Sujet Précédent Sujet Suivant

Fichiers ex à 0

Résolu/Fermé
kevzo223 Messages postés 7 Date d'inscription dimanche 5 février 2023 Statut Membre Dernière intervention 6 février 2023 - Modifié le 5 févr. 2023 à 17:41
bazfile Messages postés 56484 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 26 novembre 2024 - 6 févr. 2023 à 19:26

Bonjour,

Tous mes fichiers exécutables sont à 0 octet, j'ai déjà reçu mes liens dont les voici (FRST, addition, shortcut)

https://pjjoint.malekal.com/files.php?id=FRST_20230205_y8j6v8f15h5 

https://pjjoint.malekal.com/files.php?id=20230205_y7b8s10o7d8 

https://pjjoint.malekal.com/files.php?id=20230205_g7p15x8v9z9 

please 
Windows / Edge 105.0.1343.27

A voir également:

8 réponses

Réponse 1 / 8
bazfile Messages postés 56484 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 26 novembre 2024 19 297
5 févr. 2023 à 22:26

Le pc de ton cousin a été infecté le 28/01/2023.

il y a pas mal de processus Windows qui ont été touchés comme par exemple Windows Update, après la désinfection il sera préférable de faire une réparation de Windows 10 (voir en fin de message).

Firefox a lui aussi été touché il faudra le réinstaller.

Si la clé USB était différente de la tienne il faudra la désinfecter.


Il y avait que des restes de l'infection et aussi un moteur de recherche parasite (TROVI) qui infectait les navigateurs internet.


Voici le script de correction FRST, je ne te rappelle pas la procédure tu fais comme précédemment.

Start::
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction
HKLM-x32\...\Run: [TeamsMachineUninstallerProgramData] => %ProgramData%\Microsoft\Teams\Update.exe --uninstall --msiUninstall --source=default (Pas de fichier)
Task: {0C24C51F-51B1-42E5-8012-9F613DF370B8} - System32\Tasks\Microsoft\Office\Office Performance Monitor => C:\Program Files\Microsoft Office\root\VFS\ProgramFilesCommonX64\Microsoft Shared\Office16\operfmon.exe (Pas de fichier)
Task: {6EC125B7-11F5-49D0-A0DC-3006DA4A8268} - System32\Tasks\Microsoft\Office\Office Feature Updates => C:\Program Files\Microsoft Office\root\Office16\sdxhelper.exe (Pas de fichier)
Task: {8EEA4F52-9FCB-4794-B8C2-7A81A5E9081A} - System32\Tasks\Microsoft\Office\Office Feature Updates Logon => C:\Program Files\Microsoft Office\root\Office16\sdxhelper.exe /onlogon (Pas de fichier)
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
Handler: mso-minsb-roaming.16 - {83C25742-A9F7-49FB-9138-434302C88D07} - C:\Program Files\Microsoft Office\root\VFS\ProgramFilesX86\Microsoft Office\Office16\MSOSB.DLL Pas de fichier
Handler: osf-roaming.16 - {42089D2D-912D-4018-9087-2B87803E93FB} - C:\Program Files\Microsoft Office\root\VFS\ProgramFilesX86\Microsoft Office\Office16\MSOSB.DLL Pas de fichier
Edge DefaultSearchURL: Default -> hxxps://searchnet.org/?k={searchTerms}
Edge DefaultSearchKeyword: Default -> searchnet.org
Edge DefaultNewTabURL: Default -> hxxps://searchnet.org/newTab/
CHR DefaultSearchURL: Default -> hxxps://searchnet.org/?k={searchTerms}
CHR DefaultSearchKeyword: Default -> searchnet.org
CHR DefaultNewTabURL: Default -> hxxps://searchnet.org/newTab/
C:\boots
EmptyTemp:
End::

Tutoriel réparation de Windows 10.

La réparation de Windows 10 est sans perte de données (tout est conservé), malgré ce qui est indiqué sur les écrans c'est bien une réparation pas une installation de Windows.

Télécharge cet outil de Microsoft ouvre l'outil et fait comme indiqué ci-dessous:

Attention de bien laisser cocher comme sur la photo.
1
Réponse 2 / 8
bazfile Messages postés 56484 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 26 novembre 2024 19 297
Modifié le 5 févr. 2023 à 17:43

Bonjour.

Ton pc a été infecté par une clé USB ou un disque dur externe infecté qui a été connecté à ton pc le 04/02/2023 vers 12h, les fichiers qui sont à zéro sont à retélécharger et les programmes touchés sont à réinstaller.


Si tu ne t'en sersd pas désinstalles ces logiciels se sont des adwares inutiles : 

Ask Toolbar  

Advanced Calendar



Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2364599394-3051289770-513783279-1001\...\Run: [syswin] => "C:\boots\syswin.exe" (Pas de fichier)
HKU\S-1-5-21-2364599394-3051289770-513783279-1001\...\Policies\Explorer: [] 
Task: {C0E88111-FE1F-4100-A043-771195E931D6} - System32\Tasks\SVC Update => C:\WINDOWS\explorer.exe "hxxp://lktoday.ru" 
Task: {6450C746-BF80-4D28-9BC4-7FA9CAA69FAB} - \Microsoft\Windows\UNP\RunCampaignManager -> Pas de fichier 
Task: {E88D8213-5804-426B-87E2-9B0BA4C9CD41} - System32\Tasks\Microsoft\Windows\Setup\EOSNotify => C:\WINDOWS\system32\EOSNotify.exe (Pas de fichier)
S3 MicrosoftEdgeElevationService; "C:\Program Files (x86)\Microsoft\Edge\Application\84.0.522.52\elevation_service.exe" [X]
CustomCLSID: HKU\S-1-5-21-2364599394-3051289770-513783279-1001_Classes\CLSID\{A804CF1A-91E5-4F0C-9E8C-DB39E74056DD}\InprocServer32 -> C:\Users\ECOFUND 05\AppData\Local\Google\Update\1.3.33.23\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2364599394-3051289770-513783279-1001_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> C:\Program Files\Autodesk\AutoCAD 2015\en-US\acadficn.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2364599394-3051289770-513783279-1001_Classes\CLSID\{E9E7529D-7F09-410B-AF2A-CC154473B19C}\InprocServer32 -> C:\Users\ECOFUND 05\AppData\Local\Google\Update\1.3.35.452\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2364599394-3051289770-513783279-1001_Classes\CLSID\{EA724FD3-844D-43A9-A8C9-A5BC35FC20E4}\InprocServer32 -> C:\Users\ECOFUND 05\AppData\Local\Google\Update\1.3.33.17\psuser_64.dll => Pas de fichier
ContextMenuHandlers1-x32: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Users\ECOFUND 05\Desktop\7-Zip\7-zip.dll -> Pas de fichier
ContextMenuHandlers4-x32: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Users\ECOFUND 05\Desktop\7-Zip\7-zip.dll -> Pas de fichier
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Pas de fichier
ContextMenuHandlers6-x32: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Users\ECOFUND 05\Desktop\7-Zip\7-zip.dll -> Pas de fichier
SearchScopes: HKU\S-1-5-21-2364599394-3051289770-513783279-1001 -> DefaultScope {972575F3-668E-47D1-8D7F-58A8A4BF8781} URL = 
SearchScopes: HKU\S-1-5-21-2364599394-3051289770-513783279-1001 -> {972575F3-668E-47D1-8D7F-58A8A4BF8781} URL = 
BHO: IEToEdge BHO -> {1FD49718-1D00-4B19-AF5F-070AF6D5D54C} -> C:\Program Files (x86)\Microsoft\Edge\Application\84.0.522.52\BHO\ie_to_edge_bho_64.dll => Pas de fichier
BHO-x32: IEToEdge BHO -> {1FD49718-1D00-4B19-AF5F-070AF6D5D54C} -> C:\Program Files (x86)\Microsoft\Edge\Application\84.0.522.52\BHO\ie_to_edge_bho.dll => Pas de fichier
Toolbar: HKU\S-1-5-21-2364599394-3051289770-513783279-1001 -> Pas de nom - {D4027C7F-154A-4066-A1AD-4243D8127440} -  Pas de fichier
Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll Pas de fichier
FirewallRules: [{9C1E2C9B-49BB-4646-8AF3-D4B5262581A0}] => (Allow) C:\Program Files (x86)\Microsoft Office\root\Office16\UcMapi.exe => Pas de fichier
FirewallRules: [{C63B2AB9-DA14-4B80-9249-0BE159FFBE9B}] => (Allow) C:\Program Files (x86)\Microsoft Office\root\Office16\Lync.exe => Pas de fichier
FirewallRules: [{E805ED3D-C620-4293-B102-C12166870CA7}] => (Allow) B:\Glarysoft File Recovery\FileRecovery.exe => Pas de fichier
FirewallRules: [{B88E0D1F-B6D6-40D9-B7F4-DA63B2EB8C83}] => (Allow) B:\Glarysoft File Recovery\FileRecovery.exe => Pas de fichier
FirewallRules: [{C874DEAA-6BDD-4A5C-85E1-F7BEE47ED682}] => (Allow) C:\Program Files (x86)\baidu\Baidu Browser\Spark.exe => Pas de fichier
FirewallRules: [{F48DA246-93DE-470B-ADBA-F8B5DFB6A294}] => (Allow) C:\Program Files (x86)\baidu\Baidu Browser\Spark.exe => Pas de fichier
FirewallRules: [{4CD95390-7218-4B55-BEBE-7EA00BA46668}] => (Allow) C:\Program Files (x86)\CyberLink\PowerDVD12\PowerDVD12Agent.exe => Pas de fichier
FirewallRules: [{5F8754E6-B2BD-477E-AF50-D833967B5CE1}] => (Allow) C:\Program Files (x86)\CyberLink\PowerDVD12\Kernel\DMS\CLMSServerPDVD12.exe => Pas de fichier
FirewallRules: [{ED0C6DA1-ADA0-491F-889B-0CC00B34B59B}] => (Allow) C:\Program Files (x86)\CyberLink\PowerDVD12\Kernel\DMR\PowerDVD12DMREngine.exe => Pas de fichier
FirewallRules: [{3CCFBA67-4F5F-4F46-AD15-FCCCF2B82BEB}] => (Allow) C:\Program Files (x86)\baidu\Baidu Browser\Spark.exe => Pas de fichier
FirewallRules: [{12CA2FD6-9DBC-4C30-BEC4-4D43423E64FD}] => (Allow) C:\Program Files (x86)\baidu\Baidu Browser\Spark.exe => Pas de fichier
FirewallRules: [{3655BC5A-5861-4AAC-BD18-1AF1BE199283}] => (Allow) C:\Program Files (x86)\Gemcom\Surpac\651\nt_i386\bin\surpac2.exe => Pas de fichier
FirewallRules: [{C31D9560-8D28-43FA-B0B1-0B47EC165867}] => (Allow) C:\Program Files (x86)\Gemcom\Surpac\651\nt_i386\bin\surpac2.exe => Pas de fichier
FirewallRules: [{01B716D4-999C-4C95-99E4-B5598E881D76}] => (Allow) C:\Program Files\KMSpico\AutoPico.exe => Pas de fichier
FirewallRules: [{8F73D589-4F66-434A-BC80-ABA0532282B2}] => (Allow) C:\Program Files\KMSpico\AutoPico.exe => Pas de fichier
FirewallRules: [{36969D7C-3D91-4F38-ABDF-B590D63ACA88}] => (Allow) C:\Program Files\KMSpico\Service_KMS.exe => Pas de fichier
FirewallRules: [{15FE0A59-A9E0-4781-98DD-93ABB7ADD3DF}] => (Allow) C:\Program Files\KMSpico\Service_KMS.exe => Pas de fichier
C:\boots
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur PJJOINT puis donne le lien généré par PJJOINT dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

Si tu as encore ce DDE infecté ou cette clé USB infectée pour les désinfecter faire ce qui suit :

Télécharge Remediate VBS WORM ouvre Remediate VBS WORM prend l'option B comme ceci :


Puis appuie sur la touche Entrée, une fenêtre apparaît met la lettre de ta clé USB à désinfecter attention ne jamais mettre le disque C :

Appuie sur la touche Entrée, quand la désinfection sera terminée ouvre le disque C tu y trouveras un fichier nommé Rem-VBS.log envoie-le sur https://pjjoint.malekal.com/ met le lien généré dans ta réponse.
0
Réponse 3 / 8
kevzo223 Messages postés 7 Date d'inscription dimanche 5 février 2023 Statut Membre Dernière intervention 6 février 2023
Modifié le 5 févr. 2023 à 18:57

le lien généré par PJJOINT

https://pjjoint.malekal.com/files.php?id=20230205_s8d9f15v11y13 
0
bazfile Messages postés 56484 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 26 novembre 2024 19 297
5 févr. 2023 à 18:59

Le fixlog est OK.


Désinstalle FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.

0
Réponse 4 / 8
kevzo223 Messages postés 7 Date d'inscription dimanche 5 février 2023 Statut Membre Dernière intervention 6 février 2023
5 févr. 2023 à 19:04

Merci beaucoup 
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 8
kevzo223 Messages postés 7 Date d'inscription dimanche 5 février 2023 Statut Membre Dernière intervention 6 février 2023
Modifié le 5 févr. 2023 à 21:09

Salut ci-joint le lien généré par pjjoint pendant la désinfection de ma clé usb

https://pjjoint.malekal.com/files.php?id=20230205_f1011y12v8r5 

Mais il y a un dossier nommé *système de volume* qui apparait sur ma clé usb après le processus de désinfection 
0
bazfile Messages postés 56484 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 26 novembre 2024 19 297
Modifié le 5 févr. 2023 à 21:13

La clé est désinfectée.

Pour vérifier si tout est OK tu peux aussi désinfecter et vacciner ta clé USB avec usbfix-gratuit .

1
Réponse 6 / 8
kevzo223 Messages postés 7 Date d'inscription dimanche 5 février 2023 Statut Membre Dernière intervention 6 février 2023
Modifié le 5 févr. 2023 à 22:02

Le PC de mon cousin,a le meme problème aussi. tous les fichiers exécutables sont à 0 octet d'où la source de mon problème résolu,  voici les liens (FRST, addition, shortcut)

https://pjjoint.malekal.com/files.php?id=FRST_20230205_f8u5y7z6s8 

https://pjjoint.malekal.com/files.php?id=20230205_g9b15p914x15 

https://pjjoint.malekal.com/files.php?id=20230205_x7r14k10y11h11 

aider le svp
0
Réponse 7 / 8
kevzo223 Messages postés 7 Date d'inscription dimanche 5 février 2023 Statut Membre Dernière intervention 6 février 2023
Modifié le 6 févr. 2023 à 00:21

merci

voici le lien généré par PJJOINT concernant son pc

https://pjjoint.malekal.com/files.php?id=20230205_b11f5x14m5e13
0
bazfile Messages postés 56484 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 26 novembre 2024 19 297
6 févr. 2023 à 00:21

Le fixlog est OK.

1
Réponse 8 / 8
kevzo223 Messages postés 7 Date d'inscription dimanche 5 février 2023 Statut Membre Dernière intervention 6 février 2023
6 févr. 2023 à 18:39

vraiment merci 
0
bazfile Messages postés 56484 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 26 novembre 2024 19 297
6 févr. 2023 à 19:26

De rien.

@+ sur CCM.

0

Discussions similaires

comment donner les droits sur fichier partage
ch'ti du 57 -
fil1958 -

2 réponses
faire afficher "0" à la place de #N/A
sunray2000 -
Nono -

7 réponses
javascript:void(0);
nano -
JCVD -

18 réponses
comment faire "différent de" sous excel/
UsulArrakis -
Lizs -

11 réponses