Sujet Précédent Sujet Suivant

Ransomware Actif sur mon PC que faire?

Résolu/Fermé
PR8DZ Messages postés 9 Date d'inscription lundi 26 novembre 2018 Statut Membre Dernière intervention 19 avril 2021 - Modifié le 26 nov. 2018 à 20:34
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 28 nov. 2018 à 16:46
Bonjour,

Je vais essayer d'expliquer du mieux que je peux.

J'ai telecharger un logiciel clean en apparence mais qui enfaite était un virus, pleins de pop up qui s'ouvre etc aisin que mon chrome qui ne s'ouvrait plus, fin bref la galère, j'ai donc fait plusieurs analyse avec malwareBytes, qui m'ont enlever 1400+ menaces, ensuite tout allait bien, plus aucune pop up ou quoi, mais en regardant dans mes fichiers, sur chaque repertoire dans mes deux disques durs j'ai un fichier bloc notes avec écrit a l'interieur quil ne faut absolument pas que je supprime ce fichier ou que je le modifie sinon toutes mes données seront cryptées etc.
J'ai vérifier et seulement certains de mes fichiers sont cryptés, peut etre que j'ai supprimer le virus a temps? Est il toujours la? Sachant que j'ai refait des analyses sur plusieurs logiciels dont malwaresbytes et 0 menaces ne sont detectées.

Je ne sais pas quoi faire, est ce que je remet a 0 mon disque dur? Est ce que je peux tout supprimer sans risques? est ce que le fait de supprimer les fameux fichiers bloc notes peut avoir un impact ou c'est juste pour faire peur?

j'ai vraiment besoin de votre aide!

PS: Je suis pret a perdre tout mes fichiers pas de soucis

Voici le contenu du bloc notes en question:

---= GANDCRAB V5.0.4 =---


*
                                              • UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED***********************
          • FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE ARE DECRYPTION ERRORS*****


Attention!

All your files, documents, photos, databases and other important files are encrypted and have the extension: .ETIEWCFE

The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.


The server with your key is in a closed network TOR. You can get there by the following ways:

----------------------------------------------------------------------------------------

| 0. Download Tor browser - https://www.torproject.org/

| 1. Install Tor browser
| 2. Open Tor Browser
| 3. Open link in TOR browser: Lien onion que je supprime
| 4. Follow the instructions on this page

----------------------------------------------------------------------------------------


On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.


ATTENTION!

IN ORDER TO PREVENT DATA DAMAGE:
  • DO NOT MODIFY ENCRYPTED FILES
  • DO NOT CHANGE DATA BELOW


---BEGIN GANDCRAB KEY---
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
---END GANDCRAB KEY---

---BEGIN PC DATA---
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
---END PC DATA---
A voir également:

6 réponses

Réponse 1 / 6
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 644
26 nov. 2018 à 21:11
Salut,

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Tu peux tout de même tenter les version précédentes avec Shadow Explorer
Garde les fichiers quelques mois et surveille cette page pour d'éventuelle solution à l'avenir et un outil qui permet de récupérer les fichiers : Liste des DecryptTools pour les ransomwares

Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.

1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

0
Réponse 2 / 6
PR8DZ Messages postés 9 Date d'inscription lundi 26 novembre 2018 Statut Membre Dernière intervention 19 avril 2021
26 nov. 2018 à 22:34
Merci de ton aide! Voici ce que tu m'as demander.

FRST: https://pjjoint.malekal.com/files.php?id=FRST_20181126_x8s8l9h10u9
Addition: https://pjjoint.malekal.com/files.php?id=20181126_k7t8o14f9q13
Shortcut: https://pjjoint.malekal.com/files.php?id=20181126_c14t12v11z9w14
0
Réponse 3 / 6
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 644
Modifié le 26 nov. 2018 à 23:02
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci. 

CreateRestorePoint:
CloseProcesses:
 2018-11-26 18:23 - 2018-11-26 19:11 - 000000000 ____D C:\Users\Ordinateur\AppData\Roaming\ShopMore
2018-11-26 18:23 - 2018-11-26 19:11 - 000000000 ____D C:\Users\Ordinateur\AppData\Roaming\edfnjc341wt
2018-11-26 18:23 - 2018-11-26 19:11 - 000000000 ____D C:\Users\Ordinateur\AppData\Roaming\a4bo3zal3h1
2018-11-26 18:23 - 2018-11-26 19:11 - 000000000 ____D C:\Users\Ordinateur\AppData\Roaming\4xxmuwrsbtb
2018-11-26 18:23 - 2018-11-26 19:04 - 000000000 ____D C:\Program Files (x86)\Live
2018-11-26 18:23 - 2018-11-26 18:26 - 000000000 ____D C:\ProgramData\Lifh
2018-11-26 18:23 - 2018-11-26 18:24 - 000000000 ____D C:\ProgramData\JR9IGP5YKKIL9IFX5SE3
2018-11-26 18:23 - 2018-11-26 18:23 - 000140800 _____ C:\Users\Ordinateur\AppData\Local\installer.dat
2018-11-26 18:23 - 2018-11-26 18:23 - 000000000 ____D C:\Users\Ordinateur\AppData\Roaming\Python
2018-11-26 18:23 - 2018-11-26 18:23 - 000000000 ____D C:\Users\Ordinateur\AppData\Roaming\barinov 
 BHO-x32: iSkysoft iTube Studio 6.0.0 -> {1A6B6AD0-2735-498F-834C-AFCEA37847C2} -> D:\iTube Studio\BrowserPlugin\KVBrowserAppMgr.dll => Pas de fichier 
Task: {F45C6613-AEEE-4CA7-8295-B30882F3FD0B} - System32\Tasks\refinesrefines => C:\Program Files (x86)\Pilsner\gynecology.exe [2018-11-26] ()
HKU\S-1-5-21-12517026-727006428-4187247861-1000\...\Run: [Lifh] => C:\ProgramData\Lifh\Lifh.exe
HKU\S-1-5-21-12517026-727006428-4187247861-1000\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize 
Startup: C:\Users\Ordinateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IPsO.lnk [2016-09-27]
ShortcutTarget: IPsO.lnk -> C:\Program Files\IPsO_4\IPsO.exe (Pas de fichier)
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
2018-11-26 19:20 - 2018-11-26 19:21 - 000000000 ____D C:\ProgramData\2NUWSUGP2KKLH27DC2M1
2018-11-26 18:45 - 2018-11-26 19:11 - 000000000 ____D C:\Program Files (x86)\ProxyGate
2018-11-26 18:44 - 2018-11-26 19:03 - 000000000 ____D C:\Program Files\WebDiscoverBrowser
2018-11-26 18:30 - 2018-11-26 18:30 - 000000000 ____D C:\ProgramData\BR1PX5GS0A2NWCI0ZRMD
2018-11-26 18:28 - 2018-11-26 19:11 - 000000000 ___HD C:\Program Files (x86)\rays
2018-11-26 18:28 - 2018-11-26 19:11 - 000000000 ____D C:\Program Files\Klukwan
2018-11-26 18:28 - 2018-11-26 19:11 - 000000000 ____D C:\Program Files (x86)\Clamped
2018-11-26 18:28 - 2018-11-26 19:08 - 000000000 ___HD C:\Program Files (x86)\Byword
2018-11-26 18:28 - 2018-11-26 19:08 - 000000000 ____D C:\Program Files (x86)\languish
2018-11-26 18:24 - 2018-11-26 19:11 - 000000000 ____D C:\Users\Ordinateur\AppData\Roaming\zn2jxdom3zl
2018-11-26 18:24 - 2018-11-26 19:11 - 000000000 ____D C:\Users\Ordinateur\AppData\Roaming\to21cbkr4bb
2018-11-26 18:24 - 2018-11-26 19:11 - 000000000 ____D C:\Users\Ordinateur\AppData\Roaming\nnupixc52l1
2018-11-26 18:24 - 2018-11-26 19:11 - 000000000 ____D C:\Users\Ordinateur\AppData\Roaming\nk3xrreqrag
2018-11-26 18:24 - 2018-11-26 19:11 - 000000000 ____D C:\Users\Ordinateur\AppData\Roaming\l5mr2ymweix
2018-11-26 18:24 - 2018-11-26 19:11 - 000000000 ____D C:\Users\Ordinateur\AppData\Roaming\gp2whyzk0gi
2018-11-26 18:24 - 2018-11-26 19:11 - 000000000 ____D C:\Users\Ordinateur\AppData\Roaming\fbmvmhv1j0x
2018-11-26 18:24 - 2018-11-26 19:11 - 000000000 ____D C:\Users\Ordinateur\AppData\Roaming\aeogysqa5jc
2018-11-26 18:24 - 2018-11-26 19:11 - 000000000 ____D C:\Users\Ordinateur\AppData\Roaming\3vkzukt4u1f
2018-11-26 18:24 - 2018-11-26 19:11 - 000000000 ____D C:\Users\Ordinateur\AppData\Roaming\3fkjfuoqfvz
2018-11-26 18:24 - 2018-11-26 19:11 - 000000000 ____D C:\Users\Ordinateur\AppData\Roaming\2xzphy51yo5
2018-11-26 18:23 - 2018-11-26 18:26 - 000000000 ____D C:\ProgramData\Lifh
2018-11-26 18:23 - 2018-11-26 18:24 - 000000000 ____D C:\ProgramData\JR9IGP5YKKIL9IFX5SE3
2018-11-26 18:30 - 2016-09-19 17:30 - 000000652 ____H C:\0AE7C4A25167.etiewcfe
2018-11-26 18:30 - 2016-09-14 21:43 - 000000000 ____D C:\21015a6a9894d3c1a280
2018-11-26 18:30 - 2018-03-29 14:35 - 000000000 __SHD C:\82ace7d6-0197-474d-bf4b-a2043e72329b
2018-11-26 18:33 - 2016-09-19 17:30 - 000000580 ____H C:\C5B949FCFB59.etiewcfe
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Enregistre le contenu par le menu fichier puis enregistrer.

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur


Voir la fiche Grandcrab : https://forum.malekal.com/viewtopic.php?t=61024
Il y a un outil chez BitDefender, à voir s'il fonctionne.

0
PR8DZ Messages postés 9 Date d'inscription lundi 26 novembre 2018 Statut Membre Dernière intervention 19 avril 2021
26 nov. 2018 à 23:59
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 21.11.2018
Exécuté par Ordinateur (26-11-2018 23:26:42) Run:1
Exécuté depuis C:\Users\Ordinateur\Desktop
Profils chargés: Ordinateur (Profils disponibles: Ordinateur)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
2018-11-26 18:23 - 2018-11-26 19:11 - 000000000 ____D C:\Users\Ordinateur\AppData\Roaming\ShopMore
2018-11-26 18:23 - 2018-11-26 19:11 - 000000000 ____D C:\Users\Ordinateur\AppData\Roaming\edfnjc341wt
2018-11-26 18:23 - 2018-11-26 19:11 - 000000000 ____D C:\Users\Ordinateur\AppData\Roaming\a4bo3zal3h1
2018-11-26 18:23 - 2018-11-26 19:11 - 000000000 ____D C:\Users\Ordinateur\AppData\Roaming\4xxmuwrsbtb
2018-11-26 18:23 - 2018-11-26 19:04 - 000000000 ____D C:\Program Files (x86)\Live
2018-11-26 18:23 - 2018-11-26 18:26 - 000000000 ____D C:\ProgramData\Lifh
2018-11-26 18:23 - 2018-11-26 18:24 - 000000000 ____D C:\ProgramData\JR9IGP5YKKIL9IFX5SE3
2018-11-26 18:23 - 2018-11-26 18:23 - 000140800 _____ C:\Users\Ordinateur\AppData\Local\installer.dat
2018-11-26 18:23 - 2018-11-26 18:23 - 000000000 ____D C:\Users\Ordinateur\AppData\Roaming\Python
2018-11-26 18:23 - 2018-11-26 18:23 - 000000000 ____D C:\Users\Ordinateur\AppData\Roaming\barinov
BHO-x32: iSkysoft iTube Studio 6.0.0 -> {1A6B6AD0-2735-498F-834C-AFCEA37847C2} -> D:\iTube Studio\BrowserPlugin\KVBrowserAppMgr.dll => Pas de fichier
Task: {F45C6613-AEEE-4CA7-8295-B30882F3FD0B} - System32\Tasks\refinesrefines => C:\Program Files (x86)\Pilsner\gynecology.exe [2018-11-26] ()
HKU\S-1-5-21-12517026-727006428-4187247861-1000\...\Run: [Lifh] => C:\ProgramData\Lifh\Lifh.exe
HKU\S-1-5-21-12517026-727006428-4187247861-1000\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize
Startup: C:\Users\Ordinateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IPsO.lnk [2016-09-27]
ShortcutTarget: IPsO.lnk -> C:\Program Files\IPsO_4\IPsO.exe (Pas de fichier)
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
2018-11-26 19:20 - 2018-11-26 19:21 - 000000000 ____D C:\ProgramData\2NUWSUGP2KKLH27DC2M1
2018-11-26 18:45 - 2018-11-26 19:11 - 000000000 ____D C:\Program Files (x86)\ProxyGate
2018-11-26 18:44 - 2018-11-26 19:03 - 000000000 ____D C:\Program Files\WebDiscoverBrowser
2018-11-26 18:30 - 2018-11-26 18:30 - 000000000 ____D C:\ProgramData\BR1PX5GS0A2NWCI0ZRMD
2018-11-26 18:28 - 2018-11-26 19:11 - 000000000 ___HD C:\Program Files (x86)\rays
2018-11-26 18:28 - 2018-11-26 19:11 - 000000000 ____D C:\Program Files\Klukwan
2018-11-26 18:28 - 2018-11-26 19:11 - 000000000 ____D C:\Program Files (x86)\Clamped
2018-11-26 18:28 - 2018-11-26 19:08 - 000000000 ___HD C:\Program Files (x86)\Byword
2018-11-26 18:28 - 2018-11-26 19:08 - 000000000 ____D C:\Program Files (x86)\languish
2018-11-26 18:24 - 2018-11-26 19:11 - 000000000 ____D C:\Users\Ordinateur\AppData\Roaming\zn2jxdom3zl
2018-11-26 18:24 - 2018-11-26 19:11 - 000000000 ____D C:\Users\Ordinateur\AppData\Roaming\to21cbkr4bb
2018-11-26 18:24 - 2018-11-26 19:11 - 000000000 ____D C:\Users\Ordinateur\AppData\Roaming\nnupixc52l1
2018-11-26 18:24 - 2018-11-26 19:11 - 000000000 ____D C:\Users\Ordinateur\AppData\Roaming\nk3xrreqrag
2018-11-26 18:24 - 2018-11-26 19:11 - 000000000 ____D C:\Users\Ordinateur\AppData\Roaming\l5mr2ymweix
2018-11-26 18:24 - 2018-11-26 19:11 - 000000000 ____D C:\Users\Ordinateur\AppData\Roaming\gp2whyzk0gi
2018-11-26 18:24 - 2018-11-26 19:11 - 000000000 ____D C:\Users\Ordinateur\AppData\Roaming\fbmvmhv1j0x
2018-11-26 18:24 - 2018-11-26 19:11 - 000000000 ____D C:\Users\Ordinateur\AppData\Roaming\aeogysqa5jc
2018-11-26 18:24 - 2018-11-26 19:11 - 000000000 ____D C:\Users\Ordinateur\AppData\Roaming\3vkzukt4u1f
2018-11-26 18:24 - 2018-11-26 19:11 - 000000000 ____D C:\Users\Ordinateur\AppData\Roaming\3fkjfuoqfvz
2018-11-26 18:24 - 2018-11-26 19:11 - 000000000 ____D C:\Users\Ordinateur\AppData\Roaming\2xzphy51yo5
2018-11-26 18:23 - 2018-11-26 18:26 - 000000000 ____D C:\ProgramData\Lifh
2018-11-26 18:23 - 2018-11-26 18:24 - 000000000 ____D C:\ProgramData\JR9IGP5YKKIL9IFX5SE3
2018-11-26 18:30 - 2016-09-19 17:30 - 000000652 ____H C:\0AE7C4A25167.etiewcfe
2018-11-26 18:30 - 2016-09-14 21:43 - 000000000 ____D C:\21015a6a9894d3c1a280
2018-11-26 18:30 - 2018-03-29 14:35 - 000000000 __SHD C:\82ace7d6-0197-474d-bf4b-a2043e72329b
2018-11-26 18:33 - 2016-09-19 17:30 - 000000580 ____H C:\C5B949FCFB59.etiewcfe
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
C:\Users\Ordinateur\AppData\Roaming\ShopMore => déplacé(es) avec succès
C:\Users\Ordinateur\AppData\Roaming\edfnjc341wt => déplacé(es) avec succès
C:\Users\Ordinateur\AppData\Roaming\a4bo3zal3h1 => déplacé(es) avec succès
C:\Users\Ordinateur\AppData\Roaming\4xxmuwrsbtb => déplacé(es) avec succès
C:\Program Files (x86)\Live => déplacé(es) avec succès
C:\ProgramData\Lifh => déplacé(es) avec succès
C:\ProgramData\JR9IGP5YKKIL9IFX5SE3 => déplacé(es) avec succès
C:\Users\Ordinateur\AppData\Local\installer.dat => déplacé(es) avec succès
C:\Users\Ordinateur\AppData\Roaming\Python => déplacé(es) avec succès
C:\Users\Ordinateur\AppData\Roaming\barinov => déplacé(es) avec succès
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1A6B6AD0-2735-498F-834C-AFCEA37847C2} => supprimé(es) avec succès
HKLM\Software\Wow6432Node\Classes\CLSID\{1A6B6AD0-2735-498F-834C-AFCEA37847C2} => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{F45C6613-AEEE-4CA7-8295-B30882F3FD0B}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F45C6613-AEEE-4CA7-8295-B30882F3FD0B}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\refinesrefines => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\refinesrefines" => supprimé(es) avec succès
"HKU\S-1-5-21-12517026-727006428-4187247861-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Lifh" => supprimé(es) avec succès
"HKU\S-1-5-21-12517026-727006428-4187247861-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Web Companion" => supprimé(es) avec succès
C:\Users\Ordinateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IPsO.lnk => déplacé(es) avec succès
"C:\Program Files\IPsO_4\IPsO.exe" => non trouvé(e)
HKLM\SOFTWARE\Policies\Google => supprimé(es) avec succès
C:\ProgramData\2NUWSUGP2KKLH27DC2M1 => déplacé(es) avec succès
C:\Program Files (x86)\ProxyGate => déplacé(es) avec succès
C:\Program Files\WebDiscoverBrowser => déplacé(es) avec succès
C:\ProgramData\BR1PX5GS0A2NWCI0ZRMD => déplacé(es) avec succès
C:\Program Files (x86)\rays => déplacé(es) avec succès
C:\Program Files\Klukwan => déplacé(es) avec succès
C:\Program Files (x86)\Clamped => déplacé(es) avec succès
C:\Program Files (x86)\Byword => déplacé(es) avec succès
C:\Program Files (x86)\languish => déplacé(es) avec succès
C:\Users\Ordinateur\AppData\Roaming\zn2jxdom3zl => déplacé(es) avec succès
C:\Users\Ordinateur\AppData\Roaming\to21cbkr4bb => déplacé(es) avec succès
C:\Users\Ordinateur\AppData\Roaming\nnupixc52l1 => déplacé(es) avec succès
C:\Users\Ordinateur\AppData\Roaming\nk3xrreqrag => déplacé(es) avec succès
C:\Users\Ordinateur\AppData\Roaming\l5mr2ymweix => déplacé(es) avec succès
C:\Users\Ordinateur\AppData\Roaming\gp2whyzk0gi => déplacé(es) avec succès
C:\Users\Ordinateur\AppData\Roaming\fbmvmhv1j0x => déplacé(es) avec succès
C:\Users\Ordinateur\AppData\Roaming\aeogysqa5jc => déplacé(es) avec succès
C:\Users\Ordinateur\AppData\Roaming\3vkzukt4u1f => déplacé(es) avec succès
C:\Users\Ordinateur\AppData\Roaming\3fkjfuoqfvz => déplacé(es) avec succès
C:\Users\Ordinateur\AppData\Roaming\2xzphy51yo5 => déplacé(es) avec succès
"C:\ProgramData\Lifh" => non trouvé(e)
"C:\ProgramData\JR9IGP5YKKIL9IFX5SE3" => non trouvé(e)
C:\0AE7C4A25167.etiewcfe => déplacé(es) avec succès
C:\21015a6a9894d3c1a280 => déplacé(es) avec succès
C:\82ace7d6-0197-474d-bf4b-a2043e72329b => déplacé(es) avec succès
C:\C5B949FCFB59.etiewcfe => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-12517026-727006428-4187247861-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-12517026-727006428-4187247861-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 20297196 B
Java, Flash, Steam htmlcache => 214681 B
Windows/system/drivers => 12660321 B
Edge => 0 B
Chrome => 301523238 B
Firefox => 5759995 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 44970 B
Public => 0 B
ProgramData => 0 B
systemprofile => 16674 B
systemprofile32 => 33253 B
LocalService => 0 B
NetworkService => 0 B
Ordinateur => 519261089 B

RecycleBin => 118822868 B
EmptyTemp: => 941.3 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

Fin de Fixlog 23:28:19

Voila! Je voudrais pas trop en demander mais est ce que c'est possible de me dire un peu ce qu'on vient de faire? Une explication assez brève si c'est possible, je sais que j'en demande beaucoup.. Merci de ton aide en tout cas!
0
Réponse 4 / 6
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 644
27 nov. 2018 à 09:19
ok voir si le programme BitDefender fonctionne.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 6
PR8DZ Messages postés 9 Date d'inscription lundi 26 novembre 2018 Statut Membre Dernière intervention 19 avril 2021
27 nov. 2018 à 15:46
Ca me met Initalization Failed, quoi que je fasse.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 644
27 nov. 2018 à 15:48
quoi donc ? l'outil de BitDefender ?
0
PR8DZ Messages postés 9 Date d'inscription lundi 26 novembre 2018 Statut Membre Dernière intervention 19 avril 2021 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
28 nov. 2018 à 15:42
Alors que dois je faire?
0
PR8DZ Messages postés 9 Date d'inscription lundi 26 novembre 2018 Statut Membre Dernière intervention 19 avril 2021
27 nov. 2018 à 16:13
Oui l'outil de BitDefender
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 644 > PR8DZ Messages postés 9 Date d'inscription lundi 26 novembre 2018 Statut Membre Dernière intervention 19 avril 2021
28 nov. 2018 à 15:53
Possible qu'une nouvelle variante du ransomware fasse en sorte que la récupération n'est plus possible.
0
PR8DZ Messages postés 9 Date d'inscription lundi 26 novembre 2018 Statut Membre Dernière intervention 19 avril 2021 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
28 nov. 2018 à 16:37
Pas de soucis, est ce que je peux supprimer les fichiers bloc notes? Car dedans ont me dit de pas le supprimer, que mes données seront ilisibles etc, ca ne risque rien si je les supprime? Fin ca peut pas etre pire que maintenant?
Le virus est bien parti? je suis en "sécurité"?
0
Réponse 6 / 6
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 644
28 nov. 2018 à 16:46
oui tu peux supprimer et oui il a été supprimé.

Supprime le dossier C:\FRST


Termine par un nettoyage MBAM :
Evite les analyses et nettoyages réguliers ZHPCleaner, AdwCleaner, pas utile.

Quelques conseils :

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : Dossier Adwares/PUPs : programmes indésirables et parasites
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)


0