner[S0].txt - [16987 octets] - [21/02/2014 10:28:06]

      ########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [17048 octets] ##########
      0
  6. pepito0910 Messages postés 23 Statut Membre
     
    Malwarebytes Anti-Malware 1.75.0.1300
    www.malwarebytes.org

    Version de la base de données: v2014.02.21.06

    Windows 7 x86 NTFS
    Internet Explorer 8.0.7600.16385
    kény :: PCNEFERTITI [administrateur]

    2/21/2014 14:19:08
    mbam-log-2014-02-21 (14-19-08).txt

    Type d'examen: Examen rapide
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 231471
    Temps écoulé: 14 minute(s), 24 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 4
    HKLM\SOFTWARE\{77D46E27-0E41-4478-87A6-AABE6FBCF252} (PUP.Optional.GreatSaver.A) -> Mis en quarantaine et supprimé avec succès.
    HKLM\SOFTWARE\MediaPlayerV1alpha851 (PUP.Optional.MediaPlayerAlpha.A) -> Mis en quarantaine et supprimé avec succès.
    HKLM\SOFTWARE\TDSS (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\UpdateNf (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.

    Valeur(s) du Registre détectée(s): 2
    HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|shell (Trojan.Agent.RNS) -> Données: explorer.exe,C:\Users\kény\AppData\Roaming\skype.dat -> Mis en quarantaine et supprimé avec succès.
    HKLM\SOFTWARE\Mozilla\Firefox\Extensions|ext@MediaPlayerV1alpha851.net (PUP.Optional.MediaPlayerAlpha.A) -> Données: C:\Program Files\MediaPlayerV1\MediaPlayerV1alpha851\ff -> Mis en quarantaine et supprimé avec succès.

    Elément(s) de données du Registre détecté(s): 1
    HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders|SecurityProviders (Trojan.Inject.ED) -> Mauvais: (OmwirvExpavy.dll) Bon: () -> Mis en quarantaine et réparé avec succès

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 18
    C:\Windows\System32\OMWIRVEXPAVY.DLL (Trojan.Inject.ED) -> Mis en quarantaine et supprimé avec succès.
    C:\PROGRAMDATA\msfrvu.exe (Spyware.Zbot.ED) -> Mis en quarantaine et supprimé avec succès.
    C:\PROGRAMDATA\msjlrwe.exe (Spyware.Zbot.ED) -> Mis en quarantaine et supprimé avec succès.
    C:\PROGRAMDATA\mskvafmu.exe (Spyware.Zbot.ED) -> Mis en quarantaine et supprimé avec succès.
    C:\PROGRAMDATA\msmdaibi.exe (Spyware.Zbot.ED) -> Mis en quarantaine et supprimé avec succès.
    C:\PROGRAMDATA\mspoouw.exe (Trojan.Agent.ED) -> Mis en quarantaine et supprimé avec succès.
    C:\PROGRAMDATA\mswdxleak.exe (Spyware.Zbot.ED) -> Mis en quarantaine et supprimé avec succès.
    C:\PROGRAMDATA\Local Settings\Temp\msaaluai.scr (Spyware.Zbot.ED) -> Mis en quarantaine et supprimé avec succès.
    C:\PROGRAMDATA\Local Settings\Temp\msiformao.pif (Trojan.Inject.ED) -> Mis en quarantaine et supprimé avec succès.
    C:\PROGRAMDATA\oyyscuv\odataq.exe (Trojan.Agent.ZT) -> Mis en quarantaine et supprimé avec succès.
    C:\PROGRAMDATA\Google Services\dtdasndku.exe (Trojan.Inject.ED) -> Mis en quarantaine et supprimé avec succès.
    C:\PROGRAMDATA\jmmy\ivjdx.exe (Spyware.Zbot.ED) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\kény\AppData\Roaming\Adobe\acupx217.dll (Trojan.Agent.ED) -> Suppression au redémarrage.
    C:\$RECYCLE.BIN\S-1-5-21-3016743959-2249549722-1569044802-1000\$R9LV7Z5.zip (Spyware.Zbot.ED) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\kény\AppData\Local\Temp\Setup2.exe (PUP.Optional.MediaPlayerAlpha.A) -> Mis en quarantaine et supprimé avec succès.
    C:\Windows\Installer\6ad56c3.msi (Adware.Boxore) -> Mis en quarantaine et supprimé avec succès.
    C:\Windows\System32\api.dat (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.
    C:\Windows\System32\TDSSfopt.dll (Rootkit.TDSS) -> Mis en quarantaine et supprimé avec succès.

    (fin)
    0
  7. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
    Fais skip sur les détections.
    Clic en haut à droite sur reports.
    Vas sur http://pjjoint.malekal.com et copie/colle le contenu du rapport TDSSKiller en bas, fais envoyer.
    Donne le lien du rapport pjjoint ici dans un nouveau message.

    0
  8. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    refais un scan OTL comme la première fois et donne le rapport :)
    0
  9. pepito0910 Messages postés 23 Statut Membre
     
    OTL bloque (ne repond pas) quelque temps apres le démarage et ça malgrés plusieurs tentatives.
    Il fallait bien mettre sous personnalisation le texte plus bas?
    Et pour mon disque dur externe, une fois mon ordi désinfecté je pourrai le rebrancher malgrés que mes dossiers présentent des documents Howdecrypt?

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\*.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\consrv.dll
    %systemroot%\system32\*.dll /lockedfiles
    %windir%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    services.exe
    wininit.exe
    /md5stop
    HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
    HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
    HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
    CREATERESTOREPOINT
    nslookup https://www.google.fr/?gws_rd=ssl /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Laisse lui le temps de scanner.
      0
  10. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Relance OTL.
    o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
    Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

    :OTL
    [2014/02/21 09:51:31 | 000,000,000 | ---D | C] -- C:\ProgramData\lkeorrj
    [2014/02/21 09:51:27 | 000,000,000 | ---D | C] -- C:\ProgramData\spx
    [2014/02/21 09:51:13 | 000,000,000 | ---D | C] -- C:\ProgramData\dsx
    [2014/02/21 09:50:44 | 000,000,000 | ---D | C] -- C:\ProgramData\oyyscuv
    [2014/02/21 09:50:31 | 000,000,000 | ---D | C] -- C:\ProgramData\jvugc
    [2014/01/27 16:49:35 | 000,000,000 | -HSD | C] -- C:\ProgramData\Google Services
    [2014/01/27 15:42:16 | 000,167,424 | ---- | M] (OpenOffice.org) -- C:\Users\KNY~1\AppData\Local\Temp\msi54335.exe
    [2014/01/27 15:42:24 | 000,102,400 | ---- | M] (OpenOffice.org) -- C:\Users\KNY~1\AppData\Local\Temp\msi61745.exe
    O4 - HKU\.DEFAULT..\RunOnce: [26f8sc] C:\ProgramData\kojllk\diabrha.exe File not found
    O4 - HKU\.DEFAULT..\RunOnce: [dgk86p] C:\ProgramData\nyyrvd\tuqvdtf.exe File not found
    O4 - HKU\S-1-5-18..\RunOnce: [26f8sc] C:\ProgramData\kojllk\diabrha.exe File not found
    O4 - HKU\S-1-5-18..\RunOnce: [dgk86p] C:\ProgramData\nyyrvd\tuqvdtf.exe File not found
    O20 - HKU\S-1-5-21-3016743959-2249549722-1569044802-1000 Winlogon: Shell - (C:\Users\kény\AppData\Roaming\skype.dat) - File not found

    * poste le rapport ici

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    0
  11. pepito0910 Messages postés 23 Statut Membre
     
    ========== OTL ==========
    C:\ProgramData\lkeorrj folder moved successfully.
    C:\ProgramData\spx folder moved successfully.
    C:\ProgramData\dsx folder moved successfully.
    C:\ProgramData\oyyscuv folder moved successfully.
    C:\ProgramData\jvugc folder moved successfully.
    C:\ProgramData\Google Services folder moved successfully.
    C:\Users\KNY~1\AppData\Local\Temp\msi54335.exe moved successfully.
    C:\Users\KNY~1\AppData\Local\Temp\msi61745.exe moved successfully.
    Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce\\26f8sc deleted successfully.
    Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce\\dgk86p deleted successfully.
    Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce\\26f8sc not found.
    Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce\\dgk86p not found.
    Registry value HKEY_USERS\S-1-5-21-3016743959-2249549722-1569044802-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Users\kény\AppData\Roaming\skype.dat deleted successfully.

    OTL by OldTimer - Version 3.2.69.0 log created on 02212014_162326
    0
  12. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Bon ça devrait aller côté infection.
    il faudrait que tu changes tous tes mots de passe car ils ont été volés.

    Cette infection va par de fausses proposition mise à jour Flash.
    https://www.malekal.com/fake-flash-player-par-hack-wordpress-backdoor-andromeda-autoit/
    Quand on te propose une mise à jour Flash avec un fichier à ouvrir au bout du compte, faut refuser.
    Virus assuré.

    Pour la récupération des fichiers, tente ça :
    https://forum.malekal.com/viewtopic.php?t=46739&start=
    http://download.bleepingcomputer.com/cryptorbit/Anti-CryptorBit.zip
    0
  13. pepito0910 Messages postés 23 Statut Membre
     
    Et bien un grand merci, tu me confirme je peux rebrancher mon disque dur externe sur l'ordi, même si il y a les fichiers howdecrypt et sans avoir peur d'etre a nouveau infecté?
    Pour info Anti-CryptorBit semble fonctionner pour moi (photos jpg), je vais voir si cela fonctionne pour toutes les photos.

    Un grand MERCI pour ta gentillesse et ton secours!
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      oui :)
      0