Windows 7 a été infecté par le ransomware Cerber

[kiedo]

Bonjour

Mon Windows 7 est infecté par le Ransomware Cerber pouvez vous m'aider à le supprimer par avance merci

[Malekal_morte]

Salut,

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.

Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.

<gras>1°)</gras> FRST
Suis le tutoriel FRST.

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[kiedo]

voici les liens


Shortcut


merci du retour

[Malekal_morte]

Voici les deux opérations à effectuer.

1/

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

Task: {22E20DA6-FFEA-4CEC-8E54-59DBC0917603} - System32\Tasks\Scheduled Update for Ask Toolbar => C:\Program Files (x86)\Ask.com\UpdateTask.exe [2012-01-04] () <==== ATTENTION
 HKU\S-1-5-18\...\Run: [TapiUnattend] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\TapiUnattend.exe [278528 2013-08-02] (DDVideoSoft Ltd. ) 
 HKU\S-1-5-18\...\Run: [SndVol] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\SndVol.exe [278528 2013-08-02] (DDVideoSoft Ltd. ) 
 HKU\S-1-5-18\...\Run: [javaw] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\javaw.exe 
 HKU\S-1-5-18\...\RunOnce: [TapiUnattend] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\TapiUnattend.exe [278528 2013-08-02] (DDVideoSoft Ltd. ) 
 HKU\S-1-5-18\...\RunOnce: [SndVol] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\SndVol.exe [278528 2013-08-02] (DDVideoSoft Ltd. ) 
 HKU\S-1-5-18\...\RunOnce: [javaw] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\javaw.exe 
 HKU\S-1-5-18\...\Policies\Explorer: [Run] C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\SndVol.exe 
 HKU\S-1-5-18\...\Command Processor: C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\SndVol.exe [278528 2013-08-02] (DDVideoSoft Ltd. ) <===== ATTENTION 
 HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\SndVol.exe [278528 2013-08-02] (DDVideoSoft Ltd. ) 
 2016-04-02 11:06 - 2016-04-02 11:06 - 00012834 _____ C:\Users\Pascal\AppData\Roaming\# DECRYPT MY FILES #.html 
 2016-04-02 11:06 - 2016-04-02 11:06 - 00011382 _____ C:\Users\Pascal\AppData\Roaming\# DECRYPT MY FILES #.txt 
 2016-04-02 11:06 - 2016-04-02 11:06 - 00000204 _____ C:\Users\Pascal\AppData\Roaming\# DECRYPT MY FILES #.vbs 
 2016-04-02 10:48 - 2016-04-02 10:48 - 00012834 _____ C:\Users\Pascal\Documents\# DECRYPT MY FILES #.html 
 2016-04-02 10:48 - 2016-04-02 10:48 - 00011382 _____ C:\Users\Pascal\Documents\# DECRYPT MY FILES #.txt 
 2016-04-02 10:48 - 2016-04-02 10:48 - 00000204 _____ C:\Users\Pascal\Documents\# DECRYPT MY FILES #.vbs 
2016-04-02 10:47 - 2016-04-02 10:47 - 00012834 _____ C:\Users\Pascal\# DECRYPT MY FILES #.html 
2016-04-02 10:47 - 2016-04-02 10:47 - 00011382 _____ C:\Users\Pascal\# DECRYPT MY FILES #.txt 
2016-04-02 10:47 - 2016-04-02 10:47 - 00000204 _____ C:\Users\Pascal\# DECRYPT MY FILES #.vbs 
 2013-09-29 12:29 - 2013-09-29 12:29 - 0000000 _____ () C:\Users\Pascal\AppData\Roaming\LkLOz.txt  
C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}
 C:\Users\Pascal\AppData\Local\Temp\07De306.exe  
 C:\Users\Pascal\AppData\Local\Temp\AskSLib.dll  
 C:\Users\Pascal\AppData\Local\Temp\B627210822B8.exe 
 C:\Users\Pascal\AppData\Local\Temp\c504CBDf81.exe  
 C:\Users\Pascal\AppData\Local\Temp\conduitinstaller.exe 
 C:\Users\Pascal\AppData\Local\Temp\e5654.exe 
 C:\Users\Pascal\AppData\Local\Temp\FlashPlayer__279_i1002242794_il3687.exe  
 C:\Users\Pascal\AppData\Local\Temp\ICReinstall_FlvPlayerSetup.exe  
 C:\Users\Pascal\AppData\Local\Temp\MSN4B82.exe  
 C:\Users\Pascal\AppData\Local\Temp\ose00000.exe 
 C:\Users\Pascal\AppData\Local\Temp\stub.exe 
 C:\Users\Pascal\AppData\Local\Temp\tb01NE.dll  

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.


2/

Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/

[kiedo]

voici une copie du fichier suite a la correction FRST

Code : Tout sélectionner

Résultats de correction de Farbar Recovery Scan Tool (x64) Version:05-03-2016 01
Exécuté par Pascal (2016-04-03 11:23:22) Run:1
Exécuté depuis C:\Users\Pascal\Desktop
Profils chargés: Pascal (Profils disponibles: Pascal)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Code:
Task: {22E20DA6-FFEA-4CEC-8E54-59DBC0917603} - System32\Tasks\Scheduled Update for Ask Toolbar => C:\Program Files (x86)\Ask.com\UpdateTask.exe [2012-01-04] () <==== ATTENTION
 HKU\S-1-5-18\...\Run: [TapiUnattend] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\TapiUnattend.exe [278528 2013-08-02] (DDVideoSoft Ltd. ) 
 HKU\S-1-5-18\...\Run: [SndVol] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\SndVol.exe [278528 2013-08-02] (DDVideoSoft Ltd. ) 
 HKU\S-1-5-18\...\Run: [javaw] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\javaw.exe 
 HKU\S-1-5-18\...\RunOnce: [TapiUnattend] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\TapiUnattend.exe [278528 2013-08-02] (DDVideoSoft Ltd. ) 
 HKU\S-1-5-18\...\RunOnce: [SndVol] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\SndVol.exe [278528 2013-08-02] (DDVideoSoft Ltd. ) 
 HKU\S-1-5-18\...\RunOnce: [javaw] => C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\javaw.exe 
 HKU\S-1-5-18\...\Policies\Explorer: [Run] C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\SndVol.exe 
 HKU\S-1-5-18\...\Command Processor: C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\SndVol.exe [278528 2013-08-02] (DDVideoSoft Ltd. ) <===== ATTENTION 
 HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}\SndVol.exe [278528 2013-08-02] (DDVideoSoft Ltd. ) 
 2016-04-02 11:06 - 2016-04-02 11:06 - 00012834 _____ C:\Users\Pascal\AppData\Roaming\# DECRYPT MY FILES #.html 
 2016-04-02 11:06 - 2016-04-02 11:06 - 00011382 _____ C:\Users\Pascal\AppData\Roaming\# DECRYPT MY FILES #.txt 
 2016-04-02 11:06 - 2016-04-02 11:06 - 00000204 _____ C:\Users\Pascal\AppData\Roaming\# DECRYPT MY FILES #.vbs 
 2016-04-02 10:48 - 2016-04-02 10:48 - 00012834 _____ C:\Users\Pascal\Documents\# DECRYPT MY FILES #.html 
 2016-04-02 10:48 - 2016-04-02 10:48 - 00011382 _____ C:\Users\Pascal\Documents\# DECRYPT MY FILES #.txt 
 2016-04-02 10:48 - 2016-04-02 10:48 - 00000204 _____ C:\Users\Pascal\Documents\# DECRYPT MY FILES #.vbs 
2016-04-02 10:47 - 2016-04-02 10:47 - 00012834 _____ C:\Users\Pascal\# DECRYPT MY FILES #.html 
2016-04-02 10:47 - 2016-04-02 10:47 - 00011382 _____ C:\Users\Pascal\# DECRYPT MY FILES #.txt 
2016-04-02 10:47 - 2016-04-02 10:47 - 00000204 _____ C:\Users\Pascal\# DECRYPT MY FILES #.vbs 
 2013-09-29 12:29 - 2013-09-29 12:29 - 0000000 _____ () C:\Users\Pascal\AppData\Roaming\LkLOz.txt  
C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1}
 C:\Users\Pascal\AppData\Local\Temp\07De306.exe  
 C:\Users\Pascal\AppData\Local\Temp\AskSLib.dll  
 C:\Users\Pascal\AppData\Local\Temp\B627210822B8.exe 
 C:\Users\Pascal\AppData\Local\Temp\c504CBDf81.exe  
 C:\Users\Pascal\AppData\Local\Temp\conduitinstaller.exe 
 C:\Users\Pascal\AppData\Local\Temp\e5654.exe 
 C:\Users\Pascal\AppData\Local\Temp\FlashPlayer__279_i1002242794_il3687.exe  
 C:\Users\Pascal\AppData\Local\Temp\ICReinstall_FlvPlayerSetup.exe  
 C:\Users\Pascal\AppData\Local\Temp\MSN4B82.exe  
 C:\Users\Pascal\AppData\Local\Temp\ose00000.exe 
 C:\Users\Pascal\AppData\Local\Temp\stub.exe 
 C:\Users\Pascal\AppData\Local\Temp\tb01NE.dll  
*****************

Code: => Erreur: Pas de correction automatique trouvée pour cet élément.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{22E20DA6-FFEA-4CEC-8E54-59DBC0917603}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{22E20DA6-FFEA-4CEC-8E54-59DBC0917603}" => clé supprimé(es) avec succès
C:\windows\System32\Tasks\Scheduled Update for Ask Toolbar => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduled Update for Ask Toolbar" => clé supprimé(es) avec succès
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\TapiUnattend => valeur supprimé(es) avec succès
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\SndVol => valeur supprimé(es) avec succès
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\javaw => valeur supprimé(es) avec succès
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce\\TapiUnattend => valeur supprimé(es) avec succès
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce\\SndVol => valeur supprimé(es) avec succès
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce\\javaw => valeur supprimé(es) avec succès
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\Run => valeur supprimé(es) avec succès
HKU\S-1-5-18\Software\Microsoft\Command Processor\\AutoRun => valeur supprimé(es) avec succès
HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE => valeur supprimé(es) avec succès
C:\Users\Pascal\AppData\Roaming\# DECRYPT MY FILES #.html => déplacé(es) avec succès
C:\Users\Pascal\AppData\Roaming\# DECRYPT MY FILES #.txt => déplacé(es) avec succès
C:\Users\Pascal\AppData\Roaming\# DECRYPT MY FILES #.vbs => déplacé(es) avec succès
C:\Users\Pascal\Documents\# DECRYPT MY FILES #.html => déplacé(es) avec succès
C:\Users\Pascal\Documents\# DECRYPT MY FILES #.txt => déplacé(es) avec succès
C:\Users\Pascal\Documents\# DECRYPT MY FILES #.vbs => déplacé(es) avec succès
C:\Users\Pascal\# DECRYPT MY FILES #.html => déplacé(es) avec succès
C:\Users\Pascal\# DECRYPT MY FILES #.txt => déplacé(es) avec succès
C:\Users\Pascal\# DECRYPT MY FILES #.vbs => déplacé(es) avec succès
C:\Users\Pascal\AppData\Roaming\LkLOz.txt => déplacé(es) avec succès
C:\Users\Pascal\AppData\Roaming\{C03628C9-6389-EA29-3A32-D2E3B9CC61F1} => déplacé(es) avec succès
C:\Users\Pascal\AppData\Local\Temp\07De306.exe => déplacé(es) avec succès
C:\Users\Pascal\AppData\Local\Temp\AskSLib.dll => déplacé(es) avec succès
C:\Users\Pascal\AppData\Local\Temp\B627210822B8.exe => déplacé(es) avec succès
C:\Users\Pascal\AppData\Local\Temp\c504CBDf81.exe => déplacé(es) avec succès
C:\Users\Pascal\AppData\Local\Temp\conduitinstaller.exe => déplacé(es) avec succès
C:\Users\Pascal\AppData\Local\Temp\e5654.exe => déplacé(es) avec succès
C:\Users\Pascal\AppData\Local\Temp\FlashPlayer__279_i1002242794_il3687.exe => déplacé(es) avec succès
C:\Users\Pascal\AppData\Local\Temp\ICReinstall_FlvPlayerSetup.exe => déplacé(es) avec succès
C:\Users\Pascal\AppData\Local\Temp\MSN4B82.exe => déplacé(es) avec succès
C:\Users\Pascal\AppData\Local\Temp\ose00000.exe => déplacé(es) avec succès
C:\Users\Pascal\AppData\Local\Temp\stub.exe => déplacé(es) avec succès
C:\Users\Pascal\AppData\Local\Temp\tb01NE.dll => déplacé(es) avec succès

==== Fin de Fixlog 11:23:24 ====

[Malekal_morte]

ok, si tu ne peux pas envoyer le zip de la quarantaine FRST.
Utilise le site partage facile pour l'héberger.

[Malekal_morte]

Merci reçu.
>Mise à jour de la fiche Fiche du Ransomware Cerber.

La détection est plutôt bonne :

SHA256: 9d92fb315830ba69162bb7c39c45b219cb8399dd4e2ca00a1e21a5457f92fb3c
Nom du fichier : SndVol.exe
Ratio de détection : 16 / 56
Date d'analyse : 2016-04-03 10:57:20 UTC (il y a 2 minutes)

AVware Trojan.Win32.Generic!BT 20160403
Ad-Aware Gen:Variant.Razy.36318 20160403
Arcabit Trojan.Razy.D8DDE 20160403
Avira (no cloud) TR/Dropper.VB.bhdk 20160403
BitDefender Gen:Variant.Razy.36318 20160403
ESET-NOD32 Win32/Filecoder.Cerber.B 20160403
Emsisoft Gen:Variant.Razy.36318 (B) 20160403
F-Secure Gen:Variant.Razy.36318 20160403
GData Gen:Variant.Razy.36318 20160403
Malwarebytes Trojan.Injector.VB 20160403
eScan Gen:Variant.Razy.36318 20160403
Microsoft Trojan:Win32/Porest!dha 20160403
Qihoo-360 HEUR/QVM03.0.Malware.Gen 20160403
Rising PE:Malware.Generic/QRS!1.9E2D [F] 20160403
Tencent Win32.Trojan.Filecoder.Hvjd 20160403
VIPRE Trojan.Win32.Generic!BT 20160403
ALYac 20160403

Tu devrais installer Avast! ou Antivir.

[kiedo]

WINDOWS a été nettoyé ?

Des fichiers ont été cryptés est ce qu'il y a un moyen de les récupérer ? si je fais un restaure Est-ce que je peux espérer en récupérer. Sinon j'ai fait une copie sur disque sur externe Est-ce que je peux les réinstaller ?

Malheureusement je n'avais pas tout sauvegardé des pdf des photos et des films.
Je pensais que Antivir était installé.

Merci de tes conseils

[Malekal_morte]

Normalement oui, fais un nettoyage Antivir pour terminer.
Il faut restaurer les fichiers avec une sauvegarde.

[kiedo]

comment puis-je restauré il me semble que j'avais fait une suvegarde mais je n'ai pus le point ?
merci encore pour ton aide

[Malekal_morte]

Ca dépend, comment as-tu sauvegardé tes documents ?

[david040380]

Bonjour à tous,

Mon Windows est infecté par Cerber, je viens de lancer l'utilitaire en suivant votre procédure et voici les liens pour récupérer les fichiers

http://pjjoint.malekal.com/files.php?id ... u12w8k12y9
http://pjjoint.malekal.com/files.php?id ... 06n9m12i13
http://pjjoint.malekal.com/files.php?id ... 8r5q8b15j6


mot de passe : cerber

Merci à vous

[Malekal_morte]

Salut,

Le Ransomware Cerber n'est plus actif au vu de tes rapports, plus qu'à supprimer les fichiers :

# DECRYPT MY FILES #.html
# DECRYPT MY FILES #.txt
# DECRYPT MY FILES #.vbs

Fais une recherche de fichiers sur Windows (aide : Comment rechercher des fichiers sur Windows) sur DECRYPT MY FILES et supprime les fichiers trouvés.

Je t'invite aussi à changer tous tes mots de passe.

[LOLO49]

Code : Tout sélectionner

Bonjour voici les liens demandés
http://pjjoint.malekal.com/files.php?id ... 4y10o11x12
http://pjjoint.malekal.com/files.php?id ... 7e8x8t9i15
http://pjjoint.malekal.com/files.php?id ... m15u8y13i5

[Malekal_morte]

Bonjour LOLO,

Je pense que tu peux désinstaller GlaryHole MalwareHunter.
Suis ces deux étapes.

1/
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
  HKU\S-1-5-18\...\Run: [RMActivate_isv] => C:\Users\direct ai\AppData\Roaming\{92493AEE-2309-C82D-5128-8B12F81E6827}\RMActivate_isv.exe [199367 2014-03-04] () 
 HKU\S-1-5-18\...\Run: [fsutil] => C:\Users\direct ai\AppData\Roaming\{92493AEE-2309-C82D-5128-8B12F81E6827}\fsutil.exe [199367 2014-03-04] () 
 HKU\S-1-5-18\...\RunOnce: [RMActivate_isv] => C:\Users\direct ai\AppData\Roaming\{92493AEE-2309-C82D-5128-8B12F81E6827}\RMActivate_isv.exe [199367 2014-03-04] () 
  C:\Users\direct ai\AppData\Roaming\{92493AEE-2309-C82D-5128-8B12F81E6827}
  C:\Users\direct ai\AppData\Roaming\{92493AEE-2309-C82D-5128-8B12F81E6827}
 HKU\S-1-5-18\...\RunOnce: [fsutil] => C:\Users\direct ai\AppData\Roaming\{92493AEE-2309-C82D-5128-8B12F81E6827}\fsutil.exe [199367 2014-03-04] () 
 Task: {6A1DDA7E-C6E4-45E1-A635-3951F218F143} - System32\Tasks\Scheduled Update for Ask Toolbar => C:\Program Files (x86)\Ask.com\UpdateTask.exe [2012-06-20] () <==== ATTENTION
2016-04-20 23:41 - 2016-04-20 23:41 - 0012834 _____ () C:\Users\direct ai\AppData\Roaming\# DECRYPT MY FILES #.html 
 2016-04-20 23:41 - 2016-04-20 23:41 - 0011382 _____ () C:\Users\direct ai\AppData\Roaming\# DECRYPT MY FILES #.txt 
 2016-04-20 23:41 - 2016-04-20 23:41 - 0000204 _____ () C:\Users\direct ai\AppData\Roaming\# DECRYPT MY FILES #.vbs 
 1602-05-15 16:07 - 1602-05-15 16:07 - 0002250 _____ () C:\Users\direct ai\AppData\Roaming\mQH32oIZ8j.cerber 
  Reboot:
 

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.


2/Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/