Infection Windows : toutes les extensions ont été changées

Vous avez des problèmes sur l'utilisation du forum ?
Des commentaires à faire ?
C'est ici !
Kevin Cosner
Messages : 7
Inscription : 28 mai 2022 22:28

Infection Windows : toutes les extensions ont été changées

par Kevin Cosner »

salut à tous!
J'espère que vous allez super bien.
je suis nouveau sur le forum et novice dans le domaine informatique autour de Windows. Voila! j'ai tenté d'activer office 2019 que j'ai installé sur mon deuxième PC grâce a un fichier Zip que j'ai téléchargé par le lien donné par un Youtubeur.
lors de l'installation du fichier, il m'a recommandé de désactiver les paramètres de sécurité de Windows defender et ensuite d'exécuter le programme, ce que j'ai fais.
Le problème est que, après le redémarrage de Windows, tous les extensions de mes applications qui se terminaient par " .exe " se terminent maintenant par ".exe.zfdv " et mes fichiers audios se terminent tous par " .mp3.zfdv " ainsi que mes Winrar en ".rar.zfdv ". j'ai vraiment besoin de votre aide.

Merci à vous
Malekal_morte
Messages : 112133
Inscription : 10 sept. 2005 13:57

Re: Infection Windows : toutes les extensions ont été changées

par Malekal_morte »

Salut,

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

L'attitude à suivre :

* Garde les fichiers touchés par le ransomware.
* Utilise le site suivant pour identifier le nom du ransomware : https://id-ransomware.malwarehunterteam.com/
Il faut envoyer un fichier de notice et un fichier chiffré par le ransomware.
* Par sécurité il faut changer tes mots de passe WEB, ils peuvent avoir été volés.

Plus d'infos : Ransomware : solutions pour récupérer fichiers chiffrés (cryptés)

Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.

1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 112133
Inscription : 10 sept. 2005 13:57

Re: Infection Windows : toutes les extensions ont été changées

par Malekal_morte »

Beaucoup de Trojan, possiblement venus après le téléchargement
d'un crack

Vu l'étendu, tu devrais peut être réinitialiser Windows 10 puis changer tous tes mots de passe.
=> Comment réinitialiser Windows 10

~~

Sinon pour commencer à désinfecter :


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-3970580090-1839756994-498442641-1001\...\Run: [SysHelper] => C:\Users\EDI LUC DECHO\AppData\Local\e0cf8699-5fb8-45d8-9f81-35b31edd99a3\test3_27.bmp.exe [828416 2022-05-28] () [Fichier non signé] <==== ATTENTION
HKU\S-1-5-21-3970580090-1839756994-498442641-1001\...\Run: [SysHelper] => C:\Users\EDI LUC DECHO\AppData\Local\e0cf8699-5fb8-45d8-9f81-35b31edd99a3\test3_27.bmp.exe [828416 2022-05-28] () [Fichier non signé] <==== ATTENTION
HKU\S-1-5-21-3970580090-1839756994-498442641-1001\...\Run: [Steam] => C:\Users\EDI LUC DECHO\AppData\Roaming\NVIDIA\dllhost.exe [384512 2022-05-28] () [Fichier non signé] <==== ATTENTION
HKU\S-1-5-21-3970580090-1839756994-498442641-1001\...\Run: [sloa3.exe] => C:\Users\EDILUC~1\AppData\Local\Temp\1000003001\sloa3.exe (Pas de fichier) <==== ATTENTION
HKU\S-1-5-21-3970580090-1839756994-498442641-1001\...\Run: [Ywsybun] => C:\Users\EDI LUC DECHO\AppData\Roaming\Snnbfhpx\Ywsybun.exe [45312 2022-05-28] (Rare Ideas, LLC -> PortableApps.com) [Fichier non signé]
HKU\S-1-5-21-3970580090-1839756994-498442641-1001\...\Run: [Oefamcfqp] => C:\Users\EDI LUC DECHO\AppData\Roaming\Zxkuozwpy\Oefamcfqp.exe [350032256 2022-05-28] (PortableApps.com) [Fichier non signé]
HKU\S-1-5-21-3970580090-1839756994-498442641-1001\...\Run: [Microsoft Store] => C:\Users\EDI LUC DECHO\AppData\Roaming\R68n8zpG.exe (Pas de fichier)
HKU\S-1-5-21-3970580090-1839756994-498442641-1001\...\Run: [Skype Web] => C:\Users\EDI LUC DECHO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Kdjitq\R68n8zpG.exe (Pas de fichier)
Startup: C:\Users\EDI LUC DECHO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Kdjitq\Adblock Fast.lnk [2022-05-30]
ShortcutTarget: Adblock Fast.lnk -> C:\Windows\System32\schtasks.exe (Microsoft Windows -> Microsoft Corporation)
Startup: C:\Users\EDI LUC DECHO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Kdjitq\Evroa.exe [2022-05-27] (PortableApps.com) [Fichier non signé]
Task: {2B5AE0CF-78C5-4A7E-AF0A-10AF4722BF21} - System32\Tasks\Time Trigger Task => C:\Users\EDI LUC DECHO\AppData\Local\e0cf8699-5fb8-45d8-9f81-35b31edd99a3\test3_27.bmp.exe [828416 2022-05-28] () [Fichier non signé] <==== ATTENTION
Task: {40AE4C3C-D536-44E5-B02F-AFBE9087C4BB} - System32\Tasks\Microsoft\Windows\.NET Framework\NetSetupEnpapi => C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe /U /nologo "C:\Program Files (x86)\LoadQuality\AhseksCfar\ATDOrokerCfng_ni.dll"
Task: {9B87A1FD-FDBB-40C7-B6D8-EC40BCD18596} - System32\Tasks\Firefox Default Browser Agent C27109061544E8AF => C:\Users\EDI LUC DECHO\AppData\Roaming\rvicebu [1954816 2021-04-09] (Luxe USA Corp.) [Fichier non signé] [Fichier en cours d'utilisation] <==== ATTENTION
Task: {A4922D61-000D-4285-9377-F7AE832E18FA} - System32\Tasks\orxds.exe => C:\Users\EDILUC~1\AppData\Local\Temp\8c7aecc852\orxds.exe (Pas de fichier) <==== ATTENTION
Task: {ABFED66B-68E5-4998-A6F5-C8EC8D6FF8F7} - System32\Tasks\Firefox Default Browser Agent 4D781FAC619DF298 => C:\Users\EDI LUC DECHO\AppData\Roaming\hsicebu [317440 2021-04-09] () [Fichier non signé] [Fichier en cours d'utilisation] <==== ATTENTION
Task: {C2119851-6D05-48D0-9888-464A0DC8D412} - System32\Tasks\Firefox Default Browser Agent 79C2A2336D3CA8A1 => C:\Users\EDI LUC DECHO\AppData\Roaming\fdicebu [29696 2021-04-09] () [Fichier non signé] [Fichier en cours d'utilisation] <==== ATTENTION
Task: {CACE47B5-19F5-4A49-AF31-B4F9B1A37778} - System32\Tasks\Timer => c:\windows\system\svchost.exe (Pas de fichier) <==== ATTENTION
Task: {CEC6BF64-6BEC-4B6E-9BAB-D6C860CF9EF4} - System32\Tasks\Adblock Fast => C:\Users\EDI LUC DECHO\Programs\Adblock\Adblock.exe [5786064 2022-05-11] (Rocketship Apps, LLC -> Rocketship Apps, LLC) <==== ATTENTION
Task: {E02465A4-7BA6-4808-95C3-8A94773C9395} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-3970580090-1839756994-498442641-1001 => C:\Users\EDI LUC DECHO\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe /reporting (Pas de fichier)
Task: {E63F6D91-5F06-4AEF-8EB8-9524E8D18882} - System32\Tasks\GoogleUpdateTaskMachineQC => "C:\Program Files\Chrome\updater.exe"  (Pas de fichier) <==== ATTENTION
Task: {EAB198CE-DD9E-44B3-9023-6011B80F0151} - System32\Tasks\Firefox Default Browser Agent 49A6318016012B13 => C:\Users\EDI LUC DECHO\AppData\Roaming\cricebu [319488 2021-04-09] () [Fichier non signé] <==== ATTENTION
Task: {EBC54ADB-DC10-4CDC-93F3-368B66443701} - System32\Tasks\Service\Diagnostic => C:\Users\EDI LUC DECHO\AppData\Roaming\ServiceGet\Tedamec.exe [893608 2022-05-28] (AutoIt Consulting Ltd -> AutoIt Team) -> "C:\Users\EDI LUC DECHO\AppData\Roaming\ServiceGet\Tedamec.dat" <==== ATTENTION
Task: {EDD44EF0-E260-4A52-BD42-E601BA77CDAD} - System32\Tasks\Microsoft\Office\Office ClickToRun Service Monitor => C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeC2RClient.exe [23966488 2018-09-08] (Microsoft Corporation -> Microsoft Corporation)
hurjyxhw" => service a été déverrouillé. <==== ATTENTION
S2 AppServicev; C:\Windows\system32\4PL20Q65EI.tmp [6144 2022-05-28] (Microsoft Corporation) [Fichier non signé] <==== ATTENTION
S2 hurjyxhw; C:\Windows\SysWOW64\hurjyxhw\fzkmztba.exe [14025728 2022-05-28] () [Fichier non signé]
2022-05-30 11:23 - 2022-05-30 11:23 - 000684984 _____ (Mozilla Foundation) C:\Users\EDI LUC DECHO\AppData\LocalLow\freebl3.dll
2022-05-30 11:23 - 2022-05-30 11:23 - 000627128 _____ (Mozilla Foundation) C:\Users\EDI LUC DECHO\AppData\LocalLow\mozglue.dll
2022-05-30 11:23 - 2022-05-30 11:23 - 000254392 _____ (Mozilla Foundation) C:\Users\EDI LUC DECHO\AppData\LocalLow\softokn3.dll
2022-05-30 11:23 - 2022-05-30 11:23 - 000003792 _____ C:\Windows\system32\Tasks\Firefox Default Browser Agent C27109061544E8AF
2022-05-30 11:23 - 2022-05-30 11:23 - 000000162 _____ C:\Users\EDI LUC DECHO\AppData\LocalLow\nssdbm3.dll
2022-05-30 11:22 - 2022-05-30 11:22 - 000000000 ____D C:\ProgramData\W1O0TCK6OBSGCIB79WC
2022-05-30 10:59 - 2022-05-30 11:00 - 013631488 ____N C:\Windows\system32\config\SYSTEM
2022-05-30 10:44 - 2022-05-30 10:44 - 000000214 _____ C:\Windows\Tasks\CreateExplorerShellUnelevatedTask.job
2022-05-30 10:41 - 2022-05-30 10:41 - 000000000 ____D C:\Windows\pss
2022-05-29 23:43 - 2022-05-29 23:43 - 000076744 _____ (EnigmaSoft Limited) C:\Windows\system32\Drivers\EnigmaFileMonDriver.sys
2022-05-29 23:43 - 2022-05-29 23:43 - 000001079 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpyHunter5.lnk
2022-05-29 23:43 - 2022-05-29 23:43 - 000001055 _____ C:\Users\Public\Desktop\SpyHunter5.lnk
2022-05-29 23:43 - 2022-05-29 23:43 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EnigmaSoft
2022-05-29 23:43 - 2022-05-29 23:43 - 000000000 ____D C:\ProgramData\EnigmaSoft Limited
2022-05-29 23:42 - 2022-05-30 10:16 - 000000000 ____D C:\sh5ldr
2022-05-29 23:37 - 2022-05-29 23:37 - 000000000 ____D C:\Program Files\EnigmaSoft
2022-05-29 23:32 - 2022-06-01 10:20 - 006705774 _____ C:\Users\EDI LUC DECHO\Downloads\SpyHunter-5.12-71-9911-Installer (1).exe.zfdv
2022-05-28 11:33 - 2022-05-28 11:33 - 000000000 ____D C:\Program Files\Google
2022-05-28 11:29 - 2022-05-28 11:29 - 000000000 ____D C:\Users\EDI LUC DECHO\AppData\Local\MSfree Inc
2022-05-28 11:26 - 2022-05-28 11:54 - 004124024 _____ C:\Users\EDI LUC DECHO\Desktop\km spico for windows 10, 8  et office.rar
2022-05-28 11:26 - 2022-05-28 11:26 - 000000000 ____D C:\Users\EDI LUC DECHO\Desktop\km spico for windows 10, 8  et office
2022-05-28 11:00 - 2022-05-28 11:04 - 001453037 _____ C:\Users\EDI LUC DECHO\Downloads\File (1).7z.rar.zfdv
2022-05-28 10:46 - 2022-05-28 10:46 - 000000000 ____D C:\Program Files\Fujitsu
2022-05-28 10:37 - 2022-05-28 19:13 - 000000000 ____D C:\Users\EDI LUC DECHO\Downloads\FujitsuBIOSDriverV122-W10
2022-05-28 10:37 - 2022-05-28 10:59 - 008142965 _____ C:\Users\EDI LUC DECHO\Downloads\FujitsuBIOSDriverV122-W10.exe
2022-05-28 10:34 - 2022-05-28 10:34 - 000001106 _____ C:\Users\EDI LUC DECHO\_readme.txt
2022-05-28 10:32 - 2022-05-28 17:56 - 000006144 _____ (Microsoft Corporation) C:\Windows\system32\4PL20Q65EI.tmp
2022-05-28 10:26 - 2022-05-28 10:26 - 000003232 _____ C:\Windows\system32\Tasks\GoogleUpdateTaskMachineQC
2022-05-28 10:26 - 2022-05-28 10:26 - 000000000 ____D C:\Program Files\Chrome
2022-05-28 10:25 - 2022-05-28 10:34 - 000000000 ____D C:\Users\EDI LUC DECHO\AppData\Roaming\Adblock Fast
2022-05-28 10:25 - 2022-05-28 10:33 - 000000000 _____ C:\Windows\system32\userDns.conf
2022-05-28 10:25 - 2022-05-28 10:25 - 000003126 _____ C:\Windows\system32\Tasks\Adblock Fast
2022-05-28 10:25 - 2022-05-28 10:25 - 000001096 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adblock.lnk
2022-05-28 10:25 - 2022-05-28 10:25 - 000000000 ____D C:\ProgramData\XLAMD5UXSU7Q4Q8YN85
2022-05-28 10:24 - 2022-05-28 10:25 - 000000000 ____D C:\Users\EDI LUC DECHO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Kdjitq
2022-05-28 10:24 - 2022-05-28 10:24 - 000000000 ____D C:\Users\EDI LUC DECHO\AppData\Roaming\Zxkuozwpy
2022-05-28 10:24 - 2022-05-28 10:24 - 000000000 ____D C:\ProgramData\Package Cache
2022-05-28 10:23 - 2022-05-30 11:01 - 000003792 _____ C:\Windows\system32\Tasks\Firefox Default Browser Agent 79C2A2336D3CA8A1
2022-05-28 10:23 - 2022-05-28 10:36 - 007158336 ____N C:\Windows\system32\Drivers\D1D1q.sys
2022-05-28 10:23 - 2022-05-28 10:26 - 000000000 ____D C:\Users\EDI LUC DECHO\AppData\Local\564e6cc0-e0e2-4633-84eb-03e4af24c569
2022-05-28 10:23 - 2022-05-28 10:23 - 000000000 ____D C:\Users\EDI LUC DECHO\AppData\Roaming\tor
2022-05-28 10:23 - 2022-05-28 10:23 - 000000000 ____D C:\ProgramData\KVKDQXUV3CWIMB0EVCL
2022-05-28 10:23 - 2022-05-28 10:23 - 000000000 ____D C:\ProgramData\ILAG4LFA9K21MQ77FFT
2022-05-28 10:22 - 2022-05-30 10:14 - 000003792 _____ C:\Windows\system32\Tasks\Firefox Default Browser Agent 49A6318016012B13
2022-05-28 10:22 - 2022-05-28 10:22 - 000169472 _____ C:\Users\EDI LUC DECHO\AppData\Roaming\612840.exe
2022-05-28 10:22 - 2022-05-28 10:22 - 000003536 _____ C:\Windows\system32\Tasks\Timer
2022-05-28 10:22 - 2022-05-28 10:22 - 000000559 _____ C:\Users\EDI LUC DECHO\AppData\Local\bowsakkdestx.txt
2022-05-28 10:22 - 2022-05-28 10:22 - 000000000 ____D C:\Windows\system32\Tasks\Service
2022-05-28 10:22 - 2022-05-28 10:22 - 000000000 ____D C:\Users\EDI LUC DECHO\AppData\Roaming\Snnbfhpx
2022-05-28 10:22 - 2022-05-28 10:22 - 000000000 ____D C:\Users\EDI LUC DECHO\AppData\Roaming\shftool
2022-05-28 10:22 - 2022-05-28 10:22 - 000000000 ____D C:\Users\EDI LUC DECHO\AppData\Roaming\ServiceGet
2022-05-28 10:22 - 2022-05-28 10:22 - 000000000 ____D C:\Users\EDI LUC DECHO\AppData\Roaming\RGVLJhqv
2022-05-28 10:22 - 2022-05-28 10:22 - 000000000 ____D C:\Users\EDI LUC DECHO\AppData\Roaming\Ravikasa
2022-05-28 10:22 - 2022-05-28 10:22 - 000000000 ____D C:\Users\EDI LUC DECHO\AppData\Roaming\NVIDIA
2022-05-28 10:22 - 2022-05-28 10:22 - 000000000 ____D C:\Users\EDI LUC DECHO\AppData\Roaming\J1rfJ0bZ7
2022-05-28 10:22 - 2022-05-28 10:22 - 000000000 ____D C:\Users\EDI LUC DECHO\AppData\Roaming\b51ecacb95f3fd
2022-05-28 10:22 - 2022-05-28 10:22 - 000000000 ____D C:\Users\EDI LUC DECHO\AppData\Roaming\AmkWootE41t
2022-05-28 10:22 - 2022-05-28 10:22 - 000000000 ____D C:\Users\EDI LUC DECHO\AppData\Local\Yandex23
2022-05-28 10:22 - 2022-05-28 10:22 - 000000000 ____D C:\Users\EDI LUC DECHO\AppData\Local\Jojo1
2022-05-28 10:22 - 2022-05-28 10:22 - 000000000 ____D C:\SystemID
2022-05-28 10:22 - 2022-05-28 10:22 - 000000000 ____D C:\ProgramData\UADV3H77Z5XEGA99H4R
2022-05-28 10:21 - 2022-05-30 11:01 - 000003792 _____ C:\Windows\system32\Tasks\Firefox Default Browser Agent 4D781FAC619DF298
2022-05-28 10:21 - 2022-05-28 21:13 - 000000000 ____D C:\Program Files (x86)\PowerControl
2022-05-28 10:21 - 2022-05-28 10:23 - 000003806 _____ C:\Windows\system32\Tasks\Time Trigger Task
2022-05-28 10:21 - 2022-05-28 10:22 - 000000000 ____D C:\Users\EDI LUC DECHO\AppData\Local\24c02524-7b63-48a7-a460-a91a9f111e47
2022-05-28 10:21 - 2022-05-28 10:22 - 000000000 ____D C:\ProgramData\GP8D0D3WY48ZHT7JP6Z
2022-05-28 10:21 - 2022-05-28 10:21 - 000003628 _____ C:\Windows\system32\Tasks\orxds.exe
2022-05-28 10:21 - 2022-05-28 10:21 - 000000000 ____D C:\Windows\SysWOW64\hurjyxhw
2022-05-28 10:21 - 2022-05-28 10:21 - 000000000 ____D C:\Users\EDI LUC DECHO\AppData\Local\Yandex
2022-05-28 10:21 - 2022-05-28 10:21 - 000000000 ____D C:\Users\EDI LUC DECHO\AppData\Local\PeerDistRepub
2022-05-28 10:21 - 2022-05-28 10:21 - 000000000 ____D C:\Users\EDI LUC DECHO\AppData\Local\e0cf8699-5fb8-45d8-9f81-35b31edd99a3
2022-05-28 10:15 - 2022-05-28 10:34 - 001452623 _____ C:\Users\EDI LUC DECHO\Downloads\File (1).7z.zfdv
2022-05-28 10:14 - 2022-05-28 10:34 - 001452623 _____ C:\Users\EDI LUC DECHO\Downloads\File.7z
2021-10-21 13:48 - 2021-10-21 13:48 - 000334288 _____ (Mozilla Foundation) C:\ProgramData\freebl3.dll
2021-10-21 13:48 - 2021-10-21 13:48 - 000137168 _____ (Mozilla Foundation) C:\ProgramData\mozglue.dll
2021-10-21 13:48 - 2021-10-21 13:48 - 000440120 _____ (Microsoft Corporation) C:\ProgramData\msvcp140.dll
2021-10-21 13:48 - 2021-10-21 13:48 - 001246160 _____ (Mozilla Foundation) C:\ProgramData\nss3.dll
2021-10-21 13:48 - 2021-10-21 13:48 - 000144848 _____ (Mozilla Foundation) C:\ProgramData\softokn3.dll
2021-10-21 13:48 - 2021-10-21 13:48 - 000083784 _____ (Microsoft Corporation) C:\ProgramData\vcruntime140.dll
2022-05-28 10:22 - 2022-05-28 10:22 - 000169472 _____ () C:\Users\EDI LUC DECHO\AppData\Roaming\612840.exe
2021-04-09 15:54 - 2021-04-09 15:54 - 000319488 ___SH () C:\Users\EDI LUC DECHO\AppData\Roaming\cricebu
2022-05-27 10:49 - 2022-05-27 10:49 - 000109568 _____ () C:\Users\EDI LUC DECHO\AppData\Roaming\ertdf.exe
2021-04-09 15:54 - 2021-04-09 15:54 - 000248375 ___SH () C:\Users\EDI LUC DECHO\AppData\Roaming\euhibwr
2021-04-09 15:54 - 2021-04-09 15:54 - 000029696 ___SH () C:\Users\EDI LUC DECHO\AppData\Roaming\fdicebu
2019-12-24 00:21 - 2019-12-24 00:21 - 000534016 ___SH () C:\Users\EDI LUC DECHO\AppData\Roaming\Ground.exe
2021-04-09 15:54 - 2021-04-09 15:54 - 000248375 ___SH () C:\Users\EDI LUC DECHO\AppData\Roaming\hjtcrcd
2021-04-09 15:54 - 2021-04-09 15:54 - 000317440 ___SH () C:\Users\EDI LUC DECHO\AppData\Roaming\hsicebu
2021-04-09 15:54 - 2021-04-09 15:54 - 001954816 ___SH (Luxe USA Corp.) C:\Users\EDI LUC DECHO\AppData\Roaming\rvicebu
2021-04-09 15:54 - 2021-04-09 15:54 - 000160458 ___SH () C:\Users\EDI LUC DECHO\AppData\Roaming\tchbaja
2022-05-27 04:48 - 2022-05-27 04:48 - 004222464 _____ () C:\Users\EDI LUC DECHO\AppData\Roaming\yaeblan_v0.7b_10_windows_64.exe
2022-05-28 10:22 - 2022-05-28 10:22 - 000000559 _____ () C:\Users\EDI LUC DECHO\AppData\Local\bowsakkdestx.txt
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)


2) réinitialiser les navigateurs:
==================================
Réinitialise/Répare les navigateurs WEB concerné(s) par les problèmes :
3)
Faire un nettoyage Malwarebytes Anti-Malware (MBAM ) version gratuite

4)
Refais un scan FRST et donne les nouveaux rapports via pjjoint
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Avatar de l’utilisateur
Parisien_entraide
Messages : 12079
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: Infection Windows : toutes les extensions ont été changées

par Parisien_entraide »

Bonjour

Au delà de tout ce qui précède tu pourrais donner le lien du "youtubeur" en message privé ?
- Only Amiga... was possible !
- Un problème sans solution est un problème mal posé. » (Albert Einstein)
- "Tous les patients mentent" (Docteur House)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
Kevin Cosner
Messages : 7
Inscription : 28 mai 2022 22:28

Re: Infection Windows : toutes les extensions ont été changées

par Kevin Cosner »

Salut Malekal!
j'ai opté pour la correction avec FRST. J'ai suivi tes instructions et tout s'est déroulé exactement comme tu l'avait décris. Je vois déjà l'arrêt de modification spontanée des extensions notamment ceux des téléchargements récents Malwarebytes Anti-Malware (MBAM) et l'appli Edge.
je t'envoie les liens des rapports:
https://pjjoint.malekal.com/files.php?i ... 14l10i14b9
https://pjjoint.malekal.com/files.php?i ... s12e7s10v5
https://pjjoint.malekal.com/files.php?i ... 2c8p5g13l5


Bien à Vous.
Avatar de l’utilisateur
Parisien_entraide
Messages : 12079
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: Infection Windows : toutes les extensions ont été changées

par Parisien_entraide »

Bonsoir,

En fait ce qui prime avant tout c'est ce qui est indiqué dans la procédure
"Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message."
Donc c'est ce qui est demandé.... Poster le rapport ici

Ensuite, mais SEULEMENT SI le fix a fonctionné, tu DOIS changer les mots de passe
La raison est liée à ton KMS SPICO (car il ne s'occupe pas que de la crypto) viewtopic.php?t=69838 ou tu trouveras les liens des présentations et risques de Malekal sur le site

A savoir, le programme SpyHunter que tu as utilisé parce que je suppose qu'avant de venir ici tu as fais quelques recherches et c'est ce qui est indiqué pour se désinfecter

Ce truc 'est de la flute.. Cela fait bientôt 10 ans que cela traine sur le net
viewtopic.php?t=47061

Profite en pour changer de lecteur PDF
Foxit Reader au eu de sproblèmes par le passé (failles sur le programme,exploitées, plus faille sur le site où tous les utilisateurs enregistrés se sont fait voler leurs données personnelles)
Au delà de cela ce "truc" n'est pas propre, il fout des fichiers et des clés de registre partout et il faut passer par un revo uninstaller pour s'en débarasser
il vaut mieux utiliser un https://www.malekal.com/meilleur-lecteu ... nge_Viewer

Au passage tu n'as que MBAM en protection, Windows defender est désactivé
- Only Amiga... was possible !
- Un problème sans solution est un problème mal posé. » (Albert Einstein)
- "Tous les patients mentent" (Docteur House)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
Malekal_morte
Messages : 112133
Inscription : 10 sept. 2005 13:57

Re: Infection Windows : toutes les extensions ont été changées

par Malekal_morte »

Change tes mots de passe.

On voit le fichier initial malveillant détecté en Trojan:Win32/Woreflint.A par Windows Defender :
Description:
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Nom : Trojan:Win32/Woreflint.A!cl
ID : 2147723317
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : file:_C:\Users\EDI LUC DECHO\AppData\Local\Temp\Rar$EXb0.263\File.exe; file:_C:\Users\EDILUC~1\AppData\Local\Temp\Rar$EXb0.263\File.exe
Origine de la détection : Ordinateur local
Type de détection : Chemin rapide
Source de détection : Protection en temps réel
Utilisateur : DESKTOP-UMJAKP5\EDI LUC DECHO
Nom du processus : C:\Program Files\WinRAR\WinRAR.exe
Version de la veille de sécurité : AV: 1.367.605.0, AS: 1.367.605.0, NIS: 1.367.605.0
Version du moteur : AM: 1.1.19200.6, NIS: 1.1.19200.6
Par contre, il y a des détections Virus:Win32/Grenam

Date: 2022-05-28 10:12:27
Description:
Antivirus Microsoft Defender a rencontré une erreur critique lors d’une action sur un logiciel malveillant ou potentiellement indésirable.
Nom : Virus:Win32/Grenam.VA!MSR
ID : 2147765059
Gravité : Grave
Catégorie : Virus
Chemin : file:_C:\Users\EDI LUC DECHO\AppData\Roaming\Ground.exe; file:_C:\Users\EDI LUC DECHO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Ground.lnk; process:_pid:4196,ProcessStart:132981968405330689; startup:_C:\Users\EDI LUC DECHO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Ground.lnk
Origine de la détection : Ordinateur local
Type de détection : Concret
Source de détection : Système
Utilisateur : AUTORITE NT\Système
Nom du processus : C:\Users\EDI LUC DECHO\AppData\Roaming\Ground.exe
Action : Nettoyer
État de l’action : No additional actions required
Code d’erreur : 0x8007007f
Description de l’erreur : La procédure spécifiée est introuvable.
Version de la veille de sécurité : AV: 1.367.605.0, AS: 1.367.605.0, NIS: 1.367.605.0
Version du moteur : AM: 1.1.19200.6, NIS: 1.1.19200.6
~~

Tu peux passer un coup de Kaspersky Removal Virus, voir : https://www.malekal.com/supprimer-virus-kaspersky/
Vérifier si tu as des détections de Virus:Win32/Grenam.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Kevin Cosner
Messages : 7
Inscription : 28 mai 2022 22:28

Rapport de FRST: Fixlog

par Kevin Cosner »

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 30-05-2022
Exécuté par EDI LUC DECHO (30-05-2022 22:06:15) Run:1
Exécuté depuis C:\Users\EDI LUC DECHO\Desktop
Profils chargés: EDI LUC DECHO
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Start:
CloseProcesses:
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-3970580090-1839756994-498442641-1001\...\Run: [SysHelper] => C:\Users\EDI LUC DECHO\AppData\Local\e0cf8699-5fb8-45d8-9f81-35b31edd99a3\test3_27.bmp.exe [828416 2022-05-28] () [Fichier non signé] <==== ATTENTION
HKU\S-1-5-21-3970580090-1839756994-498442641-1001\...\Run: [SysHelper] => C:\Users\EDI LUC DECHO\AppData\Local\e0cf8699-5fb8-45d8-9f81-35b31edd99a3\test3_27.bmp.exe [828416 2022-05-28] () [Fichier non signé] <==== ATTENTION
HKU\S-1-5-21-3970580090-1839756994-498442641-1001\...\Run: [Steam] => C:\Users\EDI LUC DECHO\AppData\Roaming\NVIDIA\dllhost.exe [384512 2022-05-28] () [Fichier non signé] <==== ATTENTION
HKU\S-1-5-21-3970580090-1839756994-498442641-1001\...\Run: [sloa3.exe] => C:\Users\EDILUC~1\AppData\Local\Temp\1000003001\sloa3.exe (Pas de fichier) <==== ATTENTION
HKU\S-1-5-21-3970580090-1839756994-498442641-1001\...\Run: [Ywsybun] => C:\Users\EDI LUC DECHO\AppData\Roaming\Snnbfhpx\Ywsybun.exe [45312 2022-05-28] (Rare Ideas, LLC -> PortableApps.com) [Fichier non signé]
HKU\S-1-5-21-3970580090-1839756994-498442641-1001\...\Run: [Oefamcfqp] => C:\Users\EDI LUC DECHO\AppData\Roaming\Zxkuozwpy\Oefamcfqp.exe [350032256 2022-05-28] (PortableApps.com) [Fichier non signé]
HKU\S-1-5-21-3970580090-1839756994-498442641-1001\...\Run: [Microsoft Store] => C:\Users\EDI LUC DECHO\AppData\Roaming\R68n8zpG.exe (Pas de fichier)
HKU\S-1-5-21-3970580090-1839756994-498442641-1001\...\Run: [Skype Web] => C:\Users\EDI LUC DECHO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Kdjitq\R68n8zpG.exe (Pas de fichier)
Startup: C:\Users\EDI LUC DECHO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Kdjitq\Adblock Fast.lnk [2022-05-30]
ShortcutTarget: Adblock Fast.lnk -> C:\Windows\System32\schtasks.exe (Microsoft Windows -> Microsoft Corporation)
Startup: C:\Users\EDI LUC DECHO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Kdjitq\Evroa.exe [2022-05-27] (PortableApps.com) [Fichier non signé]
Task: {2B5AE0CF-78C5-4A7E-AF0A-10AF4722BF21} - System32\Tasks\Time Trigger Task => C:\Users\EDI LUC DECHO\AppData\Local\e0cf8699-5fb8-45d8-9f81-35b31edd99a3\test3_27.bmp.exe [828416 2022-05-28] () [Fichier non signé] <==== ATTENTION
Task: {40AE4C3C-D536-44E5-B02F-AFBE9087C4BB} - System32\Tasks\Microsoft\Windows\.NET Framework\NetSetupEnpapi => C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe /U /nologo "C:\Program Files (x86)\LoadQuality\AhseksCfar\ATDOrokerCfng_ni.dll"
Task: {9B87A1FD-FDBB-40C7-B6D8-EC40BCD18596} - System32\Tasks\Firefox Default Browser Agent C27109061544E8AF => C:\Users\EDI LUC DECHO\AppData\Roaming\rvicebu [1954816 2021-04-09] (Luxe USA Corp.) [Fichier non signé] [Fichier en cours d'utilisation] <==== ATTENTION
Task: {A4922D61-000D-4285-9377-F7AE832E18FA} - System32\Tasks\orxds.exe => C:\Users\EDILUC~1\AppData\Local\Temp\8c7aecc852\orxds.exe (Pas de fichier) <==== ATTENTION
Task: {ABFED66B-68E5-4998-A6F5-C8EC8D6FF8F7} - System32\Tasks\Firefox Default Browser Agent 4D781FAC619DF298 => C:\Users\EDI LUC DECHO\AppData\Roaming\hsicebu [317440 2021-04-09] () [Fichier non signé] [Fichier en cours d'utilisation] <==== ATTENTION
Task: {C2119851-6D05-48D0-9888-464A0DC8D412} - System32\Tasks\Firefox Default Browser Agent 79C2A2336D3CA8A1 => C:\Users\EDI LUC DECHO\AppData\Roaming\fdicebu [29696 2021-04-09] () [Fichier non signé] [Fichier en cours d'utilisation] <==== ATTENTION
Task: {CACE47B5-19F5-4A49-AF31-B4F9B1A37778} - System32\Tasks\Timer => c:\windows\system\svchost.exe (Pas de fichier) <==== ATTENTION
Task: {CEC6BF64-6BEC-4B6E-9BAB-D6C860CF9EF4} - System32\Tasks\Adblock Fast => C:\Users\EDI LUC DECHO\Programs\Adblock\Adblock.exe [5786064 2022-05-11] (Rocketship Apps, LLC -> Rocketship Apps, LLC) <==== ATTENTION
Task: {E02465A4-7BA6-4808-95C3-8A94773C9395} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-3970580090-1839756994-498442641-1001 => C:\Users\EDI LUC DECHO\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe /reporting (Pas de fichier)
Task: {E63F6D91-5F06-4AEF-8EB8-9524E8D18882} - System32\Tasks\GoogleUpdateTaskMachineQC => "C:\Program Files\Chrome\updater.exe" (Pas de fichier) <==== ATTENTION
Task: {EAB198CE-DD9E-44B3-9023-6011B80F0151} - System32\Tasks\Firefox Default Browser Agent 49A6318016012B13 => C:\Users\EDI LUC DECHO\AppData\Roaming\cricebu [319488 2021-04-09] () [Fichier non signé] <==== ATTENTION
Task: {EBC54ADB-DC10-4CDC-93F3-368B66443701} - System32\Tasks\Service\Diagnostic => C:\Users\EDI LUC DECHO\AppData\Roaming\ServiceGet\Tedamec.exe [893608 2022-05-28] (AutoIt Consulting Ltd -> AutoIt Team) -> "C:\Users\EDI LUC DECHO\AppData\Roaming\ServiceGet\Tedamec.dat" <==== ATTENTION
Task: {EDD44EF0-E260-4A52-BD42-E601BA77CDAD} - System32\Tasks\Microsoft\Office\Office ClickToRun Service Monitor => C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeC2RClient.exe [23966488 2018-09-08] (Microsoft Corporation -> Microsoft Corporation)
hurjyxhw" => service a été déverrouillé. <==== ATTENTION
S2 AppServicev; C:\Windows\system32\4PL20Q65EI.tmp [6144 2022-05-28] (Microsoft Corporation) [Fichier non signé] <==== ATTENTION
S2 hurjyxhw; C:\Windows\SysWOW64\hurjyxhw\fzkmztba.exe [14025728 2022-05-28] () [Fichier non signé]
2022-05-30 11:23 - 2022-05-30 11:23 - 000684984 _____ (Mozilla Foundation) C:\Users\EDI LUC DECHO\AppData\LocalLow\freebl3.dll
2022-05-30 11:23 - 2022-05-30 11:23 - 000627128 _____ (Mozilla Foundation) C:\Users\EDI LUC DECHO\AppData\LocalLow\mozglue.dll
2022-05-30 11:23 - 2022-05-30 11:23 - 000254392 _____ (Mozilla Foundation) C:\Users\EDI LUC DECHO\AppData\LocalLow\softokn3.dll
2022-05-30 11:23 - 2022-05-30 11:23 - 000003792 _____ C:\Windows\system32\Tasks\Firefox Default Browser Agent C27109061544E8AF
2022-05-30 11:23 - 2022-05-30 11:23 - 000000162 _____ C:\Users\EDI LUC DECHO\AppData\LocalLow\nssdbm3.dll
2022-05-30 11:22 - 2022-05-30 11:22 - 000000000 ____D C:\ProgramData\W1O0TCK6OBSGCIB79WC
2022-05-30 10:59 - 2022-05-30 11:00 - 013631488 ____N C:\Windows\system32\config\SYSTEM
2022-05-30 10:44 - 2022-05-30 10:44 - 000000214 _____ C:\Windows\Tasks\CreateExplorerShellUnelevatedTask.job
2022-05-30 10:41 - 2022-05-30 10:41 - 000000000 ____D C:\Windows\pss
2022-05-29 23:43 - 2022-05-29 23:43 - 000076744 _____ (EnigmaSoft Limited) C:\Windows\system32\Drivers\EnigmaFileMonDriver.sys
2022-05-29 23:43 - 2022-05-29 23:43 - 000001079 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpyHunter5.lnk
2022-05-29 23:43 - 2022-05-29 23:43 - 000001055 _____ C:\Users\Public\Desktop\SpyHunter5.lnk
2022-05-29 23:43 - 2022-05-29 23:43 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EnigmaSoft
2022-05-29 23:43 - 2022-05-29 23:43 - 000000000 ____D C:\ProgramData\EnigmaSoft Limited
2022-05-29 23:42 - 2022-05-30 10:16 - 000000000 ____D C:\sh5ldr
2022-05-29 23:37 - 2022-05-29 23:37 - 000000000 ____D C:\Program Files\EnigmaSoft
2022-05-29 23:32 - 2022-06-01 10:20 - 006705774 _____ C:\Users\EDI LUC DECHO\Downloads\SpyHunter-5.12-71-9911-Installer (1).exe.zfdv
2022-05-28 11:33 - 2022-05-28 11:33 - 000000000 ____D C:\Program Files\Google
2022-05-28 11:29 - 2022-05-28 11:29 - 000000000 ____D C:\Users\EDI LUC DECHO\AppData\Local\MSfree Inc
2022-05-28 11:26 - 2022-05-28 11:54 - 004124024 _____ C:\Users\EDI LUC DECHO\Desktop\km spico for windows 10, 8 et office.rar
2022-05-28 11:26 - 2022-05-28 11:26 - 000000000 ____D C:\Users\EDI LUC DECHO\Desktop\km spico for windows 10, 8 et office
2022-05-28 11:00 - 2022-05-28 11:04 - 001453037 _____ C:\Users\EDI LUC DECHO\Downloads\File (1).7z.rar.zfdv
2022-05-28 10:46 - 2022-05-28 10:46 - 000000000 ____D C:\Program Files\Fujitsu
2022-05-28 10:37 - 2022-05-28 19:13 - 000000000 ____D C:\Users\EDI LUC DECHO\Downloads\FujitsuBIOSDriverV122-W10
2022-05-28 10:37 - 2022-05-28 10:59 - 008142965 _____ C:\Users\EDI LUC DECHO\Downloads\FujitsuBIOSDriverV122-W10.exe
2022-05-28 10:34 - 2022-05-28 10:34 - 000001106 _____ C:\Users\EDI LUC DECHO\_readme.txt
2022-05-28 10:32 - 2022-05-28 17:56 - 000006144 _____ (Microsoft Corporation) C:\Windows\system32\4PL20Q65EI.tmp
2022-05-28 10:26 - 2022-05-28 10:26 - 000003232 _____ C:\Windows\system32\Tasks\GoogleUpdateTaskMachineQC
2022-05-28 10:26 - 2022-05-28 10:26 - 000000000 ____D C:\Program Files\Chrome
2022-05-28 10:25 - 2022-05-28 10:34 - 000000000 ____D C:\Users\EDI LUC DECHO\AppData\Roaming\Adblock Fast
2022-05-28 10:25 - 2022-05-28 10:33 - 000000000 _____ C:\Windows\system32\userDns.conf
2022-05-28 10:25 - 2022-05-28 10:25 - 000003126 _____ C:\Windows\system32\Tasks\Adblock Fast
2022-05-28 10:25 - 2022-05-28 10:25 - 000001096 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adblock.lnk
2022-05-28 10:25 - 2022-05-28 10:25 - 000000000 ____D C:\ProgramData\XLAMD5UXSU7Q4Q8YN85
2022-05-28 10:24 - 2022-05-28 10:25 - 000000000 ____D C:\Users\EDI LUC DECHO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Kdjitq
2022-05-28 10:24 - 2022-05-28 10:24 - 000000000 ____D C:\Users\EDI LUC DECHO\AppData\Roaming\Zxkuozwpy
2022-05-28 10:24 - 2022-05-28 10:24 - 000000000 ____D C:\ProgramData\Package Cache
2022-05-28 10:23 - 2022-05-30 11:01 - 000003792 _____ C:\Windows\system32\Tasks\Firefox Default Browser Agent 79C2A2336D3CA8A1
2022-05-28 10:23 - 2022-05-28 10:36 - 007158336 ____N C:\Windows\system32\Drivers\D1D1q.sys
2022-05-28 10:23 - 2022-05-28 10:26 - 000000000 ____D C:\Users\EDI LUC DECHO\AppData\Local\564e6cc0-e0e2-4633-84eb-03e4af24c569
2022-05-28 10:23 - 2022-05-28 10:23 - 000000000 ____D C:\Users\EDI LUC DECHO\AppData\Roaming\tor
2022-05-28 10:23 - 2022-05-28 10:23 - 000000000 ____D C:\ProgramData\KVKDQXUV3CWIMB0EVCL
2022-05-28 10:23 - 2022-05-28 10:23 - 000000000 ____D C:\ProgramData\ILAG4LFA9K21MQ77FFT
2022-05-28 10:22 - 2022-05-30 10:14 - 000003792 _____ C:\Windows\system32\Tasks\Firefox Default Browser Agent 49A6318016012B13
2022-05-28 10:22 - 2022-05-28 10:22 - 000169472 _____ C:\Users\EDI LUC DECHO\AppData\Roaming\612840.exe
2022-05-28 10:22 - 2022-05-28 10:22 - 000003536 _____ C:\Windows\system32\Tasks\Timer
2022-05-28 10:22 - 2022-05-28 10:22 - 000000559 _____ C:\Users\EDI LUC DECHO\AppData\Local\bowsakkdestx.txt
2022-05-28 10:22 - 2022-05-28 10:22 - 000000000 ____D C:\Windows\system32\Tasks\Service
2022-05-28 10:22 - 2022-05-28 10:22 - 000000000 ____D C:\Users\EDI LUC DECHO\AppData\Roaming\Snnbfhpx
2022-05-28 10:22 - 2022-05-28 10:22 - 000000000 ____D C:\Users\EDI LUC DECHO\AppData\Roaming\shftool
2022-05-28 10:22 - 2022-05-28 10:22 - 000000000 ____D C:\Users\EDI LUC DECHO\AppData\Roaming\ServiceGet
2022-05-28 10:22 - 2022-05-28 10:22 - 000000000 ____D C:\Users\EDI LUC DECHO\AppData\Roaming\RGVLJhqv
2022-05-28 10:22 - 2022-05-28 10:22 - 000000000 ____D C:\Users\EDI LUC DECHO\AppData\Roaming\Ravikasa
2022-05-28 10:22 - 2022-05-28 10:22 - 000000000 ____D C:\Users\EDI LUC DECHO\AppData\Roaming\NVIDIA
2022-05-28 10:22 - 2022-05-28 10:22 - 000000000 ____D C:\Users\EDI LUC DECHO\AppData\Roaming\J1rfJ0bZ7
2022-05-28 10:22 - 2022-05-28 10:22 - 000000000 ____D C:\Users\EDI LUC DECHO\AppData\Roaming\b51ecacb95f3fd
2022-05-28 10:22 - 2022-05-28 10:22 - 000000000 ____D C:\Users\EDI LUC DECHO\AppData\Roaming\AmkWootE41t
2022-05-28 10:22 - 2022-05-28 10:22 - 000000000 ____D C:\Users\EDI LUC DECHO\AppData\Local\Yandex23
2022-05-28 10:22 - 2022-05-28 10:22 - 000000000 ____D C:\Users\EDI LUC DECHO\AppData\Local\Jojo1
2022-05-28 10:22 - 2022-05-28 10:22 - 000000000 ____D C:\SystemID
2022-05-28 10:22 - 2022-05-28 10:22 - 000000000 ____D C:\ProgramData\UADV3H77Z5XEGA99H4R
2022-05-28 10:21 - 2022-05-30 11:01 - 000003792 _____ C:\Windows\system32\Tasks\Firefox Default Browser Agent 4D781FAC619DF298
2022-05-28 10:21 - 2022-05-28 21:13 - 000000000 ____D C:\Program Files (x86)\PowerControl
2022-05-28 10:21 - 2022-05-28 10:23 - 000003806 _____ C:\Windows\system32\Tasks\Time Trigger Task
2022-05-28 10:21 - 2022-05-28 10:22 - 000000000 ____D C:\Users\EDI LUC DECHO\AppData\Local\24c02524-7b63-48a7-a460-a91a9f111e47
2022-05-28 10:21 - 2022-05-28 10:22 - 000000000 ____D C:\ProgramData\GP8D0D3WY48ZHT7JP6Z
2022-05-28 10:21 - 2022-05-28 10:21 - 000003628 _____ C:\Windows\system32\Tasks\orxds.exe
2022-05-28 10:21 - 2022-05-28 10:21 - 000000000 ____D C:\Windows\SysWOW64\hurjyxhw
2022-05-28 10:21 - 2022-05-28 10:21 - 000000000 ____D C:\Users\EDI LUC DECHO\AppData\Local\Yandex
2022-05-28 10:21 - 2022-05-28 10:21 - 000000000 ____D C:\Users\EDI LUC DECHO\AppData\Local\PeerDistRepub
2022-05-28 10:21 - 2022-05-28 10:21 - 000000000 ____D C:\Users\EDI LUC DECHO\AppData\Local\e0cf8699-5fb8-45d8-9f81-35b31edd99a3
2022-05-28 10:15 - 2022-05-28 10:34 - 001452623 _____ C:\Users\EDI LUC DECHO\Downloads\File (1).7z.zfdv
2022-05-28 10:14 - 2022-05-28 10:34 - 001452623 _____ C:\Users\EDI LUC DECHO\Downloads\File.7z
2021-10-21 13:48 - 2021-10-21 13:48 - 000334288 _____ (Mozilla Foundation) C:\ProgramData\freebl3.dll
2021-10-21 13:48 - 2021-10-21 13:48 - 000137168 _____ (Mozilla Foundation) C:\ProgramData\mozglue.dll
2021-10-21 13:48 - 2021-10-21 13:48 - 000440120 _____ (Microsoft Corporation) C:\ProgramData\msvcp140.dll
2021-10-21 13:48 - 2021-10-21 13:48 - 001246160 _____ (Mozilla Foundation) C:\ProgramData\nss3.dll
2021-10-21 13:48 - 2021-10-21 13:48 - 000144848 _____ (Mozilla Foundation) C:\ProgramData\softokn3.dll
2021-10-21 13:48 - 2021-10-21 13:48 - 000083784 _____ (Microsoft Corporation) C:\ProgramData\vcruntime140.dll
2022-05-28 10:22 - 2022-05-28 10:22 - 000169472 _____ () C:\Users\EDI LUC DECHO\AppData\Roaming\612840.exe
2021-04-09 15:54 - 2021-04-09 15:54 - 000319488 ___SH () C:\Users\EDI LUC DECHO\AppData\Roaming\cricebu
2022-05-27 10:49 - 2022-05-27 10:49 - 000109568 _____ () C:\Users\EDI LUC DECHO\AppData\Roaming\ertdf.exe
2021-04-09 15:54 - 2021-04-09 15:54 - 000248375 ___SH () C:\Users\EDI LUC DECHO\AppData\Roaming\euhibwr
2021-04-09 15:54 - 2021-04-09 15:54 - 000029696 ___SH () C:\Users\EDI LUC DECHO\AppData\Roaming\fdicebu
2019-12-24 00:21 - 2019-12-24 00:21 - 000534016 ___SH () C:\Users\EDI LUC DECHO\AppData\Roaming\Ground.exe
2021-04-09 15:54 - 2021-04-09 15:54 - 000248375 ___SH () C:\Users\EDI LUC DECHO\AppData\Roaming\hjtcrcd
2021-04-09 15:54 - 2021-04-09 15:54 - 000317440 ___SH () C:\Users\EDI LUC DECHO\AppData\Roaming\hsicebu
2021-04-09 15:54 - 2021-04-09 15:54 - 001954816 ___SH (Luxe USA Corp.) C:\Users\EDI LUC DECHO\AppData\Roaming\rvicebu
2021-04-09 15:54 - 2021-04-09 15:54 - 000160458 ___SH () C:\Users\EDI LUC DECHO\AppData\Roaming\tchbaja
2022-05-27 04:48 - 2022-05-27 04:48 - 004222464 _____ () C:\Users\EDI LUC DECHO\AppData\Roaming\yaeblan_v0.7b_10_windows_64.exe
2022-05-28 10:22 - 2022-05-28 10:22 - 000000559 _____ () C:\Users\EDI LUC DECHO\AppData\Local\bowsakkdestx.txt

Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
End:
*****************

Processus fermé avec succès.
Le Point de restauration a été créé avec succès.
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender => supprimé(es) avec succès
"HKU\S-1-5-21-3970580090-1839756994-498442641-1001\Software\Microsoft\Windows\CurrentVersion\Run\\SysHelper" => supprimé(es) avec succès
"HKU\S-1-5-21-3970580090-1839756994-498442641-1001\Software\Microsoft\Windows\CurrentVersion\Run\\SysHelper" => non trouvé(e)
"HKU\S-1-5-21-3970580090-1839756994-498442641-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Steam" => supprimé(es) avec succès
"HKU\S-1-5-21-3970580090-1839756994-498442641-1001\Software\Microsoft\Windows\CurrentVersion\Run\\sloa3.exe" => supprimé(es) avec succès
"HKU\S-1-5-21-3970580090-1839756994-498442641-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Ywsybun" => supprimé(es) avec succès
"HKU\S-1-5-21-3970580090-1839756994-498442641-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Oefamcfqp" => supprimé(es) avec succès
"HKU\S-1-5-21-3970580090-1839756994-498442641-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Microsoft Store" => supprimé(es) avec succès
"HKU\S-1-5-21-3970580090-1839756994-498442641-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Skype Web" => supprimé(es) avec succès
C:\Users\EDI LUC DECHO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Kdjitq\Adblock Fast.lnk => déplacé(es) avec succès
C:\Windows\System32\schtasks.exe => déplacé(es) avec succès
C:\Users\EDI LUC DECHO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Kdjitq\Evroa.exe => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{2B5AE0CF-78C5-4A7E-AF0A-10AF4722BF21}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2B5AE0CF-78C5-4A7E-AF0A-10AF4722BF21}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\Time Trigger Task => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Time Trigger Task" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{40AE4C3C-D536-44E5-B02F-AFBE9087C4BB}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{40AE4C3C-D536-44E5-B02F-AFBE9087C4BB}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\Microsoft\Windows\.NET Framework\NetSetupEnpapi => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\.NET Framework\NetSetupEnpapi" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{9B87A1FD-FDBB-40C7-B6D8-EC40BCD18596}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{9B87A1FD-FDBB-40C7-B6D8-EC40BCD18596}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\Firefox Default Browser Agent C27109061544E8AF => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Firefox Default Browser Agent C27109061544E8AF" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{A4922D61-000D-4285-9377-F7AE832E18FA}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A4922D61-000D-4285-9377-F7AE832E18FA}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\orxds.exe => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\orxds.exe" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{ABFED66B-68E5-4998-A6F5-C8EC8D6FF8F7}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{ABFED66B-68E5-4998-A6F5-C8EC8D6FF8F7}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\Firefox Default Browser Agent 4D781FAC619DF298 => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Firefox Default Browser Agent 4D781FAC619DF298" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{C2119851-6D05-48D0-9888-464A0DC8D412}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C2119851-6D05-48D0-9888-464A0DC8D412}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\Firefox Default Browser Agent 79C2A2336D3CA8A1 => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Firefox Default Browser Agent 79C2A2336D3CA8A1" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{CACE47B5-19F5-4A49-AF31-B4F9B1A37778}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CACE47B5-19F5-4A49-AF31-B4F9B1A37778}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\Timer => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Timer" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{CEC6BF64-6BEC-4B6E-9BAB-D6C860CF9EF4}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CEC6BF64-6BEC-4B6E-9BAB-D6C860CF9EF4}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\Adblock Fast => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Adblock Fast" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{E02465A4-7BA6-4808-95C3-8A94773C9395}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E02465A4-7BA6-4808-95C3-8A94773C9395}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\OneDrive Reporting Task-S-1-5-21-3970580090-1839756994-498442641-1001 => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\OneDrive Reporting Task-S-1-5-21-3970580090-1839756994-498442641-1001" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{E63F6D91-5F06-4AEF-8EB8-9524E8D18882}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E63F6D91-5F06-4AEF-8EB8-9524E8D18882}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\GoogleUpdateTaskMachineQC => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GoogleUpdateTaskMachineQC" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EAB198CE-DD9E-44B3-9023-6011B80F0151}" => non trouvé(e)
C:\Windows\System32\Tasks\Firefox Default Browser Agent 49A6318016012B13 => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Firefox Default Browser Agent 49A6318016012B13" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{EBC54ADB-DC10-4CDC-93F3-368B66443701}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EBC54ADB-DC10-4CDC-93F3-368B66443701}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\Service\Diagnostic => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Service\Diagnostic" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{EDD44EF0-E260-4A52-BD42-E601BA77CDAD}" => supprimé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EDD44EF0-E260-4A52-BD42-E601BA77CDAD}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\Microsoft\Office\Office ClickToRun Service Monitor => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Office\Office ClickToRun Service Monitor" => supprimé(es) avec succès
hurjyxhw" => service a été déverrouillé. <==== ATTENTION => Erreur: Pas de correction automatique trouvée pour cet élément.
HKLM\System\CurrentControlSet\Services\AppServicev => supprimé(es) avec succès
AppServicev => service supprimé(es) avec succès
"HKLM\System\CurrentControlSet\Services\hurjyxhw" => supprimé(es) avec succès
hurjyxhw => service supprimé(es) avec succès
C:\Users\EDI LUC DECHO\AppData\LocalLow\freebl3.dll => déplacé(es) avec succès
C:\Users\EDI LUC DECHO\AppData\LocalLow\mozglue.dll => déplacé(es) avec succès
C:\Users\EDI LUC DECHO\AppData\LocalLow\softokn3.dll => déplacé(es) avec succès
"C:\Windows\system32\Tasks\Firefox Default Browser Agent C27109061544E8AF" => non trouvé(e)
C:\Users\EDI LUC DECHO\AppData\LocalLow\nssdbm3.dll => déplacé(es) avec succès
C:\ProgramData\W1O0TCK6OBSGCIB79WC => déplacé(es) avec succès
Impossible de déplacer "C:\Windows\system32\config\SYSTEM" => Planifié pour déplacement au redémarrage.
C:\Windows\Tasks\CreateExplorerShellUnelevatedTask.job => déplacé(es) avec succès
C:\Windows\pss => déplacé(es) avec succès
C:\Windows\system32\Drivers\EnigmaFileMonDriver.sys => déplacé(es) avec succès
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpyHunter5.lnk => déplacé(es) avec succès
C:\Users\Public\Desktop\SpyHunter5.lnk => déplacé(es) avec succès
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EnigmaSoft => déplacé(es) avec succès
C:\ProgramData\EnigmaSoft Limited => déplacé(es) avec succès
C:\sh5ldr => déplacé(es) avec succès
C:\Program Files\EnigmaSoft => déplacé(es) avec succès
C:\Users\EDI LUC DECHO\Downloads\SpyHunter-5.12-71-9911-Installer (1).exe.zfdv => déplacé(es) avec succès
C:\Program Files\Google => déplacé(es) avec succès
C:\Users\EDI LUC DECHO\AppData\Local\MSfree Inc => déplacé(es) avec succès
C:\Users\EDI LUC DECHO\Desktop\km spico for windows 10, 8 et office.rar => déplacé(es) avec succès
C:\Users\EDI LUC DECHO\Desktop\km spico for windows 10, 8 et office => déplacé(es) avec succès
C:\Users\EDI LUC DECHO\Downloads\File (1).7z.rar.zfdv => déplacé(es) avec succès
C:\Program Files\Fujitsu => déplacé(es) avec succès
C:\Users\EDI LUC DECHO\Downloads\FujitsuBIOSDriverV122-W10 => déplacé(es) avec succès
C:\Users\EDI LUC DECHO\Downloads\FujitsuBIOSDriverV122-W10.exe => déplacé(es) avec succès
C:\Users\EDI LUC DECHO\_readme.txt => déplacé(es) avec succès
C:\Windows\system32\4PL20Q65EI.tmp => déplacé(es) avec succès
"C:\Windows\system32\Tasks\GoogleUpdateTaskMachineQC" => non trouvé(e)
C:\Program Files\Chrome => déplacé(es) avec succès
C:\Users\EDI LUC DECHO\AppData\Roaming\Adblock Fast => déplacé(es) avec succès
C:\Windows\system32\userDns.conf => déplacé(es) avec succès
"C:\Windows\system32\Tasks\Adblock Fast" => non trouvé(e)
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adblock.lnk => déplacé(es) avec succès
C:\ProgramData\XLAMD5UXSU7Q4Q8YN85 => déplacé(es) avec succès
C:\Users\EDI LUC DECHO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Kdjitq => déplacé(es) avec succès
C:\Users\EDI LUC DECHO\AppData\Roaming\Zxkuozwpy => déplacé(es) avec succès
C:\ProgramData\Package Cache => déplacé(es) avec succès
"C:\Windows\system32\Tasks\Firefox Default Browser Agent 79C2A2336D3CA8A1" => non trouvé(e)
Impossible de déplacer "C:\Windows\system32\Drivers\D1D1q.sys" => Planifié pour déplacement au redémarrage.
C:\Users\EDI LUC DECHO\AppData\Local\564e6cc0-e0e2-4633-84eb-03e4af24c569 => déplacé(es) avec succès
C:\Users\EDI LUC DECHO\AppData\Roaming\tor => déplacé(es) avec succès
C:\ProgramData\KVKDQXUV3CWIMB0EVCL => déplacé(es) avec succès
C:\ProgramData\ILAG4LFA9K21MQ77FFT => déplacé(es) avec succès
"C:\Windows\system32\Tasks\Firefox Default Browser Agent 49A6318016012B13" => non trouvé(e)
C:\Users\EDI LUC DECHO\AppData\Roaming\612840.exe => déplacé(es) avec succès
"C:\Windows\system32\Tasks\Timer" => non trouvé(e)
C:\Users\EDI LUC DECHO\AppData\Local\bowsakkdestx.txt => déplacé(es) avec succès
C:\Windows\system32\Tasks\Service => déplacé(es) avec succès
C:\Users\EDI LUC DECHO\AppData\Roaming\Snnbfhpx => déplacé(es) avec succès
C:\Users\EDI LUC DECHO\AppData\Roaming\shftool => déplacé(es) avec succès
C:\Users\EDI LUC DECHO\AppData\Roaming\ServiceGet => déplacé(es) avec succès
C:\Users\EDI LUC DECHO\AppData\Roaming\RGVLJhqv => déplacé(es) avec succès
C:\Users\EDI LUC DECHO\AppData\Roaming\Ravikasa => déplacé(es) avec succès
C:\Users\EDI LUC DECHO\AppData\Roaming\NVIDIA => déplacé(es) avec succès
C:\Users\EDI LUC DECHO\AppData\Roaming\J1rfJ0bZ7 => déplacé(es) avec succès
C:\Users\EDI LUC DECHO\AppData\Roaming\b51ecacb95f3fd => déplacé(es) avec succès
C:\Users\EDI LUC DECHO\AppData\Roaming\AmkWootE41t => déplacé(es) avec succès
C:\Users\EDI LUC DECHO\AppData\Local\Yandex23 => déplacé(es) avec succès
C:\Users\EDI LUC DECHO\AppData\Local\Jojo1 => déplacé(es) avec succès
C:\SystemID => déplacé(es) avec succès
C:\ProgramData\UADV3H77Z5XEGA99H4R => déplacé(es) avec succès
"C:\Windows\system32\Tasks\Firefox Default Browser Agent 4D781FAC619DF298" => non trouvé(e)
C:\Program Files (x86)\PowerControl => déplacé(es) avec succès
"C:\Windows\system32\Tasks\Time Trigger Task" => non trouvé(e)
C:\Users\EDI LUC DECHO\AppData\Local\24c02524-7b63-48a7-a460-a91a9f111e47 => déplacé(es) avec succès
C:\ProgramData\GP8D0D3WY48ZHT7JP6Z => déplacé(es) avec succès
"C:\Windows\system32\Tasks\orxds.exe" => non trouvé(e)
C:\Windows\SysWOW64\hurjyxhw => déplacé(es) avec succès
C:\Users\EDI LUC DECHO\AppData\Local\Yandex => déplacé(es) avec succès
C:\Users\EDI LUC DECHO\AppData\Local\PeerDistRepub => déplacé(es) avec succès
C:\Users\EDI LUC DECHO\AppData\Local\e0cf8699-5fb8-45d8-9f81-35b31edd99a3 => déplacé(es) avec succès
C:\Users\EDI LUC DECHO\Downloads\File (1).7z.zfdv => déplacé(es) avec succès
C:\Users\EDI LUC DECHO\Downloads\File.7z => déplacé(es) avec succès
C:\ProgramData\freebl3.dll => déplacé(es) avec succès
C:\ProgramData\mozglue.dll => déplacé(es) avec succès
C:\ProgramData\msvcp140.dll => déplacé(es) avec succès
C:\ProgramData\nss3.dll => déplacé(es) avec succès
C:\ProgramData\softokn3.dll => déplacé(es) avec succès
C:\ProgramData\vcruntime140.dll => déplacé(es) avec succès
"C:\Users\EDI LUC DECHO\AppData\Roaming\612840.exe" => non trouvé(e)
C:\Users\EDI LUC DECHO\AppData\Roaming\cricebu => déplacé(es) avec succès
C:\Users\EDI LUC DECHO\AppData\Roaming\ertdf.exe => déplacé(es) avec succès
C:\Users\EDI LUC DECHO\AppData\Roaming\euhibwr => déplacé(es) avec succès
C:\Users\EDI LUC DECHO\AppData\Roaming\fdicebu => déplacé(es) avec succès
C:\Users\EDI LUC DECHO\AppData\Roaming\Ground.exe => déplacé(es) avec succès
C:\Users\EDI LUC DECHO\AppData\Roaming\hjtcrcd => déplacé(es) avec succès
C:\Users\EDI LUC DECHO\AppData\Roaming\hsicebu => déplacé(es) avec succès
C:\Users\EDI LUC DECHO\AppData\Roaming\rvicebu => déplacé(es) avec succès
C:\Users\EDI LUC DECHO\AppData\Roaming\tchbaja => déplacé(es) avec succès
C:\Users\EDI LUC DECHO\AppData\Roaming\yaeblan_v0.7b_10_windows_64.exe => déplacé(es) avec succès
"C:\Users\EDI LUC DECHO\AppData\Local\bowsakkdestx.txt" => non trouvé(e)
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

"HKLM\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies\\" => supprimé(es) avec succès
HKLM\SYSTEM\CurrentControlSet\Services\iphlpsvc\Parameters\ProxyMgr\{5BB5EE13-1E04-4F3E-8B6A-527BBAB04749} => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3970580090-1839756994-498442641-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\AutoConfigURL" => supprimé(es) avec succès
"HKU\S-1-5-21-3970580090-1839756994-498442641-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3970580090-1839756994-498442641-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 27583063 B
Java, Discord, Steam htmlcache => 0 B
Windows/system/drivers => 75833578 B
Edge => 0 B
Firefox => 4561482 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 25426 B
NetworkService => 60918 B
EDI LUC DECHO => 919250136 B

RecycleBin => 0 B
EmptyTemp: => 979.7 MB données temporaires supprimées.

================================

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 30-05-2022 22:08:50)

C:\Windows\system32\config\SYSTEM => Impossible de déplacer
C:\Windows\system32\Drivers\D1D1q.sys => Impossible de déplacer

==== Fin de Fixlog 22:08:50 ====
Kevin Cosner
Messages : 7
Inscription : 28 mai 2022 22:28

Re: Infection Windows : toutes les extensions ont été changées

par Kevin Cosner »

Bonsoir!
j'avais carrément sauté cette étape. Vraiment désolé.
voici le lien du tuto en question
hxxps://www.youtube.com/watch?v=wBxP9RHZm9k

Merci encore à tous.
Malekal_morte
Messages : 112133
Inscription : 10 sept. 2005 13:57

Re: Infection Windows : toutes les extensions ont été changées

par Malekal_morte »

Classique : Arnaques et virus sur Youtube
Ce serait bien de signaler la vidéo.. en cliquant sur le bouton [...].

Faut jamais télécharger de cracks comme ça, tu es sûr d'avoir des malwares au bout.
D'autre part, Windows Defender le détecte... si tu l'as autorisé, ce n'était pas une bonne idée.
Trojan-Win32-Woreflint-A-cl.jpg
C'est un pack assez énorme comme souvent avec ces cracks.
Des trojans à gogo et un ransomware

VirTool:Win32/DefenderTamerpingRestore
Trojan:Script/Sabsik.FL.B!ml
Trojan:Script/Wacatac.B!ml
Ransom:Win32/StopCrypt!ml
Trojan:Win32/SmokeLoader.DA!MTB


Donc tu t'es aussi fait pomper toutes tes mots de passe et autres données.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Kevin Cosner
Messages : 7
Inscription : 28 mai 2022 22:28

Re: Infection Windows : toutes les extensions ont été changées

par Kevin Cosner »

Salut Malekal!
J'espère que tu vas super bien.
je viens de suivre les actions sur ta page https://www.malekal.com/supprimer-virus-kaspersky/
Avatar de l’utilisateur
Parisien_entraide
Messages : 12079
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: Infection Windows : toutes les extensions ont été changées

par Parisien_entraide »

Bonsoir,

Celui qui est derrière le site serait un certain Ayoub mouhib
Actif depuis presque 10 ans

Est payé à chaque fois que quelqu'un clique sur une des activations

Si on utilise un navigateur sécurisé, il est impossible d'aller sur les liens
Si on utilise un navigateur avec un profil vierge, on peut aller sur les liens

MAIS mon antivirus Kaspersky bloque tout du fait de programmes malveillants
Donc il faut le vouloir pour y accéder

Si on désactive l'antivirus, on se tape des redirections, de la pub (et je n'ai pas vérifié si le navigateur était corrompu) pour accéder enfin au site

Si on y arrive on tombe sur un fichier .bat à télécharger, avec un joli script qui balance une clé... générique et qui renvoie sur un site tenu par un chinois que j'ai retrouvé ailleurs (on y retrouve l'outil de micosoft ospp.vbs)
2022-06-02_193644.jpg
Si l'anti virus est réactivé il colle de suite le fichier .bat en quarantaine


Et évidemment il faut utiliser le programme (.bat) en mode administrateur (tant qu'à faire :-)

La subtilité c'est que le site web du chinois ne balance QUE des clés génériques (arnaque donc)
Tout se fait donc via ossp.vbs qui pointe sur divers sites du Chinois et c'est là que la récup de trojan commence (et c'est pour cela qu'il faut attendre 3 minutes et plus les saloperies qu'il va chercher sur les différents serveurs (il y en 4 ou 5)

Curiosité, pour l'aide cela utilise bit.ly qui est un service de réduction d'URL et qui est censé ne plus exister depuis 2011, puisque le domaine .ly appartient à la Libye (maintenant c'est https://bitly.com/ mais le nom de domaine bit/ly leur appartient toujours)
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... was possible !
- Un problème sans solution est un problème mal posé. » (Albert Einstein)
- "Tous les patients mentent" (Docteur House)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
Kevin Cosner
Messages : 7
Inscription : 28 mai 2022 22:28

Re: Infection Windows : toutes les extensions ont été changées

par Kevin Cosner »

Grosse erreur de ma part! mais je tiens a dire un grand merci a vous et surtout a Malekal, pour votre aide qui m a véritablement sorti de ce pétrin. Malekal il y a longtemps que j'aurai du m'inscrit sur ce forum formidable puisque je suis tes tutos depuis quelques années maintenant, hélas il a valu cette situation. Vous m'avez aidé a corriger cette erreur j'en vous suis reconnaissant et j'espère pouvoir être a la hauteur afin d'aider aussi, tout en communiant a la vie de sur forum. Mon PC a recouvré sa santé mise à part que les fichiers sont restés tels, mais bon! le mal est fait, et j'ai en-tiré des leçons. "on réfléchit puis on clic et pas l'inverse"
Passez une agréable soirée.
Malekal_morte
Messages : 112133
Inscription : 10 sept. 2005 13:57

Re: Infection Windows : toutes les extensions ont été changées

par Malekal_morte »

Pas de soucis !
Par contre, je te conseille de terminer la procédure.
Il faudrait refaire un scan FRST et donner les rapports pour s'assurer qu'il n'y a plus rien.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Revenir à « Questions/Commentaires sur le forum »