Fichiers ex à 0
Résolu/Fermébazfile Messages postés 53700 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 25 avril 2024 - 6 févr. 2023 à 19:26
- Teamsmachineuninstallerprogramdata
- Wetransfer gratuit fichiers lourd - Guide
- Comment savoir si mon ex regarde mon facebook - Guide
- Renommer plusieurs fichiers - Guide
- Explorateur de fichiers - Guide
- Excel différent de 0 ✓ - Forum Excel
8 réponses
5 févr. 2023 à 22:26
Le pc de ton cousin a été infecté le 28/01/2023.
il y a pas mal de processus Windows qui ont été touchés comme par exemple Windows Update, après la désinfection il sera préférable de faire une réparation de Windows 10 (voir en fin de message).
Firefox a lui aussi été touché il faudra le réinstaller.
Si la clé USB était différente de la tienne il faudra la désinfecter.
Il y avait que des restes de l'infection et aussi un moteur de recherche parasite (TROVI) qui infectait les navigateurs internet.
Voici le script de correction FRST, je ne te rappelle pas la procédure tu fais comme précédemment.
Start::
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction
HKLM-x32\...\Run: [TeamsMachineUninstallerProgramData] => %ProgramData%\Microsoft\Teams\Update.exe --uninstall --msiUninstall --source=default (Pas de fichier)
Task: {0C24C51F-51B1-42E5-8012-9F613DF370B8} - System32\Tasks\Microsoft\Office\Office Performance Monitor => C:\Program Files\Microsoft Office\root\VFS\ProgramFilesCommonX64\Microsoft Shared\Office16\operfmon.exe (Pas de fichier)
Task: {6EC125B7-11F5-49D0-A0DC-3006DA4A8268} - System32\Tasks\Microsoft\Office\Office Feature Updates => C:\Program Files\Microsoft Office\root\Office16\sdxhelper.exe (Pas de fichier)
Task: {8EEA4F52-9FCB-4794-B8C2-7A81A5E9081A} - System32\Tasks\Microsoft\Office\Office Feature Updates Logon => C:\Program Files\Microsoft Office\root\Office16\sdxhelper.exe /onlogon (Pas de fichier)
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
Handler: mso-minsb-roaming.16 - {83C25742-A9F7-49FB-9138-434302C88D07} - C:\Program Files\Microsoft Office\root\VFS\ProgramFilesX86\Microsoft Office\Office16\MSOSB.DLL Pas de fichier
Handler: osf-roaming.16 - {42089D2D-912D-4018-9087-2B87803E93FB} - C:\Program Files\Microsoft Office\root\VFS\ProgramFilesX86\Microsoft Office\Office16\MSOSB.DLL Pas de fichier
Edge DefaultSearchURL: Default -> hxxps://searchnet.org/?k={searchTerms}
Edge DefaultSearchKeyword: Default -> searchnet.org
Edge DefaultNewTabURL: Default -> hxxps://searchnet.org/newTab/
CHR DefaultSearchURL: Default -> hxxps://searchnet.org/?k={searchTerms}
CHR DefaultSearchKeyword: Default -> searchnet.org
CHR DefaultNewTabURL: Default -> hxxps://searchnet.org/newTab/
C:\boots
EmptyTemp:
End::
Tutoriel réparation de Windows 10.
La réparation de Windows 10 est sans perte de données (tout est conservé), malgré ce qui est indiqué sur les écrans c'est bien une réparation pas une installation de Windows.
Télécharge cet outil de Microsoft ouvre l'outil et fait comme indiqué ci-dessous:
Attention de bien laisser cocher comme sur la photo.
Modifié le 5 févr. 2023 à 17:43
Bonjour.
Ton pc a été infecté par une clé USB ou un disque dur externe infecté qui a été connecté à ton pc le 04/02/2023 vers 12h, les fichiers qui sont à zéro sont à retélécharger et les programmes touchés sont à réinstaller.
Si tu ne t'en sersd pas désinstalles ces logiciels se sont des adwares inutiles :
Ask Toolbar
Advanced Calendar
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2364599394-3051289770-513783279-1001\...\Run: [syswin] => "C:\boots\syswin.exe" (Pas de fichier)
HKU\S-1-5-21-2364599394-3051289770-513783279-1001\...\Policies\Explorer: []
Task: {C0E88111-FE1F-4100-A043-771195E931D6} - System32\Tasks\SVC Update => C:\WINDOWS\explorer.exe "hxxp://lktoday.ru"
Task: {6450C746-BF80-4D28-9BC4-7FA9CAA69FAB} - \Microsoft\Windows\UNP\RunCampaignManager -> Pas de fichier
Task: {E88D8213-5804-426B-87E2-9B0BA4C9CD41} - System32\Tasks\Microsoft\Windows\Setup\EOSNotify => C:\WINDOWS\system32\EOSNotify.exe (Pas de fichier)
S3 MicrosoftEdgeElevationService; "C:\Program Files (x86)\Microsoft\Edge\Application\84.0.522.52\elevation_service.exe" [X]
CustomCLSID: HKU\S-1-5-21-2364599394-3051289770-513783279-1001_Classes\CLSID\{A804CF1A-91E5-4F0C-9E8C-DB39E74056DD}\InprocServer32 -> C:\Users\ECOFUND 05\AppData\Local\Google\Update\1.3.33.23\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2364599394-3051289770-513783279-1001_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> C:\Program Files\Autodesk\AutoCAD 2015\en-US\acadficn.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2364599394-3051289770-513783279-1001_Classes\CLSID\{E9E7529D-7F09-410B-AF2A-CC154473B19C}\InprocServer32 -> C:\Users\ECOFUND 05\AppData\Local\Google\Update\1.3.35.452\psuser_64.dll => Pas de fichier
CustomCLSID: HKU\S-1-5-21-2364599394-3051289770-513783279-1001_Classes\CLSID\{EA724FD3-844D-43A9-A8C9-A5BC35FC20E4}\InprocServer32 -> C:\Users\ECOFUND 05\AppData\Local\Google\Update\1.3.33.17\psuser_64.dll => Pas de fichier
ContextMenuHandlers1-x32: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Users\ECOFUND 05\Desktop\7-Zip\7-zip.dll -> Pas de fichier
ContextMenuHandlers4-x32: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Users\ECOFUND 05\Desktop\7-Zip\7-zip.dll -> Pas de fichier
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Pas de fichier
ContextMenuHandlers6-x32: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => C:\Users\ECOFUND 05\Desktop\7-Zip\7-zip.dll -> Pas de fichier
SearchScopes: HKU\S-1-5-21-2364599394-3051289770-513783279-1001 -> DefaultScope {972575F3-668E-47D1-8D7F-58A8A4BF8781} URL =
SearchScopes: HKU\S-1-5-21-2364599394-3051289770-513783279-1001 -> {972575F3-668E-47D1-8D7F-58A8A4BF8781} URL =
BHO: IEToEdge BHO -> {1FD49718-1D00-4B19-AF5F-070AF6D5D54C} -> C:\Program Files (x86)\Microsoft\Edge\Application\84.0.522.52\BHO\ie_to_edge_bho_64.dll => Pas de fichier
BHO-x32: IEToEdge BHO -> {1FD49718-1D00-4B19-AF5F-070AF6D5D54C} -> C:\Program Files (x86)\Microsoft\Edge\Application\84.0.522.52\BHO\ie_to_edge_bho.dll => Pas de fichier
Toolbar: HKU\S-1-5-21-2364599394-3051289770-513783279-1001 -> Pas de nom - {D4027C7F-154A-4066-A1AD-4243D8127440} - Pas de fichier
Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll Pas de fichier
FirewallRules: [{9C1E2C9B-49BB-4646-8AF3-D4B5262581A0}] => (Allow) C:\Program Files (x86)\Microsoft Office\root\Office16\UcMapi.exe => Pas de fichier
FirewallRules: [{C63B2AB9-DA14-4B80-9249-0BE159FFBE9B}] => (Allow) C:\Program Files (x86)\Microsoft Office\root\Office16\Lync.exe => Pas de fichier
FirewallRules: [{E805ED3D-C620-4293-B102-C12166870CA7}] => (Allow) B:\Glarysoft File Recovery\FileRecovery.exe => Pas de fichier
FirewallRules: [{B88E0D1F-B6D6-40D9-B7F4-DA63B2EB8C83}] => (Allow) B:\Glarysoft File Recovery\FileRecovery.exe => Pas de fichier
FirewallRules: [{C874DEAA-6BDD-4A5C-85E1-F7BEE47ED682}] => (Allow) C:\Program Files (x86)\baidu\Baidu Browser\Spark.exe => Pas de fichier
FirewallRules: [{F48DA246-93DE-470B-ADBA-F8B5DFB6A294}] => (Allow) C:\Program Files (x86)\baidu\Baidu Browser\Spark.exe => Pas de fichier
FirewallRules: [{4CD95390-7218-4B55-BEBE-7EA00BA46668}] => (Allow) C:\Program Files (x86)\CyberLink\PowerDVD12\PowerDVD12Agent.exe => Pas de fichier
FirewallRules: [{5F8754E6-B2BD-477E-AF50-D833967B5CE1}] => (Allow) C:\Program Files (x86)\CyberLink\PowerDVD12\Kernel\DMS\CLMSServerPDVD12.exe => Pas de fichier
FirewallRules: [{ED0C6DA1-ADA0-491F-889B-0CC00B34B59B}] => (Allow) C:\Program Files (x86)\CyberLink\PowerDVD12\Kernel\DMR\PowerDVD12DMREngine.exe => Pas de fichier
FirewallRules: [{3CCFBA67-4F5F-4F46-AD15-FCCCF2B82BEB}] => (Allow) C:\Program Files (x86)\baidu\Baidu Browser\Spark.exe => Pas de fichier
FirewallRules: [{12CA2FD6-9DBC-4C30-BEC4-4D43423E64FD}] => (Allow) C:\Program Files (x86)\baidu\Baidu Browser\Spark.exe => Pas de fichier
FirewallRules: [{3655BC5A-5861-4AAC-BD18-1AF1BE199283}] => (Allow) C:\Program Files (x86)\Gemcom\Surpac\651\nt_i386\bin\surpac2.exe => Pas de fichier
FirewallRules: [{C31D9560-8D28-43FA-B0B1-0B47EC165867}] => (Allow) C:\Program Files (x86)\Gemcom\Surpac\651\nt_i386\bin\surpac2.exe => Pas de fichier
FirewallRules: [{01B716D4-999C-4C95-99E4-B5598E881D76}] => (Allow) C:\Program Files\KMSpico\AutoPico.exe => Pas de fichier
FirewallRules: [{8F73D589-4F66-434A-BC80-ABA0532282B2}] => (Allow) C:\Program Files\KMSpico\AutoPico.exe => Pas de fichier
FirewallRules: [{36969D7C-3D91-4F38-ABDF-B590D63ACA88}] => (Allow) C:\Program Files\KMSpico\Service_KMS.exe => Pas de fichier
FirewallRules: [{15FE0A59-A9E0-4781-98DD-93ABB7ADD3DF}] => (Allow) C:\Program Files\KMSpico\Service_KMS.exe => Pas de fichier
C:\boots
EmptyTemp:
End::
3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur PJJOINT puis donne le lien généré par PJJOINT dans ta réponse.
5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT
Si tu as encore ce DDE infecté ou cette clé USB infectée pour les désinfecter faire ce qui suit :
Télécharge Remediate VBS WORM ouvre Remediate VBS WORM prend l'option B comme ceci :
Puis appuie sur la touche Entrée, une fenêtre apparaît met la lettre de ta clé USB à désinfecter attention ne jamais mettre le disque C :
Appuie sur la touche Entrée, quand la désinfection sera terminée ouvre le disque C tu y trouveras un fichier nommé Rem-VBS.log envoie-le sur https://pjjoint.malekal.com/ met le lien généré dans ta réponse.
Modifié le 5 févr. 2023 à 18:57
le lien généré par PJJOINT
https://pjjoint.malekal.com/files.php?id=20230205_s8d9f15v11y13
5 févr. 2023 à 18:59
Le fixlog est OK.
Désinstalle FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.
5 févr. 2023 à 19:04
Merci beaucoup
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre questionModifié le 5 févr. 2023 à 21:09
Salut ci-joint le lien généré par pjjoint pendant la désinfection de ma clé usb
https://pjjoint.malekal.com/files.php?id=20230205_f1011y12v8r5
Mais il y a un dossier nommé *système de volume* qui apparait sur ma clé usb après le processus de désinfection
Modifié le 5 févr. 2023 à 21:13
La clé est désinfectée.
Pour vérifier si tout est OK tu peux aussi désinfecter et vacciner ta clé USB avec usbfix-gratuit .
Modifié le 5 févr. 2023 à 22:02
Le PC de mon cousin,a le meme problème aussi. tous les fichiers exécutables sont à 0 octet d'où la source de mon problème résolu, voici les liens (FRST, addition, shortcut)
https://pjjoint.malekal.com/files.php?id=FRST_20230205_f8u5y7z6s8
https://pjjoint.malekal.com/files.php?id=20230205_g9b15p914x15
https://pjjoint.malekal.com/files.php?id=20230205_x7r14k10y11h11
aider le svp
Modifié le 6 févr. 2023 à 00:21
merci
voici le lien généré par PJJOINT concernant son pc
https://pjjoint.malekal.com/files.php?id=20230205_b11f5x14m5e13
6 févr. 2023 à 00:21
Le fixlog est OK.
6 févr. 2023 à 18:39
vraiment merci
6 févr. 2023 à 19:26
De rien.
@+ sur CCM.
