> Tous les forums > Forum Sécurité
 Mon pc est infecté par GANDCRAB V4Sujet résolu
Ajouter un message à la discussion
Pages : [1] 2 3 ... Fin
Page 1 sur 3 [Fin]
menara
  Posté le 04/08/2018 @ 11:07 
Aller en bas de la page 
Petit astucien

Bonjour à tous.

- J'ai un pc de bureau Dell optiplex.

- je suis sous windows xp sp3

- Je ne sais pas,à la suite de quelle mauvaise manipulation,je suis devenu victime de :GANDCRAB V4

Voici une capture d'ecran du message qui s'ouvre à chaque demarrage.

Maintenant je remarque que toutes mes images sont cryptées.

Je suis dans un enfer,aidez moi s'il vous plait.

Mse a detecté quelques element de ce virus ,il a supprimé quelques uns.Pour les autres il dit qu'il sont autorisés.

Publicité
poussebois
 Posté le 04/08/2018 à 11:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour ,

Tu es victime d'un ramsonware contre lequel il n'y a pas grand chose à faire ... .

Et comme tu es sous Windows XP, aucun helper ne te viendra en aide, ce système étant obsolète car plus maintenu.

Tu n'avais pas fait de sauvegarde de tes fichiers sur un support extérieur ?

A l'avenir, protèges-toi. Regarde ceci.

@ +

Ekalb
 Posté le 04/08/2018 à 12:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Bonjour,

Utiliser encore XP c'est comme vouloir se protéger la tête de la pluie en se coiffant d'une passoire et plus la passoire vieillit, plus ses trous deviennent grands

menara
 Posté le 04/08/2018 à 13:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Mes dossiers sont en train de se crypter,les uns après les autres.Aidez moi s'il vous plait.

G225
 Posté le 05/08/2018 à 06:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Salut, je suis le seul à couvrir encore XP en parti. Les fichiers encrypté on oublie cela et on supprime après la restauration système.

Redémarrer en mode sans échec F8 Prendre le mode "Invite de commande en mode sans échec".

Dans la fenêtre noir, faire CD Restore et touche Entrée. Mettre la commande: rstrui.exe

Suivre les étape de la restauration système.

Attention, ne pas brancher aucun disque dur ou clé USB tant que la machine ne sera plus sûr.

Si vous réussissez cela, faire un full scan avec l'antivirus supprimer ce qu'il trouve d'infecté. Je vous reviendrai avec d'autres instructions.

Windows XP est en effet dépassé depuis trop longtemps. Plusieurs failles de sécurité sur le Windows peu mettre les données en périls. Vérifier si votre machine peu prendre Windows 7 ou 10 ou encore Linux.

Sinon une ordi neuve basse gamme ou usagé ne coûte pas un bras.



Modifié par G225 le 05/08/2018 06:05
menara
 Posté le 05/08/2018 à 21:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

G225 a écrit :

Salut, je suis le seul à couvrir encore XP en parti. Les fichiers encrypté on oublie cela et on supprime après la restauration système.

Redémarrer en mode sans échec F8 Prendre le mode "Invite de commande en mode sans échec".

Dans la fenêtre noir, faire CD Restore et touche Entrée. Mettre la commande: rstrui.exe

Suivre les étape de la restauration système.

Attention, ne pas brancher aucun disque dur ou clé USB tant que la machine ne sera plus sûr.

Si vous réussissez cela, faire un full scan avec l'antivirus supprimer ce qu'il trouve d'infecté. Je vous reviendrai avec d'autres instructions.

Windows XP est en effet dépassé depuis trop longtemps. Plusieurs failles de sécurité sur le Windows peu mettre les données en périls. Vérifier si votre machine peu prendre Windows 7 ou 10 ou encore Linux.

Sinon une ordi neuve basse gamme ou usagé ne coûte pas un bras.

Merci G225 pour ta réponse qui donne la chaleur au cœur. Et donne aussi la certitude qu'il y a toujours de bons cœurs prêts à aider les gens.

J'ai suivi ce que tu m'as dit de faire en démarrant sur l'invitée de commande en mode sans échec.

On me dit que rstrui.exe n'est pas reconnu en tant que commande interne ou externe,ou programme exécutable ou un fichier de commande.

J'ai essayé hier,de faire la restauration su système normale et en mode sans échec ,mais on me dit "restauration incomplète".

J'ai essayé aussi de restaurer une image disque"acronis",mais on me dit qu'elle est endommagée.

Ce maudit de virus a bloqué toutes les issues.

G225
 Posté le 05/08/2018 à 23:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Avez-vous fait CD Restore vis-à-vis c:\Windows\system32 pour avoir C:\Windows\system32\restore et ensuite vous mettez rstrui.exe .



Modifié par G225 le 05/08/2018 23:17
menara
 Posté le 06/08/2018 à 10:24 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

G225 a écrit :

Avez-vous fait CD Restore vis-à-vis c:\Windows\system32 pour avoir C:\Windows\system32\restore et ensuite vous mettez rstrui.exe .

Peut etre j'ai mal compris.

Dans la fenetre noire de l'invitée ,j'ai ecris CD restore ,

j'ai eu un message comme ce n'est pas une commande.

j'ai ensuite mis rstrui.exe et la reponse est:

ce n'est pas une commande,comme j'ai mis hier.

Est-ce qu'il faut mettre :"C:\Windows\system32\restore" ?

G225
 Posté le 06/08/2018 à 16:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Oui essayer si cela ne fonctionne pas, probablement corrompu. C:\windows\system32\restore\rstrui.exe

On pourrait tentez un nettoyage autrement.

Publicité
menara
 Posté le 07/08/2018 à 11:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

G225 a écrit :

Oui essayer si cela ne fonctionne pas, probablement corrompu. C:\windows\system32\restore\rstrui.exe

On pourrait tentez un nettoyage autrement.

Bonjour G225 et merci pour ce temps que tu me consacres .

J'ai fait : C:\windows\system32\restore\rstrui.exe

La restauration a demarré ,mais à la fin ils me mettent : "restauration incomplète"

G225
 Posté le 07/08/2018 à 17:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Cela va mal, la restauration n'est pas bonne.

Faire ceci:

Télécharger: ZHPDiag ici sur le site officiel
https://www.nicolascoolman.com/fr/download/zhpdiag/
Si vous avez un problème, désactiver temporairement l'antivirus.
(L'installer et si votre antivirus le supprime, le désactiver temporairement.)
Cliquer sur ZHPDiag sur le bureau ensuite cliquer sur "Scanner".
Cela peut-être long. Si vous avez des Keygen ou des cracks, les désinstaller avant sinon le log ne sera pas analysé.
Quand le scan sera terminée, il est enregistré (ZHPDiag.txt) sur le bureau.
Vous mettrez votre fichier "ZHPDiag.txt" sur un site de dépôt de fichier, tel que http://www.cjoint.com et, dans votre prochaine réponse,
vous me donnerez le lien pour aller le chercher. Tester votre lien S.V.P..

menara
 Posté le 07/08/2018 à 21:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

G225 a écrit :

Cela va mal, la restauration n'est pas bonne.

Faire ceci:

Télécharger: ZHPDiag ici sur le site officiel
https://www.nicolascoolman.com/fr/download/zhpdiag/
Si vous avez un problème, désactiver temporairement l'antivirus.
(L'installer et si votre antivirus le supprime, le désactiver temporairement.)
Cliquer sur ZHPDiag sur le bureau ensuite cliquer sur "Scanner".
Cela peut-être long. Si vous avez des Keygen ou des cracks, les désinstaller avant sinon le log ne sera pas analysé.
Quand le scan sera terminée, il est enregistré (ZHPDiag.txt) sur le bureau.
Vous mettrez votre fichier "ZHPDiag.txt" sur un site de dépôt de fichier, tel que http://www.cjoint.com et, dans votre prochaine réponse,
vous me donnerez le lien pour aller le chercher. Tester votre lien S.V.P..

Voici le lien,merci.

https://www.cjoint.com/c/HHhtaXx0jHz

G225
 Posté le 08/08/2018 à 02:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Il y a de l'infection mais rien avoir avec un Ransomware pour le moment.

Téléchargement d' AdwCleaner sur le bureau.
https://forum.pcastuces.com/adwcleaner_version7100_nouveau_canned-f25s80117.htm

....

3. Télécharger ZHPcleaner
http://www.nicolascoolman.com/fr/download/zhpcleaner/
Si vous avez un problème, désactiver temporairement l'antivirus et fermer votre navigateur Internet.
Lancez le programme en bouton droit et "Exécuter en tant qu'administrateur" et cliquer sur nettoyer.
Durant le nettoyage, si l'outil demande:

Avez-vous installé ce proxy ?
Cliquer sur "non" si cela ne vous dis rien.

Voulez-vous remplacer la page d'accueil ?
Cliquer sur "oui" si ce n'est pas votre page.

Avez-vous installé ce serveur ?
Cliquer sur “non” si le nom du serveur ne vous dis rien.

Quand le scan sera terminé, il est enregistré (ZHPCleaner.txt) sur le bureau. Vous mettrez votre fichier "ZHPCleaner.txt" sur un site de dépôt de fichier, tel que http://www.cjoint.com et, dans votre prochaine réponse, vous me donnerez le lien pour aller le chercher.

-----

Désinstaller RealPlayer - (.RealNetworks.) et Uniblue Registry Booster

---

Refaire un ZHPdiag avec la O82 coché. Allez dans outils et vérifier que toutes les cases sont coché.

----

Le disque dur est vraiment petit ? 20 gig ? Il ne reste que 11%. Trop de logiciel qui démarre avec la machine il ne reste que 5% de RAM.



Modifié par G225 le 08/08/2018 02:55
menara
 Posté le 08/08/2018 à 10:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour G225.

Adwcleaner ne veut pas s'installer,j'ai eu ce message:

G225
 Posté le 08/08/2018 à 17:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Ok, Il n'est plus compatible avec XP désoler.. Prendre ZHPcleaner qui lui va fonctionner.

menara
 Posté le 08/08/2018 à 20:43 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Pour ZHPcleaner,il ne veut pas demarrer en mode administrateur.

Il y a ce message :

Je vais le demarrer en mode normal.

menara
 Posté le 08/08/2018 à 21:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Voici le lien vers le rapport :

https://www.cjoint.com/c/HHitfxWFAGU

Publicité
menara
 Posté le 08/08/2018 à 23:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Voici le rapport apres suppression de real player et unublue :

https://www.cjoint.com/c/HHivM4SijkU

G225
 Posté le 09/08/2018 à 03:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Ok, faire ceci:

Télécharger combofix et Choisir "Enregistrer" et changer le nom du fichier pour votre choix (Windows 2k/XP/Vista/7 32/64 bits)

Désactiver votre antivirus et Windows Defender si vous l'avez (fonctionnel sur Vista/7/8) avant d'exécuter le logiciel.

Lorsque vous exécutez ComboFix, il va supprimer automatiquement les fichiers: "Temporary Internet Files", "Dossier Temp" et la "Corbeille".

Double cliquer sur l'icône pour l'exécuter. Ensuite attendre que le log soit fini. Ne rien toucher avant la fin.
La barre démarrer peut disparaître et c'est normal.

Le rapport est dans "Bloc note" et vous pouvez le sauvegarder.

Pour me copier/coller les log dans le "Bloc note" vous allez dans le menu Édition et cliquer sur "Sélectionner tout" et retourner dans "Édition" et cliquer sur "copier"
Sur le forum, faire un click droit et cliquer sur "coller".

menara
 Posté le 09/08/2018 à 11:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Il parait que Combofix a des problemes à faire un bon travail sur mon ordinateur :

Mon pc est connecté à internet .La preuve est que j'ai telachargé combofix et que je communique avec vous sur pcastuces.

Bref ,il y a un message que je n'ai pas mis,par lequel il me dit "qu'il va continuer à faire son travail mais de façon incomplete."

Je crois que le virus GANCRAB a deterioré plusieurs fonctions dans mon pc avant d'etre eradiqué par mse,mamwarebytes et hitman pro .

voici le rapport de Combofix :et merci merci merci infiniment

ComboFix 18-08-08.01 - SAID 09/08/2018 9:02.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1014.125 [GMT 0:00]
Lancé depuis: f:\túlúchargements\xp.exe
AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
* Un nouveau point de restauration a été créé
.
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\All Users\Application Data\TEMP
c:\documents and settings\SAID\Recent\KRAB-DECRYPT.txt
F:\Curcumine_ La seule manière de bénéficier des propriétés médicinales extraordinaires du curcuma est celle de la tradition millé.pdf
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2018-07-09 au 2018-08-09 ))))))))))))))))))))))))))))))))))))
.
.
2018-08-08 08:26 . 2018-08-06 11:25 12068304 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{CAA33CC8-C80D-4A5B-A27F-6C71697033F4}\mpengine.dll
2018-08-07 18:32 . 2018-08-08 21:27 -------- d-----w- c:\documents and settings\SAID\Application Data\ZHP
2018-08-07 18:32 . 2018-08-08 18:40 -------- d-----w- c:\documents and settings\SAID\Local Settings\Application Data\ZHP
2018-08-07 09:28 . 2018-08-07 09:28 -------- d-----w- c:\program files\HitmanPro
2018-08-07 09:26 . 2018-08-07 09:26 -------- d-----w- c:\documents and settings\NetworkService\Bureau
2018-08-07 09:21 . 2018-08-07 09:21 -------- d-----w- c:\windows\system32\Lang
2018-08-06 11:18 . 2018-08-07 09:28 -------- d-----w- c:\program files\Microsoft Security Client
2018-08-06 11:06 . 2018-08-06 11:06 12872 ----a-w- c:\windows\system32\bootdelete.exe
2018-08-05 20:21 . 2018-08-07 09:04 -------- d-----w- c:\documents and settings\All Users\Application Data\HitmanPro
2018-08-04 11:06 . 2018-08-07 09:07 -------- d-----w- c:\documents and settings\Administrateur
2018-08-02 21:59 . 2018-08-02 21:59 -------- d-----w- c:\documents and settings\SAID\Application Data\Thinstall
2018-08-02 21:25 . 2018-08-02 21:25 -------- d-----w- c:\windows\system32\wbem\Repository
2018-08-01 11:11 . 2018-08-07 09:26 -------- d-----w- c:\program files\CnuIkQwIPCCYqObXIBR(2)
2018-08-01 11:11 . 2018-08-07 09:26 -------- d-----w- c:\program files\FRpWkJtwUMUn(2)
2018-07-28 09:24 . 2018-08-09 08:40 220896 ----a-w- c:\windows\system32\drivers\MBAMSwissArmy.sys
2018-07-28 09:22 . 2018-04-26 05:36 128736 ----a-w- c:\windows\system32\drivers\mbae.sys
2018-07-28 09:21 . 2018-07-28 09:21 -------- d-----w- c:\program files\Malwarebytes
2018-07-28 09:21 . 2018-07-28 09:21 -------- d-----w- c:\documents and settings\All Users\Application Data\MB2Migration
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2018-07-25 08:10 . 2012-03-29 22:58 842240 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2018-07-25 08:10 . 2012-01-26 16:07 175104 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2018-07-09 19:18 . 2018-07-09 19:18 1142072 ----a-w- c:\windows\ucrtbase.dll
2018-07-09 18:11 . 2015-01-26 17:56 25864 ----a-w- c:\windows\system32\drivers\GUBootStartup.sys
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpeedConnectStartUp"="c:\program files\CBS Software\SpeedConnect Internet Accelerator\SpeedConnectStartUp.exe" [2012-03-31 602112]
"GUDelayStartup"="c:\program files\Glary Utilities 5\StartupManager.exe" [2018-07-23 43984]
"CCleaner Monitoring"="c:\program files\CCleaner\CCleaner.exe" [2018-07-20 13684416]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"snpstd3"="c:\windows\vsnpstd3.exe" [2006-09-19 827392]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2009-08-03 1044480]
"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2010-07-04 17408]
"TrueImageMonitor.exe"="c:\program files\Acronis\TrueImageHome\TrueImageMonitor.exe" [2009-09-12 5081912]
"Acronis Scheduler2 Service"="c:\program files\Fichiers communs\Acronis\Schedule2\schedhlp.exe" [2009-09-12 358024]
"Service Scheduler2 Acronis"="c:\program files\Fichiers communs\Acronis\Schedule2\schedhlp.exe" [2009-09-12 358024]
"TrayServer"="c:\progra~1\MAGIX\VIDEO_~1\TrayServer_fr.exe" [2008-09-01 90112]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-12-12 143360]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-12-12 172032]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-12-12 143360]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2011-06-15 997920]
.
c:\documents and settings\Default User\Menu Démarrer\Programmes\Démarrage\
KRAB-DECRYPT.txt [2018-8-2 8334]
.
c:\documents and settings\Default User\Menu Démarrer\Programmes\Démarrage\
KRAB-DECRYPT.txt [2018-8-2 8334]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\hitmanpro37]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\hitmanpro37.sys]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HitmanPro38Crusader]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HitmanPro38CrusaderBoot]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Documents and Settings\\SAID\\Local Settings\\Application Data\\Facebook\\Video\\Skype\\FacebookVideoCalling.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\CCleaner\\CCUpdate.exe"=
"c:\\WINDOWS\\system32\\msiexec.exe"=
.
R0 tdrpman251;Acronis Try&Decide and Restore Points filter (build 251);c:\windows\system32\drivers\tdrpm251.sys [21/02/2012 18:11 902432]
R1 GUBootStartup;GUBootStartup;c:\windows\system32\drivers\GUBootStartup.sys [26/01/2015 17:56 25864]
R2 ASFIPmon;Broadcom ASF IP Monitor;c:\program files\Broadcom\ASFIPMon\AsfIpMon.exe [17/03/2006 17:25 65536]
R2 Fabs;FABS - Helping agent for MAGIX media database;c:\program files\Fichiers communs\MAGIX Services\Database\bin\FABS.exe [27/08/2009 17:09 1253376]
R2 HitmanProScheduler;HitmanPro Scheduler;c:\program files\HitmanPro\hmpsched.exe [06/08/2018 11:01 114648]
R2 MBAMService;Malwarebytes Service;c:\program files\Malwarebytes\Anti-Malware\MBAMService.exe [28/07/2018 09:21 4753104]
R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\MBAMSwissArmy.sys [28/07/2018 09:24 220896]
S0 SmartDefragDriver;SmartDefragDriver;c:\windows\system32\Drivers\SmartDefragDriver.sys --> c:\windows\system32\Drivers\SmartDefragDriver.sys [?]
S2 MxService;MxService;c:\program files\Maxthon5\Bin\MxService.exe --> c:\program files\Maxthon5\Bin\MxService.exe [?]
S3 afcdp;afcdp;c:\windows\system32\drivers\afcdp.sys [21/02/2012 18:11 159168]
S3 afcdpsrv;Acronis Nonstop Backup service;c:\program files\Fichiers communs\Acronis\CDP\afcdpsrv.exe [21/02/2012 18:11 2326920]
S3 cpudrv;cpudrv;c:\program files\SystemRequirementsLab\cpudrv.sys [02/06/2011 10:08 11336]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\Fichiers communs\MAGIX Services\Database\bin\fbserver.exe [07/08/2008 11:10 3276800]
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - MBAMSWISSARMY
.
Contenu du dossier 'Tâches planifiées'
.
2018-08-04 c:\windows\Tasks\Adobe Flash Player NPAPI Notifier.job
- c:\windows\system32\Macromed\Flash\FlashUtil32_30_0_0_134_Plugin.exe [2018-07-25 08:10]
.
2018-08-09 c:\windows\Tasks\CCleaner Update.job
- c:\program files\CCleaner\CCUpdate.exe [2018-07-20 17:21]
.
2018-08-08 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-725345543-963894560-839522115-1003Core.job
- c:\documents and settings\SAID\Local Settings\Application Data\Facebook\Update\FacebookUpdate.exe [2012-01-29 18:42]
.
2018-08-08 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-725345543-963894560-839522115-1003UA.job
- c:\documents and settings\SAID\Local Settings\Application Data\Facebook\Update\FacebookUpdate.exe [2012-01-29 18:42]
.
2018-08-09 c:\windows\Tasks\hbJaUBWLfLBdb.job
- c:\windows\system32\wscript.exe [2004-08-19 11:24]
.
2018-08-07 c:\windows\Tasks\hbJaUBWLfLBdb2.job
- c:\windows\system32\wscript.exe [2004-08-19 11:24]
.
2018-08-09 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Microsoft Security Client\Antimalware\MpCmdRun.exe [2011-04-27 15:39]
.
2018-08-09 c:\windows\Tasks\MpIdleTask.job
- c:\program files\Microsoft Security Client\Antimalware\MpCmdRun.exe [2011-04-27 15:39]
.
2018-08-09 c:\windows\Tasks\yWfovadxzjNGh.job
- c:\windows\system32\wscript.exe [2004-08-19 11:24]
.
2018-08-08 c:\windows\Tasks\yWfovadxzjNGh2.job
- c:\windows\system32\wscript.exe [2004-08-19 11:24]
.
.
------- Examen supplémentaire -------
.
uStart Page = about:blank
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\documents and settings\SAID\Application Data\Mozilla\Firefox\Profiles\hgulhl39.default-1533287428203\
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Toolbar-Locked - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2018-08-09 09:08
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,fb,a9,92,e0,dc,2f,bb,4d,bc,56,eb,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,fb,a9,92,e0,dc,2f,bb,4d,bc,56,eb,\
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_8_800_175_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_8_800_175_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Heure de fin: 2018-08-09 09:09:59
ComboFix-quarantined-files.txt 2018-08-09 09:09
.
Avant-CF: 2 898 903 040 octets libres
Après-CF: 2 878 377 984 octets libres
.
- - End Of File - - F259D41D4A14A0CA614C327E650B3151
C99C3199CFAA4CBDCD91493F6D113A50

G225
 Posté le 09/08/2018 à 15:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Allez dans Démarrer Programmes ou tout les programmes dans Démarrage et / ou Start UP et supprimer si cela existe encore: KRAB-DECRYPT.txt

Désinstaller ce trop vieux Flash pour Internet Explorer: Adobe Flash Player 11 ActiveX

L'antivirus MSE pour XP n'est plus mise à jour depuis longtemps. Il serait bien de changer d'antivirus pour Avast ou AVG. Désinstaller MSE avant..

Maintenant me refaire un ZHPdiag pour un dernier nettoyage car l'ordi semble correct



Modifié par G225 le 09/08/2018 15:11
menara
 Posté le 10/08/2018 à 00:14 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Voici le lien vers le scan ZHPdiag:

https://www.cjoint.com/c/HHjv0E4OJTK

Je peux toujours faire les mises à jour de MSE ,manuellement à partir de ce lien :

https://www.filecluster.fr/telecharger/ForeFront-Client-Security-Definition-Updates-92650.html

Cet anti virus me plait,il est leger.

Avast et Avg ,m'allourdissent l'ordinateur.

Les racines de ce maudit Krab sont entrelacées avec plusieurs dossiers de mon ordinateur.

Est-ce que je les supprime ?

Voici à titre d'exemple un relevé d'une operation "rechercher" que j'ai faite à l'instant :

https://www.cjoint.com/c/HHjwkVwj3IK

G225
 Posté le 10/08/2018 à 04:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Moi je formterais et recommencerait l'ordi a zéro car c'est trop infecté, il manque des fichiers probablement important. Pour MSE, je ne supporte pas ce genre de truc car officiellement le support est terminée.

Comment avez-vous attrapez ce rogue ?

Supprimer tout les fichier Krab et voir s'ils se refont à mesure mais je ne prendrais pas de chance surtout sur XP.



Modifié par G225 le 10/08/2018 04:38
menara
 Posté le 10/08/2018 à 10:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

G225 a écrit :

Moi je formterais et recommencerait l'ordi a zéro car c'est trop infecté, il manque des fichiers probablement important. Pour MSE, je ne supporte pas ce genre de truc car officiellement le support est terminée.

Comment avez-vous attrapez ce rogue ?

Supprimer tout les fichier Krab et voir s'ils se refont à mesure mais je ne prendrais pas de chance surtout sur XP.

Y a-il un moyen de recuperer mon image disque qui touchée egalement par krab ?

Si je la recupere je la reinstalle au lieu de formater.

Merci beaucoup.

Br_Fr
 Posté le 10/08/2018 à 10:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

menara

tu ne la sauvegardes pas aussi sur un DD externe??

menara
 Posté le 10/08/2018 à 10:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Br_Fr a écrit :

menara

tu ne la sauvegardes pas aussi sur un DD externe??

Oui c'est sur la partition "D"

Publicité
Pages : [1] 2 3 ... Fin
Page 1 sur 3 [Fin]

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
68,40 €Boîtier Fractal Design Define C avec panneau en verre trempé à 68,40 €
Valable jusqu'au 28 Juillet

Amazon propose actuellement l'excellent boîter moyen tour Fractal Design Define C Black TG avec un panneau en verre trempé à 68,40 € alors qu'on le trouve ailleurs à plus de 100 €. Le boitier PC Define est une plateforme conçue pour délivrer l'une des meilleures performances de refroidissement et de silence. 2 ventilateurs Dynamic GP12 120 mm sont inclus.


> Voir l'offre
24,86 €Souris Logitech M330 Silent Plus à 24,86 €
Valable jusqu'au 30 Juillet

Amazon fait une promotion sur la souris Logitech M330 Silent Plus qui passe à 24,86 €. On trouve cette souris sans fil et très silencieuse (clic sans bruit) ailleurs à partir de 32 €.


> Voir l'offre
279,00 €Ecran LG 32 pouces 32UN500 (4K, FreeSync) à 279 €
Valable jusqu'au 28 Juillet

Amazon propose actuellement l'écran 32 pouces LG 32UN500 à 279 € livré gratuitement alors qu'on le trouve ailleurs à partir de 399 €. Cet écran offre une résolution 4K de 3840 x 2160 pixels avec une dalle VA compatible FreeSync. Il possède 2 ports HDMI 2.0 et un port DP 1.2. Il est compatible HDR10.


> Voir l'offre

Sujets relatifs
Aide PC infecté, un expert svp, merci d'avance!!!
pc infecté - aide au diagnostic
Auslogics Disk Defrag portable infecté ?
Site web infecté par site coquin
Ordinateur / messagerie infecté(e) ?
Infecté ou pas ??
Message sécurité de windows PC infecté
Burnaware infecté ?
PC lent, infecté ou pas ?
windows 10 infecte
Plus de sujets relatifs à Mon pc est infecté par GANDCRAB V4
 > Tous les forums > Forum Sécurité