Mon pc a un virus

Résolu
Mahdi_5857 Messages postés 1 Date d'inscription lundi 11 juillet 2022 Statut Membre Dernière intervention 11 juillet 2022 - 11 juil. 2022 à 22:46
bazfile Messages postés 48296 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 5 juin 2023 - 12 juil. 2022 à 22:42

Bonjour/Bonsoir , après m'être absenter et éteint mon pc pendant environs 5 / 4 heures j'ai trouver deux applications qui apparaissent sur mon bureau , Une s'appelant *rec* et une autre s'appelant *my weather* puis il y avait des fenêtres qui apparaissaient sans raisons , sur mon google des onglets de publicités (des virus) , et le pire , c'est que tout mes fichiers (y compris ceux ou j'écrivais mes comptes) se sont corrompus , exemple : 楌湥ⅳᩲ☰�膑泰㚯ꮥ챞힅䭩 , des lettres dans ce genre , svp aidez moi je ne sais pas quoi faire j'ai tout perdu . (je suis sur windows 10 )

Merci d'avance.

A voir également:

11 réponses

MFC17250 Messages postés 1016 Date d'inscription mercredi 24 novembre 2021 Statut Membre Dernière intervention 5 juin 2023 16
11 juil. 2022 à 22:54

Bonjour télécharger Malwarebytes, et suivez la procédure 

0
bazfile Messages postés 48296 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 5 juin 2023 18 074
11 juil. 2022 à 23:27

Bonjour.
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :


Clique sur Analyser

Attention, attendre que les messages disant que l'analyse est terminée s'affichent


À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition


bazfile
Modérateur/Contributeur sécurité.
un bonjour, une réponse, un merci font toujours plaisir.

0
Mahdi_8655 Messages postés 12 Date d'inscription lundi 11 juillet 2022 Statut Membre Dernière intervention 13 juillet 2022
12 juil. 2022 à 11:28

C'est fait j'ai mes deux fichiers , que dois-je faire maintenant?

0
bazfile Messages postés 48296 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 5 juin 2023 18 074
12 juil. 2022 à 11:33

Envoie les rapports FRST et ADDITION sur CJOINT voir CE TUTORIEL puis donne les deux liens générés par Cjoint dans ta réponse.

0
Mahdi_8655 Messages postés 12 Date d'inscription lundi 11 juillet 2022 Statut Membre Dernière intervention 13 juillet 2022
Modifié le 12 juil. 2022 à 11:47

voici mon fichier FRST : https://www.cjoint.com/c/LGmjJHfYn7C
voici mon fichier Addition : https://www.cjoint.com/c/LGmjKJLDNqC
Merci.

0
bazfile Messages postés 48296 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 5 juin 2023 18 074
12 juil. 2022 à 13:08

Il faudrait que tu arrêtes de télécharger tout et n'importe quoi, ton pc est très infecté, une fois la désinfection terminée il faudra impérativement changer tous tes mots de passe en ligne.


Procédure à faire dans l'ordre indiqué :


- Commence par désinstaller Proxy2Service et aussi Windows Manager avec Revo Uninstaller en mode scan avancé.

Tutoriel Revo Uninstaller à lire attentivement.

Accepter la désinstallation du programme que l'on souhaite désinstaller et si il y a un message d'erreur disant que la désinstallation est impossible fermer le message d'erreur et continuer la procédure.

Cocher "Scan avancé" puis cliquer sur "Scan".

Cliquer sur "Sélectionner tout" puis sur "Supprimer" si une deuxième liste apparaît faire de même puis une fois que tout est supprimé cliquer sur "Fini" un redémarrage sera peut-être demandé.


Puis :


- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
HKLM\...\RunOnce: [system recover] => C:\Program Files (x86)\PC_installer\Govoparaga.exe [140288 2022-07-12] () [Fichier non signé] 
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction 
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction
C:\Program Files (x86)\PC_installer
HKU\S-1-5-21-2536635054-3275556015-3360473412-1001\...\Run: [SolService] => C:\Users\Lenovo\AppData\Local\Microsoft\sysprotect.exe [165376 2022-06-23] () [Fichier non signé]
C:\Users\Lenovo\AppData\Local\Microsoft\sysprotect.exe
HKU\S-1-5-21-2536635054-3275556015-3360473412-1001\...\Run: [SysHelper] => C:\Users\Lenovo\AppData\Local\26f9b16f-8bf7-46fc-97d5-ad9da5b91baa\1DE4.exe [758272 2022-07-11] () [Fichier non signé]
C:\Users\Lenovo\AppData\Local\26f9b16f-8bf7-46fc-97d5-ad9da5b91baa\1DE4.exe
Startup: C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\7990zQP6v2EfqCr2.exe [2022-07-12] () [Fichier non signé]
Startup: C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Adblock Fast.lnk [2022-07-12]
ShortcutTarget: Adblock Fast.lnk -> C:\Windows\System32\schtasks.exe (Microsoft Windows -> Microsoft Corporation)
Startup: C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ka2vVSXNAgqMTbXe.exe [2022-07-11] () [Fichier non signé]
C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ka2vVSXNAgqMTbXe.exe
Startup: C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ncsyncer.lnk [2022-07-11]
ShortcutTarget: ncsyncer.lnk -> C:\Users\Lenovo\AppData\Roaming\NCH Software\DrawPad\DpEditor.exe () [Fichier non signé]
Startup: C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Proxy2Service.lnk [2022-07-11]
ShortcutTarget: Proxy2Service.lnk -> C:\Program Files (x86)\Proxy2Service\client.exe () [Fichier non signé]
AV: Kaspersky Free (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
AV: Kaspersky Free (Disabled - Up to date) {0AB30972-4BAC-7BEE-CBCA-B8F9E68797D8}
Task: {31330DD5-6E2C-451B-BA17-4AC62DBE37AC} - System32\Tasks\Adblock Fast => C:\Users\Lenovo\Programs\Adblock\Adblock.exe [5786064 2022-05-11] (Rocketship Apps, LLC -> Rocketship Apps, LLC) 
Task: {484158CF-696A-45DF-A623-4E146AD4D372} - System32\Tasks\AdvancedUpdater => C:\Program Files (x86)\AW Manager\Windows Manager\Windows Updater.exe [1026936 2022-05-13] (Microleaves LTD -> AW Manager)
Task: {97E8CBF6-8950-4ED8-9AF8-3EA8CA441A91} - System32\Tasks\Microsoft Windows Defender Update => C:\Program Files (x86)\RDB Recovery\RDBCardRecovery.exe 6 (Pas de fichier)
C:\Program Files (x86)\AW Manager
Task: {AA3D5D5F-D98A-489B-843E-22A53ED0BC18} - System32\Tasks\Firefox Default Browser Agent B593CBA625544FD5 => C:\Users\Lenovo\AppData\Roaming\ftwtucg [330240 2021-10-06] () [Fichier non signé] [Fichier en cours d'utilisation]
Task: {89A180CC-64EA-4110-8765-B6EB24220A22} - System32\Tasks\NodeJSEnvironmentUpdateTask => C:\Users\Lenovo\AppData\Roaming\Microsoft\AddIns\NodeDisplay.Container.exe [7276032 2022-06-23] (Node.js) [Fichier non signé]
C:\Users\Lenovo\AppData\Roaming\Microsoft\AddIns\NodeDisplay.Container.exe
Task: {AA3D5D5F-D98A-489B-843E-22A53ED0BC18} - System32\Tasks\Firefox Default Browser Agent B593CBA625544FD5 => C:\Users\Lenovo\AppData\Roaming\ftwtucg [330240 2021-10-06] () [Fichier non signé] [Fichier en cours d'utilisation]
C:\Users\Lenovo\AppData\Roaming\ftwtucg
Task: {E72AAC8F-1E0D-4633-ACA7-2CBD5380C92C} - System32\Tasks\Microsoft\Windows\Windows Error Reporting\SystemInfo => C:\Users\Lenovo\AppData\Roaming\\sysinfotool\\sitool.exe [76800 2022-07-04] () [Fichier non signé]
C:\Users\Lenovo\AppData\Roaming\\sysinfotool\\sitool.exe
Task: {F1D0AFD2-6ECE-4737-B359-2A778E11340B} - System32\Tasks\ExcelUpdateTaskUA{T0U3T7L6V-L9N0-X6X8D-V5S0-X3L4FL9G9S} => C:\Users\Lenovo\AppData\Roaming\Microsoft\Excel\cellexprev.exe [9856512 2022-07-05] (Microsoft Corporation) [Fichier non signé]
C:\Users\Lenovo\AppData\Roaming\Microsoft\Excel\cellexprev.exe
Task: {FF375DFB-0ACB-42DC-8F0D-44A98D317F5B} - System32\Tasks\bookingDesktopAppUpdateTaskMachineCore => C:\Program Files (x86)\bookingDesktopApp\Update\bookingDesktopAppUpdate.exe [102400 2021-03-12] (bookingDesktopApp.) [Fichier non signé]
C:\Program Files (x86)\bookingDesktopApp
Edge Extension: (Pas de nom) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [non trouvé(e)]
Edge Extension: (Pas de nom) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [non trouvé(e)]
Edge Extension: (Pas de nom) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [non trouvé(e)]
Edge Extension: (Pas de nom) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [non trouvé(e)]
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
AutoConfigURL: [{36CAE4F3-1B2E-4633-B92B-357D997243D0}] => hxxp://35.236.159.79/win.pac 
AutoConfigURL: [S-1-5-21-2536635054-3275556015-3360473412-1001] => hxxp://35.236.159.79/win.pac
ManualProxies: 0hxxp://35.236.159.79/win.pac
S2 AppServicer; C:\WINDOWS\system32\X73PARIX8K.tmp [6144 2022-07-11] (Microsoft Corporation) [Fichier non signé]
C:\WINDOWS\system32\X73PARIX8K.tmp
R2 GreenetworksBagufe; C:\Program Files (x86)\GreenetworksBagufe\GreenetworksBagufe.exe [37189448 2021-08-07] (MM Apps, Inc. -> Age Nepafa) [Fichier non signé] [Fichier en cours d'utilisation]
C:\Program Files (x86)\GreenetworksBagufe
2022-07-11 11:49 - 2022-07-12 00:52 - 000224768 _____ () C:\Users\Lenovo\AppData\Roaming\00000029..exe
2022-07-11 11:49 - 2022-07-12 00:52 - 000015360 _____ () C:\Users\Lenovo\AppData\Roaming\00004823..exe
2022-07-05 08:29 - 2022-07-05 08:29 - 009856512 _____ (Microsoft Corporation) C:\Users\Lenovo\AppData\Roaming\0RanmqNO.exe
2022-07-12 00:55 - 2022-05-31 01:07 - 000090112 _____ () C:\Users\Lenovo\AppData\Roaming\1b101b22-a274-4922-9dc6-7b253da62362
2022-07-12 00:55 - 2021-07-24 07:07 - 000000000 _____ () C:\Users\Lenovo\AppData\Roaming\362d525c-3c94-478d-8387-be380860d32b
2022-07-12 00:55 - 2021-07-26 04:56 - 000098304 _____ () C:\Users\Lenovo\AppData\Roaming\4d15785b-666c-4db3-91ff-0be59b9e4e7f
2022-07-12 00:55 - 2022-07-12 00:55 - 000229376 _____ () C:\Users\Lenovo\AppData\Roaming\50acd092-ef6f-4a42-90ce-1c542125128b
2022-07-12 00:55 - 2021-07-24 07:07 - 000011649 _____ () C:\Users\Lenovo\AppData\Roaming\532089e6-f8ac-4b35-8381-e8e85adc3d73
2022-05-31 01:50 - 2022-05-31 01:50 - 000000128 _____ () C:\Users\Lenovo\AppData\Roaming\8f26b878.dat
2022-07-12 00:55 - 2022-06-04 12:19 - 000094208 _____ () C:\Users\Lenovo\AppData\Roaming\96e63d14-0147-480e-8382-3d456826a61b
2022-07-12 00:55 - 2022-07-03 00:15 - 000126976 _____ () C:\Users\Lenovo\AppData\Roaming\a3267d7f-c9f7-4d80-b2f9-bc3a9f6830fc
2022-07-12 00:55 - 2022-06-30 12:45 - 000098304 _____ () C:\Users\Lenovo\AppData\Roaming\a4df125b-70b0-4615-b94b-2615ac680888
2022-07-11 11:50 - 2022-07-11 11:50 - 002795552 ____H () C:\Users\Lenovo\AppData\Roaming\B7XM7l4.sys
2022-07-12 00:55 - 2022-07-09 04:21 - 000094208 _____ () C:\Users\Lenovo\AppData\Roaming\befa7d39-48cb-47de-8ab7-5c1ed45ffba5
2021-02-05 01:25 - 2021-02-05 01:25 - 000000068 _____ () C:\Users\Lenovo\AppData\Roaming\changzhi_leidian.data
2022-07-12 00:55 - 2022-06-30 12:45 - 000098304 _____ () C:\Users\Lenovo\AppData\Roaming\d555c251-08b5-403b-b72d-c7d4dccd87e7
2022-07-12 00:55 - 2021-08-07 13:43 - 000007302 _____ () C:\Users\Lenovo\AppData\Roaming\d7dfbded-cd54-4c47-9853-6a3c7783217d
2022-07-12 00:55 - 2022-07-11 03:16 - 000094208 _____ () C:\Users\Lenovo\AppData\Roaming\d9b4b5bf-d1b4-49e7-8fa7-b2d6b55248a8
2022-07-12 00:55 - 2022-07-10 11:45 - 000102400 _____ () C:\Users\Lenovo\AppData\Roaming\f2f7807f-f5cc-4f53-b4ad-cc1bcdd91a9a
2021-10-06 05:28 - 2021-10-06 05:28 - 000330240 ___SH () C:\Users\Lenovo\AppData\Roaming\ftwtucg
2022-07-12 00:54 - 2022-07-12 00:54 - 002710928 ___HT () C:\Users\Lenovo\AppData\Roaming\FVs9F.tmp
2020-08-05 09:47 - 2021-07-31 14:15 - 000000238 _____ () C:\Users\Lenovo\AppData\Roaming\jjv5conf.json
2022-07-12 00:54 - 2022-07-12 00:54 - 002795552 ____H () C:\Users\Lenovo\AppData\Roaming\m43R00.sys
2022-07-11 11:50 - 2022-07-11 11:50 - 002511767 ___HT () C:\Users\Lenovo\AppData\Roaming\Q877h9.tmp
2022-07-11 11:50 - 2022-07-11 11:50 - 002795552 ____H () C:\Users\Lenovo\AppData\Roaming\Qjh7B9x.sys
2022-07-11 11:50 - 2022-07-11 11:50 - 002630976 ___HT () C:\Users\Lenovo\AppData\Roaming\t4tYGy.tmp
2022-07-11 11:50 - 2022-07-11 11:50 - 002795552 ____N C:\WINDOWS\system32\Drivers\p02JHxN5w4.sys
2022-07-11 11:50 - 2022-07-11 11:50 - 002795552 ____N C:\WINDOWS\system32\Drivers\Nif8244yai.sys
2022-07-11 11:47 - 2022-07-11 11:47 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Proxy2Service
2022-07-11 11:47 - 2022-07-11 11:47 - 000000000 ____D C:\Program Files (x86)\Proxy2Service
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Pas de fichier
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Pas de fichier
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Pas de fichier
AlternateDataStreams: C:\Users\Lenovo\Downloads\file: paint.the.town.red.v1.0.2            .lnk [2186]
cmd: netsh advfirewall reset
RemoveProxy:
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne le lien généré par Cjoint dans ton prochain message.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

6- Fait une nouvelle analyse FRST et donne les liens des rapports.

 

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Note , lors de la désinstallation de Proxy2Service et de windows manager ,
il y a eu une deuxième page qui demandait de désinstaller elle s'est fermée sans me laisser le temp de clicker sur finish (mais ça a normallement bien marcher ) et ça ne ma pas demander de redémarrer a part pour fixlog.
voici mon lien fixlog : https://www.cjoint.com/c/LGmlNfdPyrC
voic le résultat de mes dernières analyses FRST :
FRST : https://www.cjoint.com/c/LGmlZ0oMogC
Addition : https://www.cjoint.com/c/LGml0wxP6CC
Merci.

0

Tout ce que je peut dire concernant le virus c'est que je pense que mes fichiers sont irrécupérable (leurs format étant toujours inconnus comme au début ) mais concernant les pop-ups ou autre fenêtre apparaissente sans raison je n'en vois plus.

Dites moi si je peut récupérer mes fichiers  svp.

Merci.

0
bazfile Messages postés 48296 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 5 juin 2023 18 074
12 juil. 2022 à 14:04

Je m'absente je te reprendrais en milieu ou en fin d’après-midi.

0

aucun soucis prenez votre temp.

0
bazfile Messages postés 48296 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 5 juin 2023 18 074
Modifié le 12 juil. 2022 à 17:59

Est-ce toi qui a installé VPN by RAV et Safer Web si tu les connais et que tu t'en sers laisse-les si tu ne les connais pas et que tu ne les as jamais installé désinstalle-les.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
FirewallRules: [{8DD35D48-AC2D-4978-BDE4-B3D5707A8F90}] => (Allow) %programfiles%\Qustodio\qapp\qwelcomewzd.exe => Pas de fichier
FirewallRules: [{8F9AC3CC-D93C-4B97-AB56-9CA8564BAF64}] => (Allow) %programfiles%\Qustodio\qapp\QUpdateService.exe => Pas de fichier
FirewallRules: [{682BEB31-4DAB-4B32-BD46-94FD92A91A4C}] => (Allow) %programfiles%\Qustodio\qapp\QReport.exe => Pas de fichier
FirewallRules: [{DB4C4869-7BEE-4A5E-AD42-4ECCB72F05BF}] => (Allow) %programfiles%\Qustodio\qproxy\qengine.exe => Pas de fichier
FirewallRules: [{C5E95193-8C45-4198-B50C-1A68FECF59F0}] => (Allow) %programfiles%\Qustodio\qapp\QAppTray.exe => Pas de fichier
AutoConfigURL: [S-1-5-21-2536635054-3275556015-3360473412-1001] => hxxp://35.236.159.79/win.pac 
HKU\S-1-5-21-2536635054-3275556015-3360473412-1001\...\Run: [ut] => C:\Users\Lenovo\AppData\Roaming\uTorrent\uTorrent.exe [2005664 2022-07-02] (BitTorrent Inc -> BitTorrent Inc.)
ManualProxies: 0hxxp://35.236.159.79/win.pac 
S2 AppServicew; C:\WINDOWS\system32\X73PARIX8K.tmp [6144 2022-07-12] (Microsoft Corporation) [Fichier non signé] 
C:\WINDOWS\system32\X73PARIX8K.tmp
S2 adblockservice; C:\Users\Lenovo\Programs\Adblock\DnsService.exe [214302 2022-07-12] () [Fichier non signé]
C:\Users\Lenovo\Programs\Adblock\DnsService.exe
HKLM\...\Run: [NCH Sync Service] => C:\Users\Lenovo\AppData\Roaming\NCH Software\DrawPad\DpEditor.exe (Pas de fichier)
S3 MpKsl632f43b8; \??\C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{8DB84A2A-E29E-40BB-B2BC-EF3B620397C2}\MpKslDrv.sys [X]
S3 MpKslbf0d379c; \??\C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{DBE12F76-5A31-4462-9B5C-119FDCACCD0D}\MpKslDrv.sys [X]
C:\Users\Lenovo\AppData\Roaming\NCH Software
RemoveProxy:
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ces rapports sur https://www.cjoint.com/ voir ce tutoriel puis donne le lien généré par Cjoint dans ton prochain message.

  • - Une fois la correction effectuée fait un scan avec Malwarebytes en version gratuite et supprime ce qu'il trouvera lire attentivement CETTE PAGE.
  • - Pour ce qui est des fichiers que tu ne peux plus lire qu'elle est leur extension ?
0

voici mon lein fixlog : https://www.cjoint.com/c/LGmopJgrOmC.
je vais faire de suite l'analyse malwarebyte et je vous en donnerai des nouvelles , en ce qui concerne  les fichiers je vais vous faire un lien cjoint d'un des fichiers que j'ai perdu en point txt (car j'ai même des jeu vidéos qui sont illisible par leur format)
voici l'un de mes  fichiers corrompus : https://www.cjoint.com/c/LGmotqVor1C

0
bazfile Messages postés 48296 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 5 juin 2023 18 074
12 juil. 2022 à 16:32

refait la correction FRST il manque une ligne.

Pour ce qui est du fichier .txt il n'y a rien à faire il est apparemment endommagé, je pensais dans un premier temps à un crypto-ransomware mais vu que l'extension est toujours .txt ce n'est pas le cas car les crypto-ransomwares changent l'extension et une demande de rançon s'affiche dès que l'on essaie d'ouvrir un de ces fichiers dont l'extension a été modifiée. 

0
Mahdi_8655 Messages postés 12 Date d'inscription lundi 11 juillet 2022 Statut Membre Dernière intervention 13 juillet 2022 > bazfile Messages postés 48296 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 5 juin 2023
12 juil. 2022 à 16:58

Je viens de faire mon analyse Malwarebytes et j'ai supprimer les éléments en quarantaine .
je vais faire de suite ma correction FRST .
Et pour le fichier txt avant il y avait le format hhew mais au tout début je ne me rappelle plus.
 

0

voici ma dernière correction fixlog.txt : https://www.cjoint.com/c/LGmppticeVC

0
bazfile Messages postés 48296 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 5 juin 2023 18 074
Modifié le 12 juil. 2022 à 17:28

Tout est OK.

Malwarebytes à trouvé des choses ?

0
Mahdi_8655 > bazfile Messages postés 48296 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 5 juin 2023
12 juil. 2022 à 17:27

Ok , juste pour être sûr , a présent je peut créer des documents textes sans qu'ils soient infecter ou corrompus?
(sinon je crois savoir la cause du virus , je traine beaucoup sur les sites de "jeux gratuits" et donc de cracks , malgré le fait que je ferme les pop-ups j'ai du installer des mauvaises choses)

0
bazfile Messages postés 48296 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 5 juin 2023 18 074 > Mahdi_8655
12 juil. 2022 à 17:40

Oui évite ce genre de sites de téléchargements illégaux ils sont source de problèmes.

Ok , juste pour être sûr , a présent je peut créer des documents textes sans qu'ils soient infecter ou corrompus?

Normalement oui tu peux, mais fait un essai pour voir, crée un fichier texte et met du texte à l'intérieur et regarde ce qui se passe.

0
Mahdi_8655 > bazfile Messages postés 48296 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 5 juin 2023
12 juil. 2022 à 17:50

je l'ai fait , je vous en donnerai des nouvelles .
Merci beaucoup pour votre aide précieuse et pour m'avoir accorder de votre temps.

0
bazfile Messages postés 48296 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 5 juin 2023 18 074 > Mahdi_8655
Modifié le 12 juil. 2022 à 19:06

Si de ton côté tout est OK, tu peux désinstaller FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.

Si tu as de nouveau un problème avec tes fichiers texte préviens moi sur ce post.

0
Mahdi_8655 Messages postés 12 Date d'inscription lundi 11 juillet 2022 Statut Membre Dernière intervention 13 juillet 2022
12 juil. 2022 à 19:04

d'accord je vous tienderais au courant , merci!

0
bazfile Messages postés 48296 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 5 juin 2023 18 074
12 juil. 2022 à 19:07

@+ sur CCM.

0
Mahdi_8655 Messages postés 12 Date d'inscription lundi 11 juillet 2022 Statut Membre Dernière intervention 13 juillet 2022 > bazfile Messages postés 48296 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 5 juin 2023
12 juil. 2022 à 20:16

désole de revenire encore , mais lorsque je traînais dans mes dossiers pour voir si ils étaient endommagé  , j'ai trouver dans mes dossier du disque dur le même documents textes copiers plusieurs fois un peu partour : 

ATTENTION!

Don't worry, you can return all your files!
All your files like pictures, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-sac7bmVIKJ
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.


To get this software you need write on our e-mail:
***@***

Reserve e-mail address to contact us:
***@***

Your personal ID:
0518LsokdP5roSwExLC3PZ5YJGG124rDyTKEfudWUDPhNJBt1


que dois-je faire?

0
Mahdi_8655 Messages postés 12 Date d'inscription lundi 11 juillet 2022 Statut Membre Dernière intervention 13 juillet 2022
12 juil. 2022 à 20:26

Désole de revenir encore , mais lorsque je traînais dans mes dossiers pour voir si ils étaient endommagé, j'ai trouver ce fichier texte un peu partout : https://www.cjoint.com/c/LGmsAjtJXEO
que dois-je faire?

0
bazfile Messages postés 48296 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 5 juin 2023 18 074
Modifié le 12 juil. 2022 à 21:21

Sur ton pc il y avait plusieurs catégories d'infections dont un crypto-ransomware.

Ce crypto ransomware a été certainement mal codé car normalement ce message aurait du s'afficher quand tu essayais d'ouvrir un fichier crypté, c'est donc une demande de rançon, c'est devenu très banal et très courant, ce crypto-ransomware n'est plus sur ton pc, maintenant à toi de voir si tu veux payer la rançon sous forme d'outil de décryptage ou pas, je te déconseille vivement de donner ton argent à ces voleurs du net, premièrement car s'est les encourager à continuer, et en plus tu n'es pas certain que l'outil de décryptage te sera envoyé une fois que tu auras payé, ne pas oublier que ce sont des voleurs, donc leur faire confiance c'est prendre des risques.

Tu peux essayer de récupérer tes fichiers avec ShadowExplorer.

Cet outil permet de restaurer et de retrouver des fichiers dans les points de restauration, tu en as sur ton pc, prend un point de restauration d'une date antérieure à ton infection par le crypto-ransomware.



Voici le message que je donne à tous ceux qui sont dans ton cas c'est un message générique qui permet de mieux comprendre.

Tes fichiers ont été cryptés par un crypto-ransomware, actuellement il est impossible de les décrypter, met-les de côté en attendant une "éventuelle solution", mais à mon avis il ne fait pas trop y compter vu que les clés de cryptage sont désormais quasiment toutes online, le décryptage des fichiers est donc la plupart du temps impossible.

Quelques liens utiles:

L'outil de décryptage d'Emisoft et son mode d'emploi

https://www.bleepingcomputer.com/forums/t/712909/stop-djvu-alka-ransomware/?p=4945134

https://id-ransomware.malwarehunterteam.com/

https://www.nomoreransom.org/fr/decryption-tools.html

https://forum.malekal.com/viewtopic.php?f=98&t=57145

https://www.malekal.com/ransomware-solutions-recuperer-fichiers/
.
 

0
Mahdi_8655 Messages postés 12 Date d'inscription lundi 11 juillet 2022 Statut Membre Dernière intervention 13 juillet 2022 > bazfile Messages postés 48296 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 5 juin 2023
12 juil. 2022 à 21:55

Je ne leurs donnerai pas mon argent plutot perdre mes fichiers j'aurais qu'a les réinstaller (les jeux vidéos) j'esserai l'outil de décryptage que vous m'avez donner , merci.

0
bazfile Messages postés 48296 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 5 juin 2023 18 074 > Mahdi_8655 Messages postés 12 Date d'inscription lundi 11 juillet 2022 Statut Membre Dernière intervention 13 juillet 2022
12 juil. 2022 à 22:01

Shadow Explorer n'est pas un outil de décryptage il permet juste de retrouver des anciennes versions de fichiers et dossiers via les points de restauration.

0
bazfile Messages postés 48296 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 5 juin 2023 18 074 > Mahdi_8655 Messages postés 12 Date d'inscription lundi 11 juillet 2022 Statut Membre Dernière intervention 13 juillet 2022
12 juil. 2022 à 22:14

Les points de restaurations se font automatiquement, et tu peux en créer manuellement par exemple avant de faire un truc que tu estimes risqué pour le pc.

https://www.malekal.com/restauration-systeme-windows/

1
bazfile Messages postés 48296 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 5 juin 2023 18 074 > Mahdi_8655 Messages postés 12 Date d'inscription lundi 11 juillet 2022 Statut Membre Dernière intervention 13 juillet 2022
12 juil. 2022 à 22:42

De rien. :)

@+ sur CCM.

1