Help svp PC infecter par cryptowall
Résolu
hysterial
Messages postés
6
Date d'inscription
Statut
Membre
Dernière intervention
-
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
Je viens d’être infecté par cryptowall ( je ne sais pas exactement quel version).
L'analyse par OTL est en cour en ce moment.
Y-aurait-il quelqu'un qui accepte de me venir en aide pour la suite svp.
c'est très important pour moi car étudiant en informatique j'ai tout mes cours sur ce pc et bien sur pas de copie... :(
merci d'avance.
Je viens d’être infecté par cryptowall ( je ne sais pas exactement quel version).
L'analyse par OTL est en cour en ce moment.
Y-aurait-il quelqu'un qui accepte de me venir en aide pour la suite svp.
c'est très important pour moi car étudiant en informatique j'ai tout mes cours sur ce pc et bien sur pas de copie... :(
merci d'avance.
A voir également:
- Help svp PC infecter par cryptowall
- Reinitialiser pc - Guide
- Test performance pc - Guide
- Pc lent - Guide
- Downloader for pc - Télécharger - Téléchargement & Transfert
- Télécharger instagram pc - Télécharger - Divers Communication
11 réponses
re-bonjour,
Voici les 3 fichiers résultant de l'analyse par FRST:
le fichier shortcut:
https://pjjoint.malekal.com/files.php?id=20151216_h15b12f13v14f13
le fichier FRST:
https://pjjoint.malekal.com/files.php?id=FRST_20151216_b15i14f8n10i7
le fichier addition:
https://pjjoint.malekal.com/files.php?id=20151216_j10v7t10r10p10
( question secondaire: les fichiers infectés jusqu'ici sont-ils les seuls à l''etre ou l'infection se propage-t-elle avec le temp? en d'autre mot doit-je faire une copie des fichier non touchés tout de suite afin que l'infection ne les infecte pas ou cela ne sert à rien?)
Que dois-je faire ensuite svp?
merci encore.
Voici les 3 fichiers résultant de l'analyse par FRST:
le fichier shortcut:
https://pjjoint.malekal.com/files.php?id=20151216_h15b12f13v14f13
le fichier FRST:
https://pjjoint.malekal.com/files.php?id=FRST_20151216_b15i14f8n10i7
le fichier addition:
https://pjjoint.malekal.com/files.php?id=20151216_j10v7t10r10p10
( question secondaire: les fichiers infectés jusqu'ici sont-ils les seuls à l''etre ou l'infection se propage-t-elle avec le temp? en d'autre mot doit-je faire une copie des fichier non touchés tout de suite afin que l'infection ne les infecte pas ou cela ne sert à rien?)
Que dois-je faire ensuite svp?
merci encore.
oui beaucoup merci beaucoup.
J'en ai profiter pour déballer mon cadeau de noel en avance du coup puisque je l'ai reçu plus tot que prévu :), un ssd...et j'ai donc formater l'ancien hdd.
Un grand merci pour tout....
J'en ai profiter pour déballer mon cadeau de noel en avance du coup puisque je l'ai reçu plus tot que prévu :), un ssd...et j'ai donc formater l'ancien hdd.
Un grand merci pour tout....
Salut,
Tu as été infecté par un Ransomware chiffreurs de fichiers.
Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.
Il n'y a pas vraiment de solution pour récupérer les documents.
Il faudra vérifier qu'aucun malware ne soit actif puis changer tous tes mots de passe.
Pour désinfecter l'ordinateur :
Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
Envoie comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.
Tu as été infecté par un Ransomware chiffreurs de fichiers.
Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.
Il n'y a pas vraiment de solution pour récupérer les documents.
Il faudra vérifier qu'aucun malware ne soit actif puis changer tous tes mots de passe.
Pour désinfecter l'ordinateur :
Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.
bonjour et merci pour votre aide.
Je vien donc de download FRST et de le lancer, je post les lien de fichier rapports dès que le scan est terminé.
merci beaucoup.
Je vien donc de download FRST et de le lancer, je post les lien de fichier rapports dès que le scan est terminé.
merci beaucoup.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
mouaip infecté, tu sembles avoir le trojan Kovter.
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
HKLM-x32\...\Run: [**063af41a<*>] => mshta javascript:xzbJ7ypm=A5y1;kF92=new%20ActiveXObject(WScript.Shell);c1NhJLA=Cf3XsX;a7EGQ=kF92.RegRead(HKLM\\software\\Wow6432Node\\11bf3feae4\\1e31688d);c1rwnq7p=Pn;eval(a7EGQ);rVr3UiR=Y (l'élément de données a 6 caractères en plus). <===== ATTENTION (Nom de valeur avec caractères invalides)
HKLM\...\Policies\Explorer\Run: [**a6cc1695<*>] => mshta javascript:UpbsSO67A=GXmIJBA79;R3s=new%20ActiveXObject(WScript.Shell);gd8qnpO=s2;Bp6oN=R3s.RegRead(HKLM\\software\\Wow6432Node\\11bf3feae4\\1e31688d);EBQ2WPME=CvoM;eval(Bp6oN);WT8HveV4 (l'élément de données a 11 caractères en plus). <===== ATTENTION (Nom de valeur avec caractères invalides)
HKU\S-1-5-21-2500834398-3325284724-1089293236-1001\...\Run: [Ummedia] => regsvr32.exe C:\Users\mercier\AppData\Local\Ummedia\umbraSched32.dll <===== ATTENTION
HKU\S-1-5-21-2500834398-3325284724-1089293236-1001\...\Run: [**063af41a<*>] => mshta javascript:p3Ay4crJMp=B0;vL8=new%20ActiveXObject(WScript.Shell);dfdwye8bM0=yqppwnejW;z54yxt=vL8.RegRead(HKCU\\software\\11bf3feae4\\1e31688d);HAoRm9C3B=vlRoa0b;eval(z54yxt);uqErVx3e=S (l'élément de données a 6 caractères en plus). <===== ATTENTION (Nom de valeur avec caractères invalides)
C:\Users\mercier\AppData\Local\Ummedia
Startup: C:\Users\mercier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_YOUR_FILES.HTML [2015-12-15] ()
Startup: C:\Users\mercier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_YOUR_FILES.PNG [2015-12-15] ()
Startup: C:\Users\mercier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_YOUR_FILES.TXT [2015-12-15] ()
2015-12-15 23:55 - 2015-12-15 23:55 - 00006108 _____ C:\Users\mercier\19tcmcm0eb.mz12
2015-12-15 23:53 - 2015-12-15 23:53 - 04391276 _____ C:\Users\mercier\aq2s94s59i.jr6
2015-12-15 23:53 - 2015-12-15 23:53 - 00014380 _____ C:\Users\mercier\Downloads\4c1zjoaxu6.vmf0r
2015-12-15 23:53 - 2015-12-15 23:53 - 00007356 _____ C:\Users\mercier\d2t9ax6p.mm0
2015-12-15 23:42 - 2015-12-15 23:42 - 00013884 _____ C:\Users\mercier\Documents\9z3d0l.dk6f
2015-12-15 23:41 - 2015-12-15 23:41 - 02544876 _____ C:\Users\mercier\Documents\6h4pv2o94k.z5
2015-12-15 23:41 - 2015-12-15 23:41 - 00827744 _____ C:\Users\mercier\Documents\cbd5bk7ye.93x
2015-12-15 23:41 - 2015-12-15 23:41 - 00464540 _____ C:\Users\mercier\Documents\17k6h779.dh9mr
2015-12-15 23:41 - 2015-12-15 23:41 - 00040412 _____ C:\Users\mercier\Documents\tby6d.z3w
2015-12-15 23:41 - 2015-12-15 23:41 - 00013084 _____ C:\Users\mercier\Documents\igwkb19.4vi
2015-12-15 23:41 - 2015-12-15 23:41 - 00001500 _____ C:\Users\mercier\Documents\b9xkp.fz0w
2015-12-15 23:41 - 2015-12-15 23:41 - 00000396 _____ C:\Users\mercier\Documents\4gcxpm.5q7w
2015-12-15 23:40 - 2015-12-15 23:40 - 111829504 _____ C:\Users\mercier\Documents\holbnl6.0m5y
2015-12-15 23:40 - 2015-12-15 23:40 - 03044624 _____ C:\Users\mercier\Documents\185om1c4.6h
2015-12-15 23:40 - 2015-12-15 23:40 - 03026064 _____ C:\Users\mercier\Documents\flx7q71c8r.bh1
2015-12-15 23:40 - 2015-12-15 23:40 - 02219932 _____ C:\Users\mercier\Documents\a5trc2d.3jb
2015-12-15 23:40 - 2015-12-15 23:40 - 02219356 _____ C:\Users\mercier\Documents\xim42.x72
2015-12-15 23:40 - 2015-12-15 23:40 - 02217212 _____ C:\Users\mercier\Documents\l4s2c.7akan
2015-12-15 23:40 - 2015-12-15 23:40 - 02196716 _____ C:\Users\mercier\Documents\uu3zbfptp.2g
2015-12-15 23:40 - 2015-12-15 23:40 - 02196684 _____ C:\Users\mercier\Documents\fh4asieii.6g9be
2015-12-15 23:40 - 2015-12-15 23:40 - 02194332 _____ C:\Users\mercier\Documents\oq84x0pcl.5bg
2015-12-15 23:40 - 2015-12-15 23:40 - 02143772 _____ C:\Users\mercier\Documents\z75w48uv9j.w1p0
2015-12-15 23:40 - 2015-12-15 23:40 - 01742680 _____ C:\Users\mercier\Documents\hy84br.vu8n
2015-12-15 23:40 - 2015-12-15 23:40 - 01497860 _____ C:\Users\mercier\Documents\3jcsxll.u7df
2015-12-15 23:40 - 2015-12-15 23:40 - 01081844 _____ C:\Users\mercier\Documents\9fth9hm5.gwk4l
2015-12-15 23:40 - 2015-12-15 23:40 - 01031152 _____ C:\Users\mercier\Documents\6b6l13.4pz
2015-12-15 23:40 - 2015-12-15 23:40 - 00921952 _____ C:\Users\mercier\Documents\4b8620.rgy2
2015-12-15 23:40 - 2015-12-15 23:40 - 00844032 _____ C:\Users\mercier\Documents\7x3rm4wi.61wy
2015-12-15 23:40 - 2015-12-15 23:40 - 00368236 _____ C:\Users\mercier\Documents\8yd2ev5gx.g20pm
2015-12-15 23:40 - 2015-12-15 23:40 - 00163468 _____ C:\Users\mercier\Documents\r8657qvjt.5h
2015-12-15 23:40 - 2015-12-15 23:40 - 00136140 _____ C:\Users\mercier\Documents\imgaffd7.tug4
2015-12-15 23:40 - 2015-12-15 23:40 - 00002332 _____ C:\Users\mercier\Documents\6d46eb4mi.9y3r
2015-12-15 23:40 - 2015-12-15 23:40 - 00000908 _____ C:\Users\mercier\Documents\aa8u1.igu04
2015-12-15 23:39 - 2015-12-15 23:39 - 01191892 _____ C:\Users\mercier\Desktop\5zlh4cuqt0.s3
2015-12-15 23:39 - 2015-12-15 23:39 - 00013612 _____ C:\Users\mercier\Desktop\9wpdttvqs6.e2m2
2015-12-15 23:39 - 2015-12-15 23:39 - 00001212 _____ C:\Users\mercier\Desktop\s9xdcl4x.pow34
2015-12-15 23:39 - 2015-12-15 23:39 - 00000764 _____ C:\Users\mercier\Desktop\gdpwzok5kh.xcdt0
2015-12-15 23:39 - 2015-12-15 23:39 - 00000636 _____ C:\Users\mercier\Desktop\c64u0r1.1p
2015-12-15 23:38 - 2015-12-15 23:38 - 00010012 _____ C:\Users\mercier\Desktop\ilr78.0p0
2015-12-15 23:38 - 2015-12-15 23:38 - 00009100 _____ C:\Users\mercier\Desktop\ks1wryfn1.os5gd
2015-11-22 14:13 - 2015-11-22 14:13 - 00000010 __RSH C:\WINDOWS\jhg11971.18
Task: {0E1D3560-88FD-4B61-BFC9-3A71221AFCF5} - System32\Tasks\LaunchPreSignup => C:\Program Files (x86)\OLBPre\OLBPre.exe <==== ATTENTION
Task: {2EAB552C-3284-466E-8184-F94CA34290C7} - System32\Tasks\Oyyatdhchr => Rundll32.exe "C:\WINDOWS\SysWOW64\oobe0.dll",sbxhoqjqmt
C:\WINDOWS\SysWOW64\oobe0.dll
2015-12-15 23:38 - 2015-12-15 23:38 - 0047511 _____ () C:\Users\mercier\AppData\Roaming\HELP_YOUR_FILES.PNG
2015-12-15 23:38 - 2015-12-15 23:38 - 0047537 _____ () C:\Users\mercier\AppData\Roaming\Microsoft\HELP_YOUR_FILES.PNG
2015-12-15 23:35 - 2015-12-15 23:35 - 0047738 _____ () C:\Users\mercier\AppData\Local\HELP_YOUR_FILES.PNG
Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Ensuite Ouvre Mon Ordinateur
puis le disque C
Ouvre le dossier FRST.
Dedans se trouve, le dossier Quarantine
Fais un clic droit dessus puis envoyer vers le dossier compressé.
Envoie le zip sur http://upload.malekal.com
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
HKLM-x32\...\Run: [**063af41a<*>] => mshta javascript:xzbJ7ypm=A5y1;kF92=new%20ActiveXObject(WScript.Shell);c1NhJLA=Cf3XsX;a7EGQ=kF92.RegRead(HKLM\\software\\Wow6432Node\\11bf3feae4\\1e31688d);c1rwnq7p=Pn;eval(a7EGQ);rVr3UiR=Y (l'élément de données a 6 caractères en plus). <===== ATTENTION (Nom de valeur avec caractères invalides)
HKLM\...\Policies\Explorer\Run: [**a6cc1695<*>] => mshta javascript:UpbsSO67A=GXmIJBA79;R3s=new%20ActiveXObject(WScript.Shell);gd8qnpO=s2;Bp6oN=R3s.RegRead(HKLM\\software\\Wow6432Node\\11bf3feae4\\1e31688d);EBQ2WPME=CvoM;eval(Bp6oN);WT8HveV4 (l'élément de données a 11 caractères en plus). <===== ATTENTION (Nom de valeur avec caractères invalides)
HKU\S-1-5-21-2500834398-3325284724-1089293236-1001\...\Run: [Ummedia] => regsvr32.exe C:\Users\mercier\AppData\Local\Ummedia\umbraSched32.dll <===== ATTENTION
HKU\S-1-5-21-2500834398-3325284724-1089293236-1001\...\Run: [**063af41a<*>] => mshta javascript:p3Ay4crJMp=B0;vL8=new%20ActiveXObject(WScript.Shell);dfdwye8bM0=yqppwnejW;z54yxt=vL8.RegRead(HKCU\\software\\11bf3feae4\\1e31688d);HAoRm9C3B=vlRoa0b;eval(z54yxt);uqErVx3e=S (l'élément de données a 6 caractères en plus). <===== ATTENTION (Nom de valeur avec caractères invalides)
C:\Users\mercier\AppData\Local\Ummedia
Startup: C:\Users\mercier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_YOUR_FILES.HTML [2015-12-15] ()
Startup: C:\Users\mercier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_YOUR_FILES.PNG [2015-12-15] ()
Startup: C:\Users\mercier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_YOUR_FILES.TXT [2015-12-15] ()
2015-12-15 23:55 - 2015-12-15 23:55 - 00006108 _____ C:\Users\mercier\19tcmcm0eb.mz12
2015-12-15 23:53 - 2015-12-15 23:53 - 04391276 _____ C:\Users\mercier\aq2s94s59i.jr6
2015-12-15 23:53 - 2015-12-15 23:53 - 00014380 _____ C:\Users\mercier\Downloads\4c1zjoaxu6.vmf0r
2015-12-15 23:53 - 2015-12-15 23:53 - 00007356 _____ C:\Users\mercier\d2t9ax6p.mm0
2015-12-15 23:42 - 2015-12-15 23:42 - 00013884 _____ C:\Users\mercier\Documents\9z3d0l.dk6f
2015-12-15 23:41 - 2015-12-15 23:41 - 02544876 _____ C:\Users\mercier\Documents\6h4pv2o94k.z5
2015-12-15 23:41 - 2015-12-15 23:41 - 00827744 _____ C:\Users\mercier\Documents\cbd5bk7ye.93x
2015-12-15 23:41 - 2015-12-15 23:41 - 00464540 _____ C:\Users\mercier\Documents\17k6h779.dh9mr
2015-12-15 23:41 - 2015-12-15 23:41 - 00040412 _____ C:\Users\mercier\Documents\tby6d.z3w
2015-12-15 23:41 - 2015-12-15 23:41 - 00013084 _____ C:\Users\mercier\Documents\igwkb19.4vi
2015-12-15 23:41 - 2015-12-15 23:41 - 00001500 _____ C:\Users\mercier\Documents\b9xkp.fz0w
2015-12-15 23:41 - 2015-12-15 23:41 - 00000396 _____ C:\Users\mercier\Documents\4gcxpm.5q7w
2015-12-15 23:40 - 2015-12-15 23:40 - 111829504 _____ C:\Users\mercier\Documents\holbnl6.0m5y
2015-12-15 23:40 - 2015-12-15 23:40 - 03044624 _____ C:\Users\mercier\Documents\185om1c4.6h
2015-12-15 23:40 - 2015-12-15 23:40 - 03026064 _____ C:\Users\mercier\Documents\flx7q71c8r.bh1
2015-12-15 23:40 - 2015-12-15 23:40 - 02219932 _____ C:\Users\mercier\Documents\a5trc2d.3jb
2015-12-15 23:40 - 2015-12-15 23:40 - 02219356 _____ C:\Users\mercier\Documents\xim42.x72
2015-12-15 23:40 - 2015-12-15 23:40 - 02217212 _____ C:\Users\mercier\Documents\l4s2c.7akan
2015-12-15 23:40 - 2015-12-15 23:40 - 02196716 _____ C:\Users\mercier\Documents\uu3zbfptp.2g
2015-12-15 23:40 - 2015-12-15 23:40 - 02196684 _____ C:\Users\mercier\Documents\fh4asieii.6g9be
2015-12-15 23:40 - 2015-12-15 23:40 - 02194332 _____ C:\Users\mercier\Documents\oq84x0pcl.5bg
2015-12-15 23:40 - 2015-12-15 23:40 - 02143772 _____ C:\Users\mercier\Documents\z75w48uv9j.w1p0
2015-12-15 23:40 - 2015-12-15 23:40 - 01742680 _____ C:\Users\mercier\Documents\hy84br.vu8n
2015-12-15 23:40 - 2015-12-15 23:40 - 01497860 _____ C:\Users\mercier\Documents\3jcsxll.u7df
2015-12-15 23:40 - 2015-12-15 23:40 - 01081844 _____ C:\Users\mercier\Documents\9fth9hm5.gwk4l
2015-12-15 23:40 - 2015-12-15 23:40 - 01031152 _____ C:\Users\mercier\Documents\6b6l13.4pz
2015-12-15 23:40 - 2015-12-15 23:40 - 00921952 _____ C:\Users\mercier\Documents\4b8620.rgy2
2015-12-15 23:40 - 2015-12-15 23:40 - 00844032 _____ C:\Users\mercier\Documents\7x3rm4wi.61wy
2015-12-15 23:40 - 2015-12-15 23:40 - 00368236 _____ C:\Users\mercier\Documents\8yd2ev5gx.g20pm
2015-12-15 23:40 - 2015-12-15 23:40 - 00163468 _____ C:\Users\mercier\Documents\r8657qvjt.5h
2015-12-15 23:40 - 2015-12-15 23:40 - 00136140 _____ C:\Users\mercier\Documents\imgaffd7.tug4
2015-12-15 23:40 - 2015-12-15 23:40 - 00002332 _____ C:\Users\mercier\Documents\6d46eb4mi.9y3r
2015-12-15 23:40 - 2015-12-15 23:40 - 00000908 _____ C:\Users\mercier\Documents\aa8u1.igu04
2015-12-15 23:39 - 2015-12-15 23:39 - 01191892 _____ C:\Users\mercier\Desktop\5zlh4cuqt0.s3
2015-12-15 23:39 - 2015-12-15 23:39 - 00013612 _____ C:\Users\mercier\Desktop\9wpdttvqs6.e2m2
2015-12-15 23:39 - 2015-12-15 23:39 - 00001212 _____ C:\Users\mercier\Desktop\s9xdcl4x.pow34
2015-12-15 23:39 - 2015-12-15 23:39 - 00000764 _____ C:\Users\mercier\Desktop\gdpwzok5kh.xcdt0
2015-12-15 23:39 - 2015-12-15 23:39 - 00000636 _____ C:\Users\mercier\Desktop\c64u0r1.1p
2015-12-15 23:38 - 2015-12-15 23:38 - 00010012 _____ C:\Users\mercier\Desktop\ilr78.0p0
2015-12-15 23:38 - 2015-12-15 23:38 - 00009100 _____ C:\Users\mercier\Desktop\ks1wryfn1.os5gd
2015-11-22 14:13 - 2015-11-22 14:13 - 00000010 __RSH C:\WINDOWS\jhg11971.18
Task: {0E1D3560-88FD-4B61-BFC9-3A71221AFCF5} - System32\Tasks\LaunchPreSignup => C:\Program Files (x86)\OLBPre\OLBPre.exe <==== ATTENTION
Task: {2EAB552C-3284-466E-8184-F94CA34290C7} - System32\Tasks\Oyyatdhchr => Rundll32.exe "C:\WINDOWS\SysWOW64\oobe0.dll",sbxhoqjqmt
C:\WINDOWS\SysWOW64\oobe0.dll
2015-12-15 23:38 - 2015-12-15 23:38 - 0047511 _____ () C:\Users\mercier\AppData\Roaming\HELP_YOUR_FILES.PNG
2015-12-15 23:38 - 2015-12-15 23:38 - 0047537 _____ () C:\Users\mercier\AppData\Roaming\Microsoft\HELP_YOUR_FILES.PNG
2015-12-15 23:35 - 2015-12-15 23:35 - 0047738 _____ () C:\Users\mercier\AppData\Local\HELP_YOUR_FILES.PNG
Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Ensuite Ouvre Mon Ordinateur
puis le disque C
Ouvre le dossier FRST.
Dedans se trouve, le dossier Quarantine
Fais un clic droit dessus puis envoyer vers le dossier compressé.
Envoie le zip sur http://upload.malekal.com
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
re
voici donc le fichier fixlog.txt:
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:16-12-2015 03
Exécuté par mercier (2015-12-16 19:35:47) Run:1
Exécuté depuis C:\Users\mercier\Desktop
Profils chargés: mercier (Profils disponibles: mercier & MSSQLSERVER)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
HKLM-x32\...\Run: [**063af41a<*>] => mshta javascript:xzbJ7ypm=A5y1;kF92=new%20ActiveXObject(WScript.Shell);c1NhJLA=Cf3XsX;a7EGQ=kF92.RegRead(HKLM\\software\\Wow6432Node\\11bf3feae4\\1e31688d);c1rwnq7p=Pn;eval(a7EGQ);rVr3UiR=Y (l'élément de données a 6 caractères en plus). <===== ATTENTION (Nom de valeur avec caractères invalides)
HKLM\...\Policies\Explorer\Run: [**a6cc1695<*>] => mshta javascript:UpbsSO67A=GXmIJBA79;R3s=new%20ActiveXObject(WScript.Shell);gd8qnpO=s2;Bp6oN=R3s.RegRead(HKLM\\software\\Wow6432Node\\11bf3feae4\\1e31688d);EBQ2WPME=CvoM;eval(Bp6oN);WT8HveV4 (l'élément de données a 11 caractères en plus). <===== ATTENTION (Nom de valeur avec caractères invalides)
HKU\S-1-5-21-2500834398-3325284724-1089293236-1001\...\Run: [Ummedia] => regsvr32.exe C:\Users\mercier\AppData\Local\Ummedia\umbraSched32.dll <===== ATTENTION
HKU\S-1-5-21-2500834398-3325284724-1089293236-1001\...\Run: [**063af41a<*>] => mshta javascript:p3Ay4crJMp=B0;vL8=new%20ActiveXObject(WScript.Shell);dfdwye8bM0=yqppwnejW;z54yxt=vL8.RegRead(HKCU\\software\\11bf3feae4\\1e31688d);HAoRm9C3B=vlRoa0b;eval(z54yxt);uqErVx3e=S (l'élément de données a 6 caractères en plus). <===== ATTENTION (Nom de valeur avec caractères invalides)
C:\Users\mercier\AppData\Local\Ummedia
Startup: C:\Users\mercier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_YOUR_FILES.HTML [2015-12-15] ()
Startup: C:\Users\mercier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_YOUR_FILES.PNG [2015-12-15] ()
Startup: C:\Users\mercier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_YOUR_FILES.TXT [2015-12-15] ()
2015-12-15 23:55 - 2015-12-15 23:55 - 00006108 _____ C:\Users\mercier\19tcmcm0eb.mz12
2015-12-15 23:53 - 2015-12-15 23:53 - 04391276 _____ C:\Users\mercier\aq2s94s59i.jr6
2015-12-15 23:53 - 2015-12-15 23:53 - 00014380 _____ C:\Users\mercier\Downloads\4c1zjoaxu6.vmf0r
2015-12-15 23:53 - 2015-12-15 23:53 - 00007356 _____ C:\Users\mercier\d2t9ax6p.mm0
2015-12-15 23:42 - 2015-12-15 23:42 - 00013884 _____ C:\Users\mercier\Documents\9z3d0l.dk6f
2015-12-15 23:41 - 2015-12-15 23:41 - 02544876 _____ C:\Users\mercier\Documents\6h4pv2o94k.z5
2015-12-15 23:41 - 2015-12-15 23:41 - 00827744 _____ C:\Users\mercier\Documents\cbd5bk7ye.93x
2015-12-15 23:41 - 2015-12-15 23:41 - 00464540 _____ C:\Users\mercier\Documents\17k6h779.dh9mr
2015-12-15 23:41 - 2015-12-15 23:41 - 00040412 _____ C:\Users\mercier\Documents\tby6d.z3w
2015-12-15 23:41 - 2015-12-15 23:41 - 00013084 _____ C:\Users\mercier\Documents\igwkb19.4vi
2015-12-15 23:41 - 2015-12-15 23:41 - 00001500 _____ C:\Users\mercier\Documents\b9xkp.fz0w
2015-12-15 23:41 - 2015-12-15 23:41 - 00000396 _____ C:\Users\mercier\Documents\4gcxpm.5q7w
2015-12-15 23:40 - 2015-12-15 23:40 - 111829504 _____ C:\Users\mercier\Documents\holbnl6.0m5y
2015-12-15 23:40 - 2015-12-15 23:40 - 03044624 _____ C:\Users\mercier\Documents\185om1c4.6h
2015-12-15 23:40 - 2015-12-15 23:40 - 03026064 _____ C:\Users\mercier\Documents\flx7q71c8r.bh1
2015-12-15 23:40 - 2015-12-15 23:40 - 02219932 _____ C:\Users\mercier\Documents\a5trc2d.3jb
2015-12-15 23:40 - 2015-12-15 23:40 - 02219356 _____ C:\Users\mercier\Documents\xim42.x72
2015-12-15 23:40 - 2015-12-15 23:40 - 02217212 _____ C:\Users\mercier\Documents\l4s2c.7akan
2015-12-15 23:40 - 2015-12-15 23:40 - 02196716 _____ C:\Users\mercier\Documents\uu3zbfptp.2g
2015-12-15 23:40 - 2015-12-15 23:40 - 02196684 _____ C:\Users\mercier\Documents\fh4asieii.6g9be
2015-12-15 23:40 - 2015-12-15 23:40 - 02194332 _____ C:\Users\mercier\Documents\oq84x0pcl.5bg
2015-12-15 23:40 - 2015-12-15 23:40 - 02143772 _____ C:\Users\mercier\Documents\z75w48uv9j.w1p0
2015-12-15 23:40 - 2015-12-15 23:40 - 01742680 _____ C:\Users\mercier\Documents\hy84br.vu8n
2015-12-15 23:40 - 2015-12-15 23:40 - 01497860 _____ C:\Users\mercier\Documents\3jcsxll.u7df
2015-12-15 23:40 - 2015-12-15 23:40 - 01081844 _____ C:\Users\mercier\Documents\9fth9hm5.gwk4l
2015-12-15 23:40 - 2015-12-15 23:40 - 01031152 _____ C:\Users\mercier\Documents\6b6l13.4pz
2015-12-15 23:40 - 2015-12-15 23:40 - 00921952 _____ C:\Users\mercier\Documents\4b8620.rgy2
2015-12-15 23:40 - 2015-12-15 23:40 - 00844032 _____ C:\Users\mercier\Documents\7x3rm4wi.61wy
2015-12-15 23:40 - 2015-12-15 23:40 - 00368236 _____ C:\Users\mercier\Documents\8yd2ev5gx.g20pm
2015-12-15 23:40 - 2015-12-15 23:40 - 00163468 _____ C:\Users\mercier\Documents\r8657qvjt.5h
2015-12-15 23:40 - 2015-12-15 23:40 - 00136140 _____ C:\Users\mercier\Documents\imgaffd7.tug4
2015-12-15 23:40 - 2015-12-15 23:40 - 00002332 _____ C:\Users\mercier\Documents\6d46eb4mi.9y3r
2015-12-15 23:40 - 2015-12-15 23:40 - 00000908 _____ C:\Users\mercier\Documents\aa8u1.igu04
2015-12-15 23:39 - 2015-12-15 23:39 - 01191892 _____ C:\Users\mercier\Desktop\5zlh4cuqt0.s3
2015-12-15 23:39 - 2015-12-15 23:39 - 00013612 _____ C:\Users\mercier\Desktop\9wpdttvqs6.e2m2
2015-12-15 23:39 - 2015-12-15 23:39 - 00001212 _____ C:\Users\mercier\Desktop\s9xdcl4x.pow34
2015-12-15 23:39 - 2015-12-15 23:39 - 00000764 _____ C:\Users\mercier\Desktop\gdpwzok5kh.xcdt0
2015-12-15 23:39 - 2015-12-15 23:39 - 00000636 _____ C:\Users\mercier\Desktop\c64u0r1.1p
2015-12-15 23:38 - 2015-12-15 23:38 - 00010012 _____ C:\Users\mercier\Desktop\ilr78.0p0
2015-12-15 23:38 - 2015-12-15 23:38 - 00009100 _____ C:\Users\mercier\Desktop\ks1wryfn1.os5gd
2015-11-22 14:13 - 2015-11-22 14:13 - 00000010 __RSH C:\WINDOWS\jhg11971.18
Task: {0E1D3560-88FD-4B61-BFC9-3A71221AFCF5} - System32\Tasks\LaunchPreSignup => C:\Program Files (x86)\OLBPre\OLBPre.exe <==== ATTENTION
Task: {2EAB552C-3284-466E-8184-F94CA34290C7} - System32\Tasks\Oyyatdhchr => Rundll32.exe "C:\WINDOWS\SysWOW64\oobe0.dll",sbxhoqjqmt
C:\WINDOWS\SysWOW64\oobe0.dll
2015-12-15 23:38 - 2015-12-15 23:38 - 0047511 _____ () C:\Users\mercier\AppData\Roaming\HELP_YOUR_FILES.PNG
2015-12-15 23:38 - 2015-12-15 23:38 - 0047537 _____ () C:\Users\mercier\AppData\Roaming\Microsoft\HELP_YOUR_FILES.PNG
2015-12-15 23:35 - 2015-12-15 23:35 - 0047738 _____ () C:\Users\mercier\AppData\Local\HELP_YOUR_FILES.PNG
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\**063af41a<*> => valeur supprimé(es) avec succès
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\**a6cc1695<*> => valeur supprimé(es) avec succès
HKU\S-1-5-21-2500834398-3325284724-1089293236-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Ummedia => valeur supprimé(es) avec succès
HKU\S-1-5-21-2500834398-3325284724-1089293236-1001\Software\Microsoft\Windows\CurrentVersion\Run\\**063af41a<*> => valeur supprimé(es) avec succès
C:\Users\mercier\AppData\Local\Ummedia => déplacé(es) avec succès
C:\Users\mercier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_YOUR_FILES.HTML => déplacé(es) avec succès
C:\Users\mercier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_YOUR_FILES.PNG => déplacé(es) avec succès
C:\Users\mercier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_YOUR_FILES.TXT => déplacé(es) avec succès
C:\Users\mercier\19tcmcm0eb.mz12 => déplacé(es) avec succès
C:\Users\mercier\aq2s94s59i.jr6 => déplacé(es) avec succès
C:\Users\mercier\Downloads\4c1zjoaxu6.vmf0r => déplacé(es) avec succès
C:\Users\mercier\d2t9ax6p.mm0 => déplacé(es) avec succès
C:\Users\mercier\Documents\9z3d0l.dk6f => déplacé(es) avec succès
C:\Users\mercier\Documents\6h4pv2o94k.z5 => déplacé(es) avec succès
C:\Users\mercier\Documents\cbd5bk7ye.93x => déplacé(es) avec succès
C:\Users\mercier\Documents\17k6h779.dh9mr => déplacé(es) avec succès
C:\Users\mercier\Documents\tby6d.z3w => déplacé(es) avec succès
C:\Users\mercier\Documents\igwkb19.4vi => déplacé(es) avec succès
C:\Users\mercier\Documents\b9xkp.fz0w => déplacé(es) avec succès
C:\Users\mercier\Documents\4gcxpm.5q7w => déplacé(es) avec succès
C:\Users\mercier\Documents\holbnl6.0m5y => déplacé(es) avec succès
C:\Users\mercier\Documents\185om1c4.6h => déplacé(es) avec succès
C:\Users\mercier\Documents\flx7q71c8r.bh1 => déplacé(es) avec succès
C:\Users\mercier\Documents\a5trc2d.3jb => déplacé(es) avec succès
C:\Users\mercier\Documents\xim42.x72 => déplacé(es) avec succès
C:\Users\mercier\Documents\l4s2c.7akan => déplacé(es) avec succès
C:\Users\mercier\Documents\uu3zbfptp.2g => déplacé(es) avec succès
C:\Users\mercier\Documents\fh4asieii.6g9be => déplacé(es) avec succès
C:\Users\mercier\Documents\oq84x0pcl.5bg => déplacé(es) avec succès
C:\Users\mercier\Documents\z75w48uv9j.w1p0 => déplacé(es) avec succès
C:\Users\mercier\Documents\hy84br.vu8n => déplacé(es) avec succès
C:\Users\mercier\Documents\3jcsxll.u7df => déplacé(es) avec succès
C:\Users\mercier\Documents\9fth9hm5.gwk4l => déplacé(es) avec succès
C:\Users\mercier\Documents\6b6l13.4pz => déplacé(es) avec succès
C:\Users\mercier\Documents\4b8620.rgy2 => déplacé(es) avec succès
C:\Users\mercier\Documents\7x3rm4wi.61wy => déplacé(es) avec succès
C:\Users\mercier\Documents\8yd2ev5gx.g20pm => déplacé(es) avec succès
C:\Users\mercier\Documents\r8657qvjt.5h => déplacé(es) avec succès
C:\Users\mercier\Documents\imgaffd7.tug4 => déplacé(es) avec succès
C:\Users\mercier\Documents\6d46eb4mi.9y3r => déplacé(es) avec succès
C:\Users\mercier\Documents\aa8u1.igu04 => déplacé(es) avec succès
C:\Users\mercier\Desktop\5zlh4cuqt0.s3 => déplacé(es) avec succès
C:\Users\mercier\Desktop\9wpdttvqs6.e2m2 => déplacé(es) avec succès
C:\Users\mercier\Desktop\s9xdcl4x.pow34 => déplacé(es) avec succès
C:\Users\mercier\Desktop\gdpwzok5kh.xcdt0 => déplacé(es) avec succès
C:\Users\mercier\Desktop\c64u0r1.1p => déplacé(es) avec succès
C:\Users\mercier\Desktop\ilr78.0p0 => déplacé(es) avec succès
C:\Users\mercier\Desktop\ks1wryfn1.os5gd => déplacé(es) avec succès
C:\WINDOWS\jhg11971.18 => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{0E1D3560-88FD-4B61-BFC9-3A71221AFCF5}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0E1D3560-88FD-4B61-BFC9-3A71221AFCF5}" => clé supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\LaunchPreSignup => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\LaunchPreSignup" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{2EAB552C-3284-466E-8184-F94CA34290C7}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2EAB552C-3284-466E-8184-F94CA34290C7}" => clé supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Oyyatdhchr => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Oyyatdhchr" => clé supprimé(es) avec succès
C:\WINDOWS\SysWOW64\oobe0.dll => déplacé(es) avec succès
C:\Users\mercier\AppData\Roaming\HELP_YOUR_FILES.PNG => déplacé(es) avec succès
C:\Users\mercier\AppData\Roaming\Microsoft\HELP_YOUR_FILES.PNG => déplacé(es) avec succès
C:\Users\mercier\AppData\Local\HELP_YOUR_FILES.PNG => déplacé(es) avec succès
voici donc le fichier fixlog.txt:
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:16-12-2015 03
Exécuté par mercier (2015-12-16 19:35:47) Run:1
Exécuté depuis C:\Users\mercier\Desktop
Profils chargés: mercier (Profils disponibles: mercier & MSSQLSERVER)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
HKLM-x32\...\Run: [**063af41a<*>] => mshta javascript:xzbJ7ypm=A5y1;kF92=new%20ActiveXObject(WScript.Shell);c1NhJLA=Cf3XsX;a7EGQ=kF92.RegRead(HKLM\\software\\Wow6432Node\\11bf3feae4\\1e31688d);c1rwnq7p=Pn;eval(a7EGQ);rVr3UiR=Y (l'élément de données a 6 caractères en plus). <===== ATTENTION (Nom de valeur avec caractères invalides)
HKLM\...\Policies\Explorer\Run: [**a6cc1695<*>] => mshta javascript:UpbsSO67A=GXmIJBA79;R3s=new%20ActiveXObject(WScript.Shell);gd8qnpO=s2;Bp6oN=R3s.RegRead(HKLM\\software\\Wow6432Node\\11bf3feae4\\1e31688d);EBQ2WPME=CvoM;eval(Bp6oN);WT8HveV4 (l'élément de données a 11 caractères en plus). <===== ATTENTION (Nom de valeur avec caractères invalides)
HKU\S-1-5-21-2500834398-3325284724-1089293236-1001\...\Run: [Ummedia] => regsvr32.exe C:\Users\mercier\AppData\Local\Ummedia\umbraSched32.dll <===== ATTENTION
HKU\S-1-5-21-2500834398-3325284724-1089293236-1001\...\Run: [**063af41a<*>] => mshta javascript:p3Ay4crJMp=B0;vL8=new%20ActiveXObject(WScript.Shell);dfdwye8bM0=yqppwnejW;z54yxt=vL8.RegRead(HKCU\\software\\11bf3feae4\\1e31688d);HAoRm9C3B=vlRoa0b;eval(z54yxt);uqErVx3e=S (l'élément de données a 6 caractères en plus). <===== ATTENTION (Nom de valeur avec caractères invalides)
C:\Users\mercier\AppData\Local\Ummedia
Startup: C:\Users\mercier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_YOUR_FILES.HTML [2015-12-15] ()
Startup: C:\Users\mercier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_YOUR_FILES.PNG [2015-12-15] ()
Startup: C:\Users\mercier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_YOUR_FILES.TXT [2015-12-15] ()
2015-12-15 23:55 - 2015-12-15 23:55 - 00006108 _____ C:\Users\mercier\19tcmcm0eb.mz12
2015-12-15 23:53 - 2015-12-15 23:53 - 04391276 _____ C:\Users\mercier\aq2s94s59i.jr6
2015-12-15 23:53 - 2015-12-15 23:53 - 00014380 _____ C:\Users\mercier\Downloads\4c1zjoaxu6.vmf0r
2015-12-15 23:53 - 2015-12-15 23:53 - 00007356 _____ C:\Users\mercier\d2t9ax6p.mm0
2015-12-15 23:42 - 2015-12-15 23:42 - 00013884 _____ C:\Users\mercier\Documents\9z3d0l.dk6f
2015-12-15 23:41 - 2015-12-15 23:41 - 02544876 _____ C:\Users\mercier\Documents\6h4pv2o94k.z5
2015-12-15 23:41 - 2015-12-15 23:41 - 00827744 _____ C:\Users\mercier\Documents\cbd5bk7ye.93x
2015-12-15 23:41 - 2015-12-15 23:41 - 00464540 _____ C:\Users\mercier\Documents\17k6h779.dh9mr
2015-12-15 23:41 - 2015-12-15 23:41 - 00040412 _____ C:\Users\mercier\Documents\tby6d.z3w
2015-12-15 23:41 - 2015-12-15 23:41 - 00013084 _____ C:\Users\mercier\Documents\igwkb19.4vi
2015-12-15 23:41 - 2015-12-15 23:41 - 00001500 _____ C:\Users\mercier\Documents\b9xkp.fz0w
2015-12-15 23:41 - 2015-12-15 23:41 - 00000396 _____ C:\Users\mercier\Documents\4gcxpm.5q7w
2015-12-15 23:40 - 2015-12-15 23:40 - 111829504 _____ C:\Users\mercier\Documents\holbnl6.0m5y
2015-12-15 23:40 - 2015-12-15 23:40 - 03044624 _____ C:\Users\mercier\Documents\185om1c4.6h
2015-12-15 23:40 - 2015-12-15 23:40 - 03026064 _____ C:\Users\mercier\Documents\flx7q71c8r.bh1
2015-12-15 23:40 - 2015-12-15 23:40 - 02219932 _____ C:\Users\mercier\Documents\a5trc2d.3jb
2015-12-15 23:40 - 2015-12-15 23:40 - 02219356 _____ C:\Users\mercier\Documents\xim42.x72
2015-12-15 23:40 - 2015-12-15 23:40 - 02217212 _____ C:\Users\mercier\Documents\l4s2c.7akan
2015-12-15 23:40 - 2015-12-15 23:40 - 02196716 _____ C:\Users\mercier\Documents\uu3zbfptp.2g
2015-12-15 23:40 - 2015-12-15 23:40 - 02196684 _____ C:\Users\mercier\Documents\fh4asieii.6g9be
2015-12-15 23:40 - 2015-12-15 23:40 - 02194332 _____ C:\Users\mercier\Documents\oq84x0pcl.5bg
2015-12-15 23:40 - 2015-12-15 23:40 - 02143772 _____ C:\Users\mercier\Documents\z75w48uv9j.w1p0
2015-12-15 23:40 - 2015-12-15 23:40 - 01742680 _____ C:\Users\mercier\Documents\hy84br.vu8n
2015-12-15 23:40 - 2015-12-15 23:40 - 01497860 _____ C:\Users\mercier\Documents\3jcsxll.u7df
2015-12-15 23:40 - 2015-12-15 23:40 - 01081844 _____ C:\Users\mercier\Documents\9fth9hm5.gwk4l
2015-12-15 23:40 - 2015-12-15 23:40 - 01031152 _____ C:\Users\mercier\Documents\6b6l13.4pz
2015-12-15 23:40 - 2015-12-15 23:40 - 00921952 _____ C:\Users\mercier\Documents\4b8620.rgy2
2015-12-15 23:40 - 2015-12-15 23:40 - 00844032 _____ C:\Users\mercier\Documents\7x3rm4wi.61wy
2015-12-15 23:40 - 2015-12-15 23:40 - 00368236 _____ C:\Users\mercier\Documents\8yd2ev5gx.g20pm
2015-12-15 23:40 - 2015-12-15 23:40 - 00163468 _____ C:\Users\mercier\Documents\r8657qvjt.5h
2015-12-15 23:40 - 2015-12-15 23:40 - 00136140 _____ C:\Users\mercier\Documents\imgaffd7.tug4
2015-12-15 23:40 - 2015-12-15 23:40 - 00002332 _____ C:\Users\mercier\Documents\6d46eb4mi.9y3r
2015-12-15 23:40 - 2015-12-15 23:40 - 00000908 _____ C:\Users\mercier\Documents\aa8u1.igu04
2015-12-15 23:39 - 2015-12-15 23:39 - 01191892 _____ C:\Users\mercier\Desktop\5zlh4cuqt0.s3
2015-12-15 23:39 - 2015-12-15 23:39 - 00013612 _____ C:\Users\mercier\Desktop\9wpdttvqs6.e2m2
2015-12-15 23:39 - 2015-12-15 23:39 - 00001212 _____ C:\Users\mercier\Desktop\s9xdcl4x.pow34
2015-12-15 23:39 - 2015-12-15 23:39 - 00000764 _____ C:\Users\mercier\Desktop\gdpwzok5kh.xcdt0
2015-12-15 23:39 - 2015-12-15 23:39 - 00000636 _____ C:\Users\mercier\Desktop\c64u0r1.1p
2015-12-15 23:38 - 2015-12-15 23:38 - 00010012 _____ C:\Users\mercier\Desktop\ilr78.0p0
2015-12-15 23:38 - 2015-12-15 23:38 - 00009100 _____ C:\Users\mercier\Desktop\ks1wryfn1.os5gd
2015-11-22 14:13 - 2015-11-22 14:13 - 00000010 __RSH C:\WINDOWS\jhg11971.18
Task: {0E1D3560-88FD-4B61-BFC9-3A71221AFCF5} - System32\Tasks\LaunchPreSignup => C:\Program Files (x86)\OLBPre\OLBPre.exe <==== ATTENTION
Task: {2EAB552C-3284-466E-8184-F94CA34290C7} - System32\Tasks\Oyyatdhchr => Rundll32.exe "C:\WINDOWS\SysWOW64\oobe0.dll",sbxhoqjqmt
C:\WINDOWS\SysWOW64\oobe0.dll
2015-12-15 23:38 - 2015-12-15 23:38 - 0047511 _____ () C:\Users\mercier\AppData\Roaming\HELP_YOUR_FILES.PNG
2015-12-15 23:38 - 2015-12-15 23:38 - 0047537 _____ () C:\Users\mercier\AppData\Roaming\Microsoft\HELP_YOUR_FILES.PNG
2015-12-15 23:35 - 2015-12-15 23:35 - 0047738 _____ () C:\Users\mercier\AppData\Local\HELP_YOUR_FILES.PNG
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\**063af41a<*> => valeur supprimé(es) avec succès
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\**a6cc1695<*> => valeur supprimé(es) avec succès
HKU\S-1-5-21-2500834398-3325284724-1089293236-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Ummedia => valeur supprimé(es) avec succès
HKU\S-1-5-21-2500834398-3325284724-1089293236-1001\Software\Microsoft\Windows\CurrentVersion\Run\\**063af41a<*> => valeur supprimé(es) avec succès
C:\Users\mercier\AppData\Local\Ummedia => déplacé(es) avec succès
C:\Users\mercier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_YOUR_FILES.HTML => déplacé(es) avec succès
C:\Users\mercier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_YOUR_FILES.PNG => déplacé(es) avec succès
C:\Users\mercier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_YOUR_FILES.TXT => déplacé(es) avec succès
C:\Users\mercier\19tcmcm0eb.mz12 => déplacé(es) avec succès
C:\Users\mercier\aq2s94s59i.jr6 => déplacé(es) avec succès
C:\Users\mercier\Downloads\4c1zjoaxu6.vmf0r => déplacé(es) avec succès
C:\Users\mercier\d2t9ax6p.mm0 => déplacé(es) avec succès
C:\Users\mercier\Documents\9z3d0l.dk6f => déplacé(es) avec succès
C:\Users\mercier\Documents\6h4pv2o94k.z5 => déplacé(es) avec succès
C:\Users\mercier\Documents\cbd5bk7ye.93x => déplacé(es) avec succès
C:\Users\mercier\Documents\17k6h779.dh9mr => déplacé(es) avec succès
C:\Users\mercier\Documents\tby6d.z3w => déplacé(es) avec succès
C:\Users\mercier\Documents\igwkb19.4vi => déplacé(es) avec succès
C:\Users\mercier\Documents\b9xkp.fz0w => déplacé(es) avec succès
C:\Users\mercier\Documents\4gcxpm.5q7w => déplacé(es) avec succès
C:\Users\mercier\Documents\holbnl6.0m5y => déplacé(es) avec succès
C:\Users\mercier\Documents\185om1c4.6h => déplacé(es) avec succès
C:\Users\mercier\Documents\flx7q71c8r.bh1 => déplacé(es) avec succès
C:\Users\mercier\Documents\a5trc2d.3jb => déplacé(es) avec succès
C:\Users\mercier\Documents\xim42.x72 => déplacé(es) avec succès
C:\Users\mercier\Documents\l4s2c.7akan => déplacé(es) avec succès
C:\Users\mercier\Documents\uu3zbfptp.2g => déplacé(es) avec succès
C:\Users\mercier\Documents\fh4asieii.6g9be => déplacé(es) avec succès
C:\Users\mercier\Documents\oq84x0pcl.5bg => déplacé(es) avec succès
C:\Users\mercier\Documents\z75w48uv9j.w1p0 => déplacé(es) avec succès
C:\Users\mercier\Documents\hy84br.vu8n => déplacé(es) avec succès
C:\Users\mercier\Documents\3jcsxll.u7df => déplacé(es) avec succès
C:\Users\mercier\Documents\9fth9hm5.gwk4l => déplacé(es) avec succès
C:\Users\mercier\Documents\6b6l13.4pz => déplacé(es) avec succès
C:\Users\mercier\Documents\4b8620.rgy2 => déplacé(es) avec succès
C:\Users\mercier\Documents\7x3rm4wi.61wy => déplacé(es) avec succès
C:\Users\mercier\Documents\8yd2ev5gx.g20pm => déplacé(es) avec succès
C:\Users\mercier\Documents\r8657qvjt.5h => déplacé(es) avec succès
C:\Users\mercier\Documents\imgaffd7.tug4 => déplacé(es) avec succès
C:\Users\mercier\Documents\6d46eb4mi.9y3r => déplacé(es) avec succès
C:\Users\mercier\Documents\aa8u1.igu04 => déplacé(es) avec succès
C:\Users\mercier\Desktop\5zlh4cuqt0.s3 => déplacé(es) avec succès
C:\Users\mercier\Desktop\9wpdttvqs6.e2m2 => déplacé(es) avec succès
C:\Users\mercier\Desktop\s9xdcl4x.pow34 => déplacé(es) avec succès
C:\Users\mercier\Desktop\gdpwzok5kh.xcdt0 => déplacé(es) avec succès
C:\Users\mercier\Desktop\c64u0r1.1p => déplacé(es) avec succès
C:\Users\mercier\Desktop\ilr78.0p0 => déplacé(es) avec succès
C:\Users\mercier\Desktop\ks1wryfn1.os5gd => déplacé(es) avec succès
C:\WINDOWS\jhg11971.18 => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{0E1D3560-88FD-4B61-BFC9-3A71221AFCF5}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0E1D3560-88FD-4B61-BFC9-3A71221AFCF5}" => clé supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\LaunchPreSignup => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\LaunchPreSignup" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{2EAB552C-3284-466E-8184-F94CA34290C7}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2EAB552C-3284-466E-8184-F94CA34290C7}" => clé supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\Oyyatdhchr => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Oyyatdhchr" => clé supprimé(es) avec succès
C:\WINDOWS\SysWOW64\oobe0.dll => déplacé(es) avec succès
C:\Users\mercier\AppData\Roaming\HELP_YOUR_FILES.PNG => déplacé(es) avec succès
C:\Users\mercier\AppData\Roaming\Microsoft\HELP_YOUR_FILES.PNG => déplacé(es) avec succès
C:\Users\mercier\AppData\Local\HELP_YOUR_FILES.PNG => déplacé(es) avec succès
Fin de Fixlog 19:35:49
merci
je suis un peu bloquer pour ce qui est de l'envoi du fichier car la taille max pour l'envoi est de 8Mo, hors mon fichier fait 147MO...
que me conseillez-vous dans ce cas?
que me conseillez-vous dans ce cas?
ok tant pis.
Fais un scan en ligne NOD32
Enregistre le rapport
Envoie le sur http://pjjoint.malekal.com
Donne le lien ici.
Fais un scan en ligne NOD32
Enregistre le rapport
Envoie le sur http://pjjoint.malekal.com
Donne le lien ici.
bonjour,
voici le résultat du scan par eset:
https://pjjoint.malekal.com/files.php?id=20151217_13m12t15v8k12
merci
voici le résultat du scan par eset:
https://pjjoint.malekal.com/files.php?id=20151217_13m12t15v8k12
merci
ok..
C:\FRST\Quarantine\C\Users\mercier\AppData\Local\Ummedia\umbraSched32.dll Win32/Boaxxe.CR trojan
Le PC tourne mieux ?
C:\FRST\Quarantine\C\Users\mercier\AppData\Local\Ummedia\umbraSched32.dll Win32/Boaxxe.CR trojan
Le PC tourne mieux ?
De rien =)
Termine par un nettoyage Malwarebyte's Anti-Malware :
Voila, c'est terminé, tu peux supprimer les programmes utilisés.
Quelques conseils :
Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=
Comment sécuriser son ordinateur : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Termine par un nettoyage Malwarebyte's Anti-Malware :
- Tutorial Malwarebytes version gratuite
- Tutorial Malwarebytes version payante
Voila, c'est terminé, tu peux supprimer les programmes utilisés.
Quelques conseils :
Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=
Comment sécuriser son ordinateur : http://forum.malekal.com/comment-securiser-son-ordinateur.html