.exe devenu 0 octet

[KiadyTsito]

Bonjour,

Mes .exe sont tous devenu 0octets et à chaque fois que j'insère un flash USB un dossier se crée dans le clé "System Volume Information" que dois -je faire s'il vous plaît


Ci dessous mes rapports FRST

https://pjjoint.malekal.com/files.php?r ... 8s9m7l10t7

https://pjjoint.malekal.com/files.php?r ... o13z6g11g5

Merci

[angelique]

Bonjour/Bonsoir

Désinstalle via programmes et fonctionnalités(exécuter➯appwiz.cpl):

Ask Toolbar

HPReyos

Web Companion

• Télécharge à coté de FRST.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.
  
  Relance FRST(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
  Un redémarrage peut être nécessaire (pas obligatoire).
  Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

[KiadyTsito]

Voici ce qui était écrit dans le fixlog


Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 04.03.2018
Exécuté par Kiady Tsito Andria (08-03-2018 17:22:32) Run:1
Exécuté depuis C:\Users\User\Desktop
Profils chargés: Kiady Tsito Andria (Profils disponibles: Kiady Tsito Andria & defaultuser0 & postgres)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
SearchScopes: HKU\S-1-5-21-2662098830-2256929992-2822512457-1001 -> {688895D9-1856-4DE3-9E5B-3E37CA5608B2} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=VDJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=&apn_uid=56D6074C-E784-4474-A995-C77F88E29EB3&apn_sauid=B3877A9F-040B-4AEC-9E13-EE3F4B627069
HKU\S-1-5-21-2662098830-2256929992-2822512457-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe [7706728 2018-02-05] (Lavasoft)
HKU\S-1-5-21-2662098830-2256929992-2822512457-1001\...\Run: [syswin] => C:\boots\syswin.exe [4730812 2018-03-08] ()
GroupPolicy: Restriction <==== ATTENTION
Task: {45C8874F-8C0D-4B47-8B1E-071CE7CAA443} - System32\Tasks\Scheduled Update for Ask Toolbar => C:\Program Files (x86)\Ask.com\UpdateTask.exe [2011-02-01] () <==== ATTENTION
2018-02-28 09:36 - 2017-10-03 22:00 - 000002526 _____ C:\WINDOWS\System32\Tasks\{BA323629-7AE2-4021-B307-04625902ECE9}
2018-02-28 09:36 - 2017-01-17 11:57 - 000002450 _____ C:\WINDOWS\System32\Tasks\{25B6ADDF-7D01-439F-AF22-4562D12D0271}
2018-03-08 12:15 - 2018-03-08 12:15 - 000000000 ___HD C:\boots
REG: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\HPReyos" /f
Hosts:
EmptyTemp:

*****************

"HKU\S-1-5-21-2662098830-2256929992-2822512457-1001\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{688895D9-1856-4DE3-9E5B-3E37CA5608B2}" => supprimé(es) avec succès
HKLM\Software\Classes\CLSID\{688895D9-1856-4DE3-9E5B-3E37CA5608B2} => non trouvé(e)
"HKU\S-1-5-21-2662098830-2256929992-2822512457-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Web Companion" => supprimé(es) avec succès
"HKU\S-1-5-21-2662098830-2256929992-2822512457-1001\Software\Microsoft\Windows\CurrentVersion\Run\\syswin" => supprimé(es) avec succès
C:\WINDOWS\system32\GroupPolicy\Machine => déplacé(es) avec succès
C:\WINDOWS\system32\GroupPolicy\GPT.ini => déplacé(es) avec succès
C:\WINDOWS\SysWOW64\GroupPolicy\GPT.ini => déplacé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{45C8874F-8C0D-4B47-8B1E-071CE7CAA443} => impossible à supprimer. Accès refusé.
"C:\WINDOWS\System32\Tasks\Scheduled Update for Ask Toolbar" => non trouvé(e)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduled Update for Ask Toolbar => impossible à supprimer. Accès refusé.
C:\WINDOWS\System32\Tasks\{BA323629-7AE2-4021-B307-04625902ECE9} => déplacé(es) avec succès
C:\WINDOWS\System32\Tasks\{25B6ADDF-7D01-439F-AF22-4562D12D0271} => déplacé(es) avec succès
C:\boots => déplacé(es) avec succès

========= reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\HPReyos" /f =========

Erreurÿ: Erreurÿ: le systŠme n'a pas trouv‚ la cl‚ ou la valeur de Registre sp‚cifi‚e.


========= Fin de Reg: =========

C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

=========== EmptyTemp: ==========

BITS transfer queue => 35929 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 437944202 B
Java, Flash, Steam htmlcache => 90242416 B
Windows/system/drivers => 2610800535 B
Edge => 1871068 B
Chrome => 37036126 B
Firefox => 378008274 B
Opera => 37841472 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile32 => 10160 B
LocalService => 309854 B
NetworkService => 0 B
User => 49651008 B
defaultuser0 => 0 B
postgres => 0 B

RecycleBin => 0 B
EmptyTemp: => 3.4 GB données temporaires supprimées.

================================

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 08-03-2018 17:27:03)


Résultats de la suppression planifiée des clés après redémarrage:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{45C8874F-8C0D-4B47-8B1E-071CE7CAA443} => impossible à supprimer. Accès refusé.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduled Update for Ask Toolbar => impossible à supprimer. Accès refusé.

==== Fin de Fixlog 17:27:03 ====

[angelique]

L'infection est maîtrisée sur ton PC, tu peux supprimer frst, ses rapports et C:\FRST

Pour les applis/fichiers à 0Ko , faudra les recharger sur le site de l'éditeur

Le vecteur est probablement un support USB infecté :

Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton ➫ http://telecharger.malekal.com/download/marmiton/
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.


----------


1°) Remediate VBS Worm

Brancher toutes les clefs USB et autres périphériques amovibles.
* Télécharger Remediate VBS Worm

lancer "Remediate VBS Worm"
* Lancer l'option B
* Taper la lettre de la clef USB, par exemple, E et entrée
ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR !

[KiadyTsito]

Merci beaucoup pour votre aide

[angelique]

System Volume Information c'est normal, c'est un dossier Windows crée en rapport avec la restauration système.

Tu peux supprimer frst, ses rapports et sa quarantaine en C:\FRST