Page 1 sur 1

.exe à 0 octet : machine potentiellement infectée

Publié : 31 déc. 2017 13:56
par spirit
bonjour, il y a de cela 3jours de cela que tout mes fichiers ont éte traanfformé en .exe et touté mes applications sont passées a 0ko. j'ai parcouru le forum et j'ai compris que plusieurs personnes avec eu ce soucis .J 'ai ainsi suivi la methologie de resolution de ce probleme en scannant ma machine avec FRST et je vous transmet ainsi les trois rapport generés.
merci de bien vouloir m'aider coordialement


https://pjjoint.malekal.com/files.php?i ... l1015x9p13
https://pjjoint.malekal.com/files.php?i ... 0t11f6h6x6
https://pjjoint.malekal.com/files.php?i ... 6f11p11o12

Re: .exe à 0 octet : machine potentiellement infectée

Publié : 31 déc. 2017 18:35
par Malekal_morte
Salut,

Désinstalle Web Companion
Sert à rien.


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
 HKU\S-1-5-21-1319629504-932282813-489001297-1001\...\Run: [uTorrent] => C:\Users\Le Spirit\AppData\Roaming\uTorrent\uTorrent.exe [1985464 2017-12-22] (BitTorrent Inc.)
HKU\S-1-5-21-1319629504-932282813-489001297-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe [7704168 2017-12-22] (Lavasoft)
2017-12-22 20:11 - 2017-12-31 11:48 - 000000000 ____D C:\Users\Le Spirit\AppData\Roaming\cacaoweb
2017-12-22 20:10 - 2017-12-31 11:01 - 000000000 _____ C:\Users\Le Spirit\Desktop\cacaoweb.exe
2017-12-22 19:43 - 2017-12-22 19:43 - 000000000 ____D C:\Users\Le Spirit\AppData\Roaming\Lavasoft
2017-12-22 19:43 - 2017-12-22 19:43 - 000000000 ____D C:\Users\Le Spirit\AppData\Local\Lavasoft
2017-12-22 19:43 - 2017-12-22 19:43 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft
2017-12-22 19:43 - 2017-12-22 19:43 - 000000000 ____D C:\Program Files (x86)\Lavasoft
Task: {30FF2A7B-3E97-46E9-A5AA-7484E7CCCD04} - System32\Tasks\KMS8Server => C:\Windows\KMS8\KMS8.exe [2016-03-01] ()
Task: {47541082-0837-4DEE-BF35-0E70C2024264} - System32\Tasks\KMS8 => C:\Windows\KMS8\KMS8.exe [2016-03-01] ()
C:\Windows\KMS8
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.


2) réinitialiser les navigateurs:
==================================
Réinitialise tes navigateurs et/ou re-paramètre manuellement tes navigateurs WEB ( page de démarrage, moteur de recherche, etc ) mais aussi supprimer/désactiver les extensions inutiles/parasites.
Pour t'aider à effectuer ce ménage, clique ci-dessous sur le nom du navigateur WEB que tu utilises :
* Réinitialiser et réparer Mozilla Firefox
* Réinitialiser et réparer Google Chrome

3)
Faire un nettoyage Malwarebytes Anti-Malware (MBAM ) version gratuite

Re: .exe à 0 octet : machine potentiellement infectée

Publié : 01 janv. 2018 00:29
par spirit
merci beaucoup pour votre aide voici le rapport generé:



Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 31-12-2017
Exécuté par Le Spirit (31-12-2017 23:16:06) Run:1
Exécuté depuis C:\Users\Le Spirit\Desktop
Profils chargés: Le Spirit (Profils disponibles: Le Spirit)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1319629504-932282813-489001297-1001\...\Run: [uTorrent] => C:\Users\Le Spirit\AppData\Roaming\uTorrent\uTorrent.exe [1985464 2017-12-22] (BitTorrent Inc.)
HKU\S-1-5-21-1319629504-932282813-489001297-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe [7704168 2017-12-22] (Lavasoft)
2017-12-22 20:11 - 2017-12-31 11:48 - 000000000 ____D C:\Users\Le Spirit\AppData\Roaming\cacaoweb
2017-12-22 20:10 - 2017-12-31 11:01 - 000000000 _____ C:\Users\Le Spirit\Desktop\cacaoweb.exe
2017-12-22 19:43 - 2017-12-22 19:43 - 000000000 ____D C:\Users\Le Spirit\AppData\Roaming\Lavasoft
2017-12-22 19:43 - 2017-12-22 19:43 - 000000000 ____D C:\Users\Le Spirit\AppData\Local\Lavasoft
2017-12-22 19:43 - 2017-12-22 19:43 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft
2017-12-22 19:43 - 2017-12-22 19:43 - 000000000 ____D C:\Program Files (x86)\Lavasoft
Task: {30FF2A7B-3E97-46E9-A5AA-7484E7CCCD04} - System32\Tasks\KMS8Server => C:\Windows\KMS8\KMS8.exe [2016-03-01] ()
Task: {47541082-0837-4DEE-BF35-0E70C2024264} - System32\Tasks\KMS8 => C:\Windows\KMS8\KMS8.exe [2016-03-01] ()
C:\Windows\KMS8
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:

*****************

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
"HKU\S-1-5-21-1319629504-932282813-489001297-1001\Software\Microsoft\Windows\CurrentVersion\Run\\uTorrent" => supprimé(es) avec succès
"HKU\S-1-5-21-1319629504-932282813-489001297-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Web Companion" => supprimé(es) avec succès
C:\Users\Le Spirit\AppData\Roaming\cacaoweb => déplacé(es) avec succès
C:\Users\Le Spirit\Desktop\cacaoweb.exe => déplacé(es) avec succès
"C:\Users\Le Spirit\AppData\Roaming\Lavasoft" => non trouvé(e)
"C:\Users\Le Spirit\AppData\Local\Lavasoft" => non trouvé(e)
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft => déplacé(es) avec succès
"C:\Program Files (x86)\Lavasoft" => non trouvé(e)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{30FF2A7B-3E97-46E9-A5AA-7484E7CCCD04} => impossible à supprimer clé. ErrorCode1: 0x00000002
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{30FF2A7B-3E97-46E9-A5AA-7484E7CCCD04}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\KMS8Server => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\KMS8Server" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{47541082-0837-4DEE-BF35-0E70C2024264}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{47541082-0837-4DEE-BF35-0E70C2024264}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\KMS8 => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\KMS8" => supprimé(es) avec succès
C:\Windows\KMS8 => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-1319629504-932282813-489001297-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-1319629504-932282813-489001297-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 292316 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 11579336 B
Java, Flash, Steam htmlcache => 958 B
Windows/system/drivers => 258294472 B
Edge => 3506726 B
Chrome => 0 B
Firefox => 79652988 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 128 B
LocalService => 0 B
NetworkService => -660 B
Le Spirit => 708400774 B

RecycleBin => 118316 B
EmptyTemp: => 1012.7 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 23:17:14 ====

Re: .exe à 0 octet : machine potentiellement infectée

Publié : 01 janv. 2018 12:37
par Malekal_morte
Je pense qu'on est au bout.



Tu peux supprimer le dossier C:\FRST =)


Termine par un nettoyage Malwarebytes Anti-Malware (MBAM) version gratuite
Evite les analyses et nettoyages réguliers ZHPCleaner, AdwCleaner, pas utile.


Quelques conseils :

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : Dossier Adwares/PUPs : programmes indésirables et parasites
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)

Re: .exe à 0 octet : machine potentiellement infectée

Publié : 02 janv. 2018 10:27
par spirit
bonjour. Merci une fois de plus et bonne et heureuse année 2018.
voila j'ai supprimé le dossier FRST se trouvant sur le bureau et effectué un scan avec MALWARE, une fois la correction terminé.Après vérification le problème persiste.
je suis dépassé, même certain raccourcis present sur le bureau sont toujours sous la forme .exe. :dead:

Re: .exe à 0 octet : machine potentiellement infectée

Publié : 02 janv. 2018 11:26
par spirit
j'ai réinstalle certaines application comme vlc et a présent je peut ouvrir des fichier vidéo et musicaux.
toute fois la leccture d'un fichier se fait a partir de l'application elle meme. car la lecture directe des fichiers par un double click n'est toujours pas possible.

Re: .exe à 0 octet : machine potentiellement infectée

Publié : 02 janv. 2018 12:45
par spirit
PDT_016 PDT_016 PDT_004 PDT_001

merci beaucoup le pb a été résolu.
A très bientôt cordialement.

Re: .exe à 0 octet : machine potentiellement infectée

Publié : 02 janv. 2018 15:06
par Malekal_morte
De rien =)