Infection rancongiciel cerber

Afka -  
kardegil Messages postés 1697 Date d'inscription   Statut Membre Dernière intervention   -
Bonjour,

Je viens vers vous car j'ai cru comprendre m'être fait infecté par un rancongiciel type cerber... En effet tout mes fichiers situé sur mon drive, sur mon pc se sont retrouvé infecté. Toute la compta de mon entreprise est devenue inutilisable! J'ai essayé de restaurer mon pc a une date antérieure mais impossible..

Aidez moi! merci



A voir également:

8 réponses

Réponse 1 / 8
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Salut,

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.

Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.

1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.


0
Réponse 2 / 8
Afka
 
Salut,


Je te remercie du coup de pouce,

voici les liens avec les rapports de scan

http://pjjoint.malekal.com/files.php?id=20160429_n7w13g910m15

http://pjjoint.malekal.com/files.php?id=FRST_20160429_f7k13t9n12e11

http://pjjoint.malekal.com/files.php?id=20160429_13k12t9w13t8
0
Réponse 3 / 8
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Suis ces deux étapes :

1/

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 

CreateRestorePoint:
CloseProcesses:
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [runas] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\runas.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [verclsid] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\verclsid.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [syskey] => C:\Users\Nicolas\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\syskey.exe [160423 2014-03-20] ()  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [w32tm] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\w32tm.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [Utilman] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\Utilman.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [ktmutil] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\ktmutil.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [certreq] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\certreq.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [ipconfig] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\ipconfig.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [instnm] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\instnm.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [CertEnrollCtrl] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\CertEnrollCtrl.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [EaseOfAccessDialog] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\EaseOfAccessDialog.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [eventvwr] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\eventvwr.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [help] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\help.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [cmdkey] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\cmdkey.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [HOSTNAME] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\HOSTNAME.EXE  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [rasphone] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\rasphone.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [pcaui] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\pcaui.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [newdev] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\newdev.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [CloudStorageWizard] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\CloudStorageWizard.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [sdbinst] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\sdbinst.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [DisplaySwitch] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\DisplaySwitch.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [expand] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\expand.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [dialer] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\dialer.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [ieUnatt] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\ieUnatt.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [sc] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\sc.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [xwizard] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\xwizard.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [dccw] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\dccw.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [WerFaultSecure] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\WerFaultSecure.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [ARP] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\ARP.EXE  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [setx] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\setx.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [CheckNetIsolation] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\CheckNetIsolation.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [getmac] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\getmac.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [LocationNotifications] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\LocationNotifications.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [TapiUnattend] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\TapiUnattend.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [UserAccountControlSettings] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\UserAccountControlSettings.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [fc] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\fc.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [ndadmin] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\ndadmin.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [OpenWith] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\OpenWith.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [rdrleakdiag] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\rdrleakdiag.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [RMActivate_ssp] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\RMActivate_ssp.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [sdchange] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\sdchange.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [fsutil] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\fsutil.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [raserver] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\raserver.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [cipher] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\cipher.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [wusa] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\wusa.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [choice] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\choice.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [runas] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\runas.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [verclsid] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\verclsid.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [syskey] => C:\Users\Nicolas\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\syskey.exe [160423 2014-03-20] ()  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [w32tm] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\w32tm.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [Utilman] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\Utilman.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [ktmutil] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\ktmutil.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [certreq] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\certreq.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [ipconfig] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\ipconfig.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [instnm] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\instnm.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [CertEnrollCtrl] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\CertEnrollCtrl.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [EaseOfAccessDialog] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\EaseOfAccessDialog.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [eventvwr] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\eventvwr.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [help] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\help.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [cmdkey] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\cmdkey.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [HOSTNAME] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\HOSTNAME.EXE  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [rasphone] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\rasphone.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [pcaui] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\pcaui.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [newdev] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\newdev.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [CloudStorageWizard] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\CloudStorageWizard.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [sdbinst] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\sdbinst.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [DisplaySwitch] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\DisplaySwitch.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [expand] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\expand.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [dialer] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\dialer.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [ieUnatt] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\ieUnatt.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [sc] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\sc.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [xwizard] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\xwizard.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [dccw] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\dccw.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [WerFaultSecure] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\WerFaultSecure.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [ARP] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\ARP.EXE  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [setx] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\setx.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [CheckNetIsolation] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\CheckNetIsolation.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [getmac] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\getmac.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [LocationNotifications] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\LocationNotifications.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [TapiUnattend] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\TapiUnattend.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [UserAccountControlSettings] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\UserAccountControlSettings.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [fc] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\fc.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [ndadmin] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\ndadmin.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [OpenWith] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\OpenWith.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [rdrleakdiag] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\rdrleakdiag.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [RMActivate_ssp] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\RMActivate_ssp.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [sdchange] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\sdchange.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [fsutil] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\fsutil.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [raserver] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\raserver.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [cipher] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\cipher.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [wusa] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\wusa.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [choice] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\choice.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Policies\Explorer: [Run] C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\choice.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Command Processor: C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\choice.exe <===== ATTENTION  
 HKU\S-1-5-18\...\Run: [runas] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\runas.exe 
 HKU\S-1-5-18\...\Run: [verclsid] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\verclsid.exe 
 HKU\S-1-5-18\...\Run: [syskey] => C:\Users\Nicolas\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\syskey.exe [160423 2014-03-20] () 
 HKU\S-1-5-18\...\Run: [w32tm] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\w32tm.exe 
 HKU\S-1-5-18\...\Run: [Utilman] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\Utilman.exe 
 HKU\S-1-5-18\...\Run: [ktmutil] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\ktmutil.exe 
 HKU\S-1-5-18\...\Run: [certreq] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\certreq.exe 
 HKU\S-1-5-18\...\Run: [ipconfig] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\ipconfig.exe 
 HKU\S-1-5-18\...\Run: [instnm] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\instnm.exe 
 HKU\S-1-5-18\...\Run: [CertEnrollCtrl] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\CertEnrollCtrl.exe 
 HKU\S-1-5-18\...\Run: [EaseOfAccessDialog] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\EaseOfAccessDialog.exe 
 HKU\S-1-5-18\...\Run: [eventvwr] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\eventvwr.exe 
 HKU\S-1-5-18\...\Run: [help] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\help.exe 
 HKU\S-1-5-18\...\Run: [cmdkey] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\cmdkey.exe 
 HKU\S-1-5-18\...\Run: [HOSTNAME] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\HOSTNAME.EXE 
 HKU\S-1-5-18\...\Run: [rasphone] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\rasphone.exe 
 HKU\S-1-5-18\...\Run: [pcaui] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\pcaui.exe 
 HKU\S-1-5-18\...\Run: [newdev] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\newdev.exe 
 HKU\S-1-5-18\...\Run: [CloudStorageWizard] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\CloudStorageWizard.exe 
 HKU\S-1-5-18\...\Run: [sdbinst] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\sdbinst.exe 
 HKU\S-1-5-18\...\Run: [DisplaySwitch] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\DisplaySwitch.exe 
 HKU\S-1-5-18\...\Run: [expand] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\expand.exe 
 HKU\S-1-5-18\...\Run: [dialer] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\dialer.exe 
 HKU\S-1-5-18\...\Run: [ieUnatt] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\ieUnatt.exe 
 HKU\S-1-5-18\...\Run: [sc] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\sc.exe 
 HKU\S-1-5-18\...\Run: [xwizard] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\xwizard.exe 
 HKU\S-1-5-18\...\Run: [dccw] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\dccw.exe 
 HKU\S-1-5-18\...\Run: [WerFaultSecure] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\WerFaultSecure.exe 
 HKU\S-1-5-18\...\Run: [ARP] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\ARP.EXE 
 HKU\S-1-5-18\...\Run: [setx] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\setx.exe 
 HKU\S-1-5-18\...\Run: [CheckNetIsolation] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\CheckNetIsolation.exe 
 HKU\S-1-5-18\...\Run: [getmac] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\getmac.exe 
 HKU\S-1-5-18\...\Run: [LocationNotifications] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\LocationNotifications.exe 
 HKU\S-1-5-18\...\Run: [TapiUnattend] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\TapiUnattend.exe 
 HKU\S-1-5-18\...\Run: [UserAccountControlSettings] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\UserAccountControlSettings.exe 
 HKU\S-1-5-18\...\Run: [fc] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\fc.exe 
 HKU\S-1-5-18\...\Run: [ndadmin] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\ndadmin.exe 
 HKU\S-1-5-18\...\Run: [OpenWith] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\OpenWith.exe 
 HKU\S-1-5-18\...\Run: [rdrleakdiag] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\rdrleakdiag.exe 
 HKU\S-1-5-18\...\Run: [RMActivate_ssp] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\RMActivate_ssp.exe 
 HKU\S-1-5-18\...\Run: [sdchange] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\sdchange.exe 
 HKU\S-1-5-18\...\Run: [fsutil] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\fsutil.exe 
 HKU\S-1-5-18\...\Run: [raserver] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\raserver.exe 
 HKU\S-1-5-18\...\Run: [cipher] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\cipher.exe 
 HKU\S-1-5-18\...\Run: [wusa] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\wusa.exe 
 HKU\S-1-5-18\...\Run: [choice] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\choice.exe 
 HKU\S-1-5-18\...\RunOnce: [runas] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\runas.exe 
 HKU\S-1-5-18\...\RunOnce: [verclsid] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\verclsid.exe 
 HKU\S-1-5-18\...\RunOnce: [syskey] => C:\Users\Nicolas\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\syskey.exe [160423 2014-03-20] () 
 HKU\S-1-5-18\...\RunOnce: [w32tm] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\w32tm.exe 
 HKU\S-1-5-18\...\RunOnce: [Utilman] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\Utilman.exe 
 HKU\S-1-5-18\...\RunOnce: [ktmutil] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\ktmutil.exe 
 HKU\S-1-5-18\...\RunOnce: [certreq] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\certreq.exe 
 HKU\S-1-5-18\...\RunOnce: [ipconfig] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\ipconfig.exe 
 HKU\S-1-5-18\...\RunOnce: [instnm] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\instnm.exe 
 HKU\S-1-5-18\...\RunOnce: [CertEnrollCtrl] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\CertEnrollCtrl.exe 
 HKU\S-1-5-18\...\RunOnce: [EaseOfAccessDialog] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\EaseOfAccessDialog.exe 
 HKU\S-1-5-18\...\RunOnce: [eventvwr] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\eventvwr.exe 
 HKU\S-1-5-18\...\RunOnce: [help] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\help.exe 
 HKU\S-1-5-18\...\RunOnce: [cmdkey] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\cmdkey.exe 
 HKU\S-1-5-18\...\RunOnce: [HOSTNAME] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\HOSTNAME.EXE 
 HKU\S-1-5-18\...\RunOnce: [rasphone] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\rasphone.exe 
 HKU\S-1-5-18\...\RunOnce: [pcaui] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\pcaui.exe 
 HKU\S-1-5-18\...\RunOnce: [newdev] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\newdev.exe 
 HKU\S-1-5-18\...\RunOnce: [CloudStorageWizard] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\CloudStorageWizard.exe 
 HKU\S-1-5-18\...\RunOnce: [sdbinst] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\sdbinst.exe 
 HKU\S-1-5-18\...\RunOnce: [DisplaySwitch] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\DisplaySwitch.exe 
 HKU\S-1-5-18\...\RunOnce: [expand] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\expand.exe 
 HKU\S-1-5-18\...\RunOnce: [dialer] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\dialer.exe 
 HKU\S-1-5-18\...\RunOnce: [ieUnatt] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\ieUnatt.exe 
 HKU\S-1-5-18\...\RunOnce: [sc] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\sc.exe 
 HKU\S-1-5-18\...\RunOnce: [xwizard] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\xwizard.exe 
 HKU\S-1-5-18\...\RunOnce: [dccw] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\dccw.exe 
 HKU\S-1-5-18\...\RunOnce: [WerFaultSecure] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\WerFaultSecure.exe 
 HKU\S-1-5-18\...\RunOnce: [ARP] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\ARP.EXE 
 HKU\S-1-5-18\...\RunOnce: [setx] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\setx.exe 
 HKU\S-1-5-18\...\RunOnce: [CheckNetIsolation] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\CheckNetIsolation.exe 
 HKU\S-1-5-18\...\RunOnce: [getmac] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\getmac.exe 
 HKU\S-1-5-18\...\RunOnce: [LocationNotifications] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\LocationNotifications.exe 
 HKU\S-1-5-18\...\RunOnce: [TapiUnattend] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\TapiUnattend.exe 
 HKU\S-1-5-18\...\RunOnce: [UserAccountControlSettings] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\UserAccountControlSettings.exe 
 HKU\S-1-5-18\...\RunOnce: [fc] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\fc.exe 
 HKU\S-1-5-18\...\RunOnce: [ndadmin] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\ndadmin.exe 
 HKU\S-1-5-18\...\RunOnce: [OpenWith] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\OpenWith.exe 
 HKU\S-1-5-18\...\RunOnce: [rdrleakdiag] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\rdrleakdiag.exe 
 HKU\S-1-5-18\...\RunOnce: [RMActivate_ssp] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\RMActivate_ssp.exe 
 HKU\S-1-5-18\...\RunOnce: [sdchange] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\sdchange.exe 
 HKU\S-1-5-18\...\RunOnce: [fsutil] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\fsutil.exe 
 HKU\S-1-5-18\...\RunOnce: [raserver] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\raserver.exe 
 HKU\S-1-5-18\...\RunOnce: [cipher] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\cipher.exe 
 HKU\S-1-5-18\...\RunOnce: [wusa] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\wusa.exe 
 HKU\S-1-5-18\...\RunOnce: [choice] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\choice.exe 
 HKU\S-1-5-18\...\Policies\Explorer: [Run] C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\choice.exe 
 HKU\S-1-5-18\...\Command Processor: C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\choice.exe <===== ATTENTION 
 HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\choice.exe 
 2016-04-27 22:34 - 2016-04-27 22:34 - 00012834 _____ C:\Users\Nicolas\Desktop\# DECRYPT MY FILES #.html 
 2016-04-27 22:34 - 2016-04-27 22:34 - 00011382 _____ C:\Users\Nicolas\Desktop\# DECRYPT MY FILES #.txt 
 2016-04-27 22:34 - 2016-04-27 22:34 - 00000204 _____ C:\Users\Nicolas\Desktop\# DECRYPT MY FILES #.vbs 
 2016-04-27 22:33 - 2016-04-27 22:33 - 00012834 _____ C:\Users\Nicolas\AppData\# DECRYPT MY FILES #.html 
2016-04-27 22:33 - 2016-04-27 22:33 - 00012834 _____ C:\Users\Nicolas\# DECRYPT MY FILES #.html 
 2016-04-27 22:33 - 2016-04-27 22:33 - 00011382 _____ C:\Users\Nicolas\AppData\# DECRYPT MY FILES #.txt 
2016-04-27 22:33 - 2016-04-27 22:33 - 00011382 _____ C:\Users\Nicolas\# DECRYPT MY FILES #.txt 
 2016-04-27 22:33 - 2016-04-27 22:33 - 00000204 _____ C:\Users\Nicolas\AppData\# DECRYPT MY FILES #.vbs 
2016-04-27 22:33 - 2016-04-27 22:33 - 00000204 _____ C:\Users\Nicolas\# DECRYPT MY FILES #.vbs 
2016-04-27 22:05 - 2016-04-27 22:05 - 00012834 _____ C:\# DECRYPT MY FILES #.html 
2016-04-27 22:05 - 2016-04-27 22:05 - 00011382 _____ C:\# DECRYPT MY FILES #.txt 
2016-04-27 22:05 - 2016-04-27 22:05 - 00000204 _____ C:\# DECRYPT MY FILES #.vbs 
 2016-04-27 22:02 - 2016-04-27 22:02 - 00012834 _____ C:\Users\Nicolas\Downloads\# DECRYPT MY FILES #.html 
 2016-04-27 22:02 - 2016-04-27 22:02 - 00012834 _____ C:\Users\Nicolas\Documents\# DECRYPT MY FILES #.html 
 2016-04-27 22:02 - 2016-04-27 22:02 - 00011382 _____ C:\Users\Nicolas\Downloads\# DECRYPT MY FILES #.txt 
 2016-04-27 22:02 - 2016-04-27 22:02 - 00011382 _____ C:\Users\Nicolas\Documents\# DECRYPT MY FILES #.txt 
 2016-04-27 22:02 - 2016-04-27 22:02 - 00000204 _____ C:\Users\Nicolas\Downloads\# DECRYPT MY FILES #.vbs 
 2016-04-27 22:02 - 2016-04-27 22:02 - 00000204 _____ C:\Users\Nicolas\Documents\# DECRYPT MY FILES #.vbs 
 2016-04-26 12:11 - 2016-04-26 12:11 - 00032768 _____ C:\Users\Nicolas\AppData\Roaming\ProxySettings.dll 
  () C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,

Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.

2/
Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
0
Réponse 4 / 8
Afka
 
L'upload est fait! Qu'en est il de la suite?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 8
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
merci :)


Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur http://pjjoint.malekal.com/ et donne le lien ici.

puis refais un scan FRST et donne les rapports via pjjoint.
0
Réponse 6 / 8
Afka
 
Je n'ai pas réussi a avoir de rapport a enregistrer pour le scan nod32.

Voici les rapports FRST (yen a que 2):

http://pjjoint.malekal.com/files.php?id=20160429_c9w15k14x15t8

http://pjjoint.malekal.com/files.php?id=FRST_20160429_j11b10e10p7v9
0
Afka
 
Faut il que je relance le scan nod32?
0
Réponse 7 / 8
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
C'est normal ce proxy 178.32.218.104:3128 ?

Sinon c'est correct, change tous tes mots de passe et sécurise ton ordinateur pour ne pas te faire réinfecter..



Comment se protéger des scripts malicieux sur Windows

Renforce la sécurité de ton Windows : Comment sécuriser mon Windows


0
Réponse 8 / 8
Afka
 
Ok merci... mais qu'en est il des documents infectés? J'avais des fichiers relativement important et même mon onedrive s'est vu infecté, comment procéder pour les récupérer?
0
kardegil Messages postés 1697 Date d'inscription   Statut Membre Dernière intervention   306
 
Bonjour,

Malekal morte t'a répondu, relis bien sa réponse.
0

Discussions similaires

rancongiciel avec mot de passe donné
commis1 -
Malekal_morte- -

44 réponses
infection
gladiator1952 -
gladiator1952 -

6 réponses
infection ou pas?
jpn1000 -
mcvivien2 -

5 réponses
Infection ou pas ???
karissia -
helpcenter -

1 réponse
Infection pc
Nanie24 -
Nanie24 -

22 réponses