Ransomware [restore ***@***].java
Résolu
fruitdelame
-
hichamaziz Messages postés 28 Date d'inscription Statut Membre Dernière intervention -
hichamaziz Messages postés 28 Date d'inscription Statut Membre Dernière intervention -
Bonjour à tous,
J'ai mon serveur qui a été infecté par un ransomware du type "[restore ***@***].java", donc tous mes fichiers sont cryptés avec cette extension. Je trouve bizare que topic sur le net à ce sujet soit récent.
J'ai pu me débarrasser du ransomware avec l'aide de l'outil gratuit "remove" de sophos et du logiciel spyhunder que la majorité des tropics conseillé.
quelqu'un peut m'aider à descrypter mes fichier, je ne suis pas rentré en contact avec les ravisseurs, je tente tout seul. Merci si quelqu'un a une idée.
Cordialement.
J'ai mon serveur qui a été infecté par un ransomware du type "[restore ***@***].java", donc tous mes fichiers sont cryptés avec cette extension. Je trouve bizare que topic sur le net à ce sujet soit récent.
J'ai pu me débarrasser du ransomware avec l'aide de l'outil gratuit "remove" de sophos et du logiciel spyhunder que la majorité des tropics conseillé.
quelqu'un peut m'aider à descrypter mes fichier, je ne suis pas rentré en contact avec les ravisseurs, je tente tout seul. Merci si quelqu'un a une idée.
Cordialement.
A voir également:
- Ransomware [restore ***@***].java
- Waptrick java football - Télécharger - Jeux vidéo
- Jeux java itel - Télécharger - Jeux vidéo
- Eclipse java - Télécharger - Langages
- Java apk - Télécharger - Langages
- Waptrick java voiture - Télécharger - Jeux vidéo
5 réponses
Salt,
C'est trop tard pour tes fichiers, le mal a été fait.
SpyHunter n'a aucun intérêt, tu es tombé sur un faux site de désinfection bidon pour te le faire installer.
A lire : https://forum.malekal.com/viewtopic.php?t=12847&start=
En ce qui concerne la sécurité de ton serveur, je te conseille de lire ce dossier: https://www.malekal.com/piratage-serveur-windows-terminal-server/
Si tu veux vérifier ton ordinateur :
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.
Trois rapports FRST seront générés :
Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ afin de les partager.
En retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
C'est trop tard pour tes fichiers, le mal a été fait.
SpyHunter n'a aucun intérêt, tu es tombé sur un faux site de désinfection bidon pour te le faire installer.
A lire : https://forum.malekal.com/viewtopic.php?t=12847&start=
En ce qui concerne la sécurité de ton serveur, je te conseille de lire ce dossier: https://www.malekal.com/piratage-serveur-windows-terminal-server/
Si tu veux vérifier ton ordinateur :
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.
Trois rapports FRST seront générés :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ afin de les partager.
En retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Malekal_morte- ;
Voici les liens de fichiers après l'analyse:
https://pjjoint.malekal.com/files.php?id=FRST_20180312_q11f9d8y11v14
https://pjjoint.malekal.com/files.php?id=20180312_m15b10j11f14u5
https://pjjoint.malekal.com/files.php?id=20180312_x13j5r13m11g14
Je reste à l'attente
Merci
Voici les liens de fichiers après l'analyse:
https://pjjoint.malekal.com/files.php?id=FRST_20180312_q11f9d8y11v14
https://pjjoint.malekal.com/files.php?id=20180312_m15b10j11f14u5
https://pjjoint.malekal.com/files.php?id=20180312_x13j5r13m11g14
Je reste à l'attente
Merci
C:\Users\Administrateur\AppData\Local\resmon.resmoncfg.id-DA14639E.[restorehelp@qq.com].java
Dharma ransomware.
Tu peux tenter le lien de bazfile pour récupérer les fichiers.
Mais en général, quand un programme qui permet de décrypter est mis en ligne, le ransomware est corrigé par la suite.
Tente aussi les versions précédentes avec shadow explorer : https://www.malekal.com/versions-precedentes-de-fichiers-windows/
Mais là aussi le ransomware les supprime.
J'imagine que ça ouvre les instructions de paiements ?
Startup: C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-03-11] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-03-12] ()
Startup: C:\Users\IIS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-03-10] ()
il y a des restes de RegClean qui est un utilitaire très limite.
SpyHunter sert à rien.
histoire de nettoyer les restes, ce script fait redémarrer le serveur.
Ensuite, vérifie les comptes utilisateurs qui ont un accès TSE.
Peut-être aussi vérifier la configuration IIS, vu qu'un des scripts tourne sur cet utilitaire.
Des services réseaux sont accessibles depuis internet ?
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
Enregistre le contenu par le menu fichier puis enregistrer.
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Dharma ransomware.
Tu peux tenter le lien de bazfile pour récupérer les fichiers.
Mais en général, quand un programme qui permet de décrypter est mis en ligne, le ransomware est corrigé par la suite.
Tente aussi les versions précédentes avec shadow explorer : https://www.malekal.com/versions-precedentes-de-fichiers-windows/
Mais là aussi le ransomware les supprime.
J'imagine que ça ouvre les instructions de paiements ?
Startup: C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-03-11] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-03-12] ()
Startup: C:\Users\IIS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-03-10] ()
il y a des restes de RegClean qui est un utilitaire très limite.
SpyHunter sert à rien.
histoire de nettoyer les restes, ce script fait redémarrer le serveur.
Ensuite, vérifie les comptes utilisateurs qui ont un accès TSE.
Peut-être aussi vérifier la configuration IIS, vu qu'un des scripts tourne sur cet utilitaire.
Des services réseaux sont accessibles depuis internet ?
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
CreateRestorePoint:
CloseProcesses:
C:\Program Files (x86)\RCP
Startup: C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-03-11] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-03-12] ()
Startup: C:\Users\IIS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-03-10] ()
Task: {09D442E7-8C13-491E-810F-9D90680CF2E7} - System32\Tasks\RegClean Pro => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {3124FFD9-45BF-4AAD-B336-3F7EF85E9D69} - System32\Tasks\RegClean Pro_UPDATES => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {4F72F5CA-0C55-45DE-8203-10F707E676BC} - System32\Tasks\{60F0966C-C2C0-4C30-870F-ACF26D11C8A7} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {524B9F6C-B8AF-4821-909E-003AD8EDA74A} - System32\Tasks\{2038A4A3-3E31-40A9-96C5-7471A3037366} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {8869E18B-0015-4B05-AA16-7A09E2A7962A} - System32\Tasks\{DF46EF93-77AD-457A-94A6-3C5BA8E4A313} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {B0E710E5-B71B-4467-B961-7D6FBE4518BF} - System32\Tasks\{E94B1961-C6CD-4C4B-A3FD-825B1FBC6ADB} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {B6584795-B51C-41A3-AADB-87AEAE4D8E89} - System32\Tasks\RegClean Pro_DEFAULT => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {D714FB4E-07AB-4BC0-A053-E7DD72EDB974} - System32\Tasks\{500C1435-9F4E-4D3D-833E-2F17778F9E6A} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {EAA3B043-E0EC-4D13-B40C-415E7BF51813} - System32\Tasks\{8FD0D93D-1618-4DB1-B778-DDC2B9AC2C71} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {EFD6E7D7-28E9-4332-A9CF-AE6E64E091E7} - System32\Tasks\{D580D423-C8C8-40F3-B880-85258F11805B} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Enregistre le contenu par le menu fichier puis enregistrer.
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Malekal_morte-
Voici le contenu du log après le fix.
Merci encore pour votre aide. Je dois faire le restauration du système via un DVD, car il y'a certains fichiers systèmes tel que le fichier du management du serveur qui ont été crypté par notre ami le ravisseur. Et ensuite procéder aux installations des applications utiles.
Encore un grand merci.
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 11.03.2018 01
Exécuté par Administrateur (12-03-2018 17:04:55) Run:1
Exécuté depuis C:\Users\Administrateur\Desktop\fixFRST
Profils chargés: Administrateur (Profils disponibles: IIS & Administrateur & MSSQL$ARADIAL_WIFLY & MSSQLFDLauncher$ARADIAL_WIFLY & SQLAgent$ARADIAL_WIFLY & Classic .NET AppPool & .NET v4.5 & .NET v2.0 & .NET v4.5 Classic & .NET v2.0 Classic)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
C:\Program Files (x86)\RCP
Startup: C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-03-11] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-03-12] ()
Startup: C:\Users\IIS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-03-10] ()
Task: {09D442E7-8C13-491E-810F-9D90680CF2E7} - System32\Tasks\RegClean Pro => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {3124FFD9-45BF-4AAD-B336-3F7EF85E9D69} - System32\Tasks\RegClean Pro_UPDATES => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {4F72F5CA-0C55-45DE-8203-10F707E676BC} - System32\Tasks\{60F0966C-C2C0-4C30-870F-ACF26D11C8A7} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {524B9F6C-B8AF-4821-909E-003AD8EDA74A} - System32\Tasks\{2038A4A3-3E31-40A9-96C5-7471A3037366} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {8869E18B-0015-4B05-AA16-7A09E2A7962A} - System32\Tasks\{DF46EF93-77AD-457A-94A6-3C5BA8E4A313} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {B0E710E5-B71B-4467-B961-7D6FBE4518BF} - System32\Tasks\{E94B1961-C6CD-4C4B-A3FD-825B1FBC6ADB} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {B6584795-B51C-41A3-AADB-87AEAE4D8E89} - System32\Tasks\RegClean Pro_DEFAULT => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {D714FB4E-07AB-4BC0-A053-E7DD72EDB974} - System32\Tasks\{500C1435-9F4E-4D3D-833E-2F17778F9E6A} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {EAA3B043-E0EC-4D13-B40C-415E7BF51813} - System32\Tasks\{8FD0D93D-1618-4DB1-B778-DDC2B9AC2C71} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {EFD6E7D7-28E9-4332-A9CF-AE6E64E091E7} - System32\Tasks\{D580D423-C8C8-40F3-B880-85258F11805B} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Erreur: (0) Impossible de créer un point de restauration.
Processus fermé avec succès.
"C:\Program Files (x86)\RCP" => non trouvé(e)
C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta => déplacé(es) avec succès
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta => déplacé(es) avec succès
C:\Users\IIS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{09D442E7-8C13-491E-810F-9D90680CF2E7}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{09D442E7-8C13-491E-810F-9D90680CF2E7}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\RegClean Pro => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\RegClean Pro" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{3124FFD9-45BF-4AAD-B336-3F7EF85E9D69}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3124FFD9-45BF-4AAD-B336-3F7EF85E9D69}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\RegClean Pro_UPDATES => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\RegClean Pro_UPDATES" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{4F72F5CA-0C55-45DE-8203-10F707E676BC}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{4F72F5CA-0C55-45DE-8203-10F707E676BC}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\{60F0966C-C2C0-4C30-870F-ACF26D11C8A7} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{60F0966C-C2C0-4C30-870F-ACF26D11C8A7}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{524B9F6C-B8AF-4821-909E-003AD8EDA74A}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{524B9F6C-B8AF-4821-909E-003AD8EDA74A}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\{2038A4A3-3E31-40A9-96C5-7471A3037366} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{2038A4A3-3E31-40A9-96C5-7471A3037366}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{8869E18B-0015-4B05-AA16-7A09E2A7962A}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8869E18B-0015-4B05-AA16-7A09E2A7962A}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\{DF46EF93-77AD-457A-94A6-3C5BA8E4A313} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{DF46EF93-77AD-457A-94A6-3C5BA8E4A313}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{B0E710E5-B71B-4467-B961-7D6FBE4518BF}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B0E710E5-B71B-4467-B961-7D6FBE4518BF}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\{E94B1961-C6CD-4C4B-A3FD-825B1FBC6ADB} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{E94B1961-C6CD-4C4B-A3FD-825B1FBC6ADB}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{B6584795-B51C-41A3-AADB-87AEAE4D8E89}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B6584795-B51C-41A3-AADB-87AEAE4D8E89}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\RegClean Pro_DEFAULT => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\RegClean Pro_DEFAULT" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{D714FB4E-07AB-4BC0-A053-E7DD72EDB974}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D714FB4E-07AB-4BC0-A053-E7DD72EDB974}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\{500C1435-9F4E-4D3D-833E-2F17778F9E6A} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{500C1435-9F4E-4D3D-833E-2F17778F9E6A}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{EAA3B043-E0EC-4D13-B40C-415E7BF51813}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EAA3B043-E0EC-4D13-B40C-415E7BF51813}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\{8FD0D93D-1618-4DB1-B778-DDC2B9AC2C71} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{8FD0D93D-1618-4DB1-B778-DDC2B9AC2C71}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{EFD6E7D7-28E9-4332-A9CF-AE6E64E091E7}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EFD6E7D7-28E9-4332-A9CF-AE6E64E091E7}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\{D580D423-C8C8-40F3-B880-85258F11805B} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{D580D423-C8C8-40F3-B880-85258F11805B}" => supprimé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.
========= RemoveProxy: =========
"HKU\S-1-5-21-3548782765-391072885-3921941734-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3548782765-391072885-3921941734-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
========= Fin de RemoveProxy: =========
=========== EmptyTemp: ==========
BITS transfer queue => 9961980 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 21033564 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 1564831 B
Edge => 0 B
Chrome => 20728148 B
Firefox => 0 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 128 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 0 B
IIS => 66344 B
Administrateur => 603015 B
MSSQL$ARADIAL_WIFLY => 0 B
MSSQLFDLauncher$ARADIAL_WIFLY => 0 B
SQLAgent$ARADIAL_WIFLY => 0 B
Classic .NET AppPool => 0 B
.NET v4.5 => 0 B
.NET v2.0 => 0 B
.NET v4.5 Classic => 0 B
.NET v2.0 Classic => 0 B
RecycleBin => 11044278 B
EmptyTemp: => 62 MB données temporaires supprimées.
================================
Le système a dû redémarrer.
Voici le contenu du log après le fix.
Merci encore pour votre aide. Je dois faire le restauration du système via un DVD, car il y'a certains fichiers systèmes tel que le fichier du management du serveur qui ont été crypté par notre ami le ravisseur. Et ensuite procéder aux installations des applications utiles.
Encore un grand merci.
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 11.03.2018 01
Exécuté par Administrateur (12-03-2018 17:04:55) Run:1
Exécuté depuis C:\Users\Administrateur\Desktop\fixFRST
Profils chargés: Administrateur (Profils disponibles: IIS & Administrateur & MSSQL$ARADIAL_WIFLY & MSSQLFDLauncher$ARADIAL_WIFLY & SQLAgent$ARADIAL_WIFLY & Classic .NET AppPool & .NET v4.5 & .NET v2.0 & .NET v4.5 Classic & .NET v2.0 Classic)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
C:\Program Files (x86)\RCP
Startup: C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-03-11] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-03-12] ()
Startup: C:\Users\IIS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-03-10] ()
Task: {09D442E7-8C13-491E-810F-9D90680CF2E7} - System32\Tasks\RegClean Pro => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {3124FFD9-45BF-4AAD-B336-3F7EF85E9D69} - System32\Tasks\RegClean Pro_UPDATES => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {4F72F5CA-0C55-45DE-8203-10F707E676BC} - System32\Tasks\{60F0966C-C2C0-4C30-870F-ACF26D11C8A7} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {524B9F6C-B8AF-4821-909E-003AD8EDA74A} - System32\Tasks\{2038A4A3-3E31-40A9-96C5-7471A3037366} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {8869E18B-0015-4B05-AA16-7A09E2A7962A} - System32\Tasks\{DF46EF93-77AD-457A-94A6-3C5BA8E4A313} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {B0E710E5-B71B-4467-B961-7D6FBE4518BF} - System32\Tasks\{E94B1961-C6CD-4C4B-A3FD-825B1FBC6ADB} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {B6584795-B51C-41A3-AADB-87AEAE4D8E89} - System32\Tasks\RegClean Pro_DEFAULT => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {D714FB4E-07AB-4BC0-A053-E7DD72EDB974} - System32\Tasks\{500C1435-9F4E-4D3D-833E-2F17778F9E6A} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {EAA3B043-E0EC-4D13-B40C-415E7BF51813} - System32\Tasks\{8FD0D93D-1618-4DB1-B778-DDC2B9AC2C71} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {EFD6E7D7-28E9-4332-A9CF-AE6E64E091E7} - System32\Tasks\{D580D423-C8C8-40F3-B880-85258F11805B} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Erreur: (0) Impossible de créer un point de restauration.
Processus fermé avec succès.
"C:\Program Files (x86)\RCP" => non trouvé(e)
C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta => déplacé(es) avec succès
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta => déplacé(es) avec succès
C:\Users\IIS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{09D442E7-8C13-491E-810F-9D90680CF2E7}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{09D442E7-8C13-491E-810F-9D90680CF2E7}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\RegClean Pro => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\RegClean Pro" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{3124FFD9-45BF-4AAD-B336-3F7EF85E9D69}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3124FFD9-45BF-4AAD-B336-3F7EF85E9D69}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\RegClean Pro_UPDATES => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\RegClean Pro_UPDATES" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{4F72F5CA-0C55-45DE-8203-10F707E676BC}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{4F72F5CA-0C55-45DE-8203-10F707E676BC}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\{60F0966C-C2C0-4C30-870F-ACF26D11C8A7} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{60F0966C-C2C0-4C30-870F-ACF26D11C8A7}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{524B9F6C-B8AF-4821-909E-003AD8EDA74A}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{524B9F6C-B8AF-4821-909E-003AD8EDA74A}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\{2038A4A3-3E31-40A9-96C5-7471A3037366} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{2038A4A3-3E31-40A9-96C5-7471A3037366}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{8869E18B-0015-4B05-AA16-7A09E2A7962A}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8869E18B-0015-4B05-AA16-7A09E2A7962A}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\{DF46EF93-77AD-457A-94A6-3C5BA8E4A313} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{DF46EF93-77AD-457A-94A6-3C5BA8E4A313}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{B0E710E5-B71B-4467-B961-7D6FBE4518BF}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B0E710E5-B71B-4467-B961-7D6FBE4518BF}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\{E94B1961-C6CD-4C4B-A3FD-825B1FBC6ADB} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{E94B1961-C6CD-4C4B-A3FD-825B1FBC6ADB}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{B6584795-B51C-41A3-AADB-87AEAE4D8E89}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B6584795-B51C-41A3-AADB-87AEAE4D8E89}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\RegClean Pro_DEFAULT => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\RegClean Pro_DEFAULT" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{D714FB4E-07AB-4BC0-A053-E7DD72EDB974}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D714FB4E-07AB-4BC0-A053-E7DD72EDB974}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\{500C1435-9F4E-4D3D-833E-2F17778F9E6A} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{500C1435-9F4E-4D3D-833E-2F17778F9E6A}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{EAA3B043-E0EC-4D13-B40C-415E7BF51813}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EAA3B043-E0EC-4D13-B40C-415E7BF51813}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\{8FD0D93D-1618-4DB1-B778-DDC2B9AC2C71} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{8FD0D93D-1618-4DB1-B778-DDC2B9AC2C71}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{EFD6E7D7-28E9-4332-A9CF-AE6E64E091E7}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EFD6E7D7-28E9-4332-A9CF-AE6E64E091E7}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\{D580D423-C8C8-40F3-B880-85258F11805B} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{D580D423-C8C8-40F3-B880-85258F11805B}" => supprimé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.
========= RemoveProxy: =========
"HKU\S-1-5-21-3548782765-391072885-3921941734-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3548782765-391072885-3921941734-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
========= Fin de RemoveProxy: =========
=========== EmptyTemp: ==========
BITS transfer queue => 9961980 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 21033564 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 1564831 B
Edge => 0 B
Chrome => 20728148 B
Firefox => 0 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 128 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 0 B
IIS => 66344 B
Administrateur => 603015 B
MSSQL$ARADIAL_WIFLY => 0 B
MSSQLFDLauncher$ARADIAL_WIFLY => 0 B
SQLAgent$ARADIAL_WIFLY => 0 B
Classic .NET AppPool => 0 B
.NET v4.5 => 0 B
.NET v2.0 => 0 B
.NET v4.5 Classic => 0 B
.NET v2.0 Classic => 0 B
RecycleBin => 11044278 B
EmptyTemp: => 62 MB données temporaires supprimées.
================================
Le système a dû redémarrer.
Merci.