Reprise du message précédent :
Oui le fond d'écran du bureau.
Je l'ai changé et effectivement la nouvelle image efface l'écran noir et le texte.
J'espère que cette sous couche est définitivement étouffée lol

Bonjour
 
Nouveau sur le forum, je pense être sur le bon sujet. Hier mon ordinateur portable a une activité importante élévationde la température, puis mise en rideau et déclanchement d'un Chdisk. m'indiquant des indexations corrompus
Au redémarrage un texte m'indique que mon ordinateur a été crypté par RSA 4096, fichier excel, word et quelques fichiers photos;
 
faisant des sauvegarde régulièrement la dernière lundi, je peux donc récupérer la quasi totalité de mes fichiers. Mais auparavant je voudrais m'assurer qu'il ne reste pas de traces de ce virus dans mon ordinateur.
 
Merci pour votre aide
 
André  

Re
 
Ayant lu ce post j'ai installé FRST et j'ai eu ce lien
 
http://www.cjoint.com/c/FIjkac0hMNb
 
Mais il faut peut-être deux liens un pour chaque fichier ?

voici les deux liens séparés
 
 http://www.cjoint.com/c/FIjkexH40Mb  
 
http://www.cjoint.com/c/FIjkfm6a3eb

Bonjour anb3su,
 
 
 
Le ransomware, le virus que vous avez attrapé, n'est plus présent sur le PC. Il reste cependant ses messages que l'on peut supprimer avec ce qui suit.
 
Concernant votre PC portable, regarder l'état de santé du disque dur à l'aide de Cristal Disk Info.  
 
 
 
 
==> FRST Correction :
 
 

• Appuyer sur les touches du clavier Windows et r.
• Dans la fenêtre, écrire: notepad
• Cliquer sur OK.

• Le bloc-notes s'ouvre.  

• Puis, copier toutes les lignes en gras ci dessous:

    Note: pour copier toutes les lignes, griser de haut en bas les lignes en gras en restant appuyer sur le clic
            gauche de la souris. Puis faire un clic droit de la souris et choisir Copier.
 
 

CloseProcesses:
CreateRestorePoint:
EmptyTemp:
Cmd: del C:\*README*.* /f/q/s
URLSearchHook: HKU\S-1-5-21-287354846-3748281090-544899532-1001 - (Pas de nom) - {0740f3dd-e1f0-4ec6-8855-04f999d071fa} - C:\Program Files (x86)\DownSpeedTest_dq\bar\1.bin\dqSrcAs.dll Pas de fichier
C:\Program Files (x86)\DownSpeedTest_dq
URLSearchHook: HKU\S-1-5-21-287354846-3748281090-544899532-1001 - (Pas de nom) - {5bcf818d-78c8-41b8-ba89-65c5fdac4fc4} - Pas de fichier
BHO-x32: Pas de nom -> {481f6b47-2ad8-4c6a-8554-a2897e6cf900} -> Pas de fichier
BHO-x32: Pas de nom -> {5818cea7-889d-459a-9a75-889e1298a892} -> Pas de fichier
Toolbar: HKLM-x32 - Pas de nom - {1aab982b-77d7-44f1-b305-8909dac045f2} -  Pas de fichier
Handler: livecall - {828030A1-22C1-4009-854F-8E305202313F} -  Pas de fichier
Handler: msnim - {828030A1-22C1-4009-854F-8E305202313F} -  Pas de fichier
2016-09-03 12:01 - 2016-09-03 12:01 - 00000000 ____D C:\Users\andré\AppData\Local\{E839B04C-25D9-4A39-A6F3-221B57EF9CCE}
2016-09-02 14:09 - 2016-09-02 14:09 - 00000000 ____D C:\Users\andré\AppData\Local\{63963AC9-3BA2-4728-9B25-F2B1895CA1F9}
2016-08-31 14:13 - 2016-08-31 14:13 - 00000000 ____D C:\Users\andré\AppData\Local\{2BE73DAE-70CE-49D0-B7F3-268AD37DA341}
2016-08-28 09:59 - 2016-08-28 09:59 - 00000000 ____D C:\Users\andré\AppData\Local\{634CDAD6-EE04-4DE7-91E7-836E78646BF3}
2016-08-24 18:51 - 2016-08-24 18:51 - 00000000 ____D C:\Users\andré\AppData\Local\{7F5C2485-CAB0-474E-A78F-DF7B4FAE49C1}
2012-12-02 05:01 - 2012-12-02 05:01 - 0000109 _____ () C:\ProgramData\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}.log
2012-12-02 05:00 - 2012-12-02 05:01 - 0000105 _____ () C:\ProgramData\{40BF1E83-20EB-11D8-97C5-0009C5020658}.log
2012-12-02 05:00 - 2012-12-02 05:00 - 0000107 _____ () C:\ProgramData\{C59C179C-668D-49A9-B6EA-0121CCFC1243}.log

 
 

• Dans le bloc-notes ouvert, faire un clic de la souris et choisir Coller (toutes les lignes en gras s'inscrivent).  

• Cliquer sur la rubrique Fichier du bloc-notes, puis Enregistrer sous ... et cliquer la rubrique Bureau. Dans la case nom de fichier, écrire fixlist et cliquer sur Enregistrer.  

• Puis, à partir du Bureau, faire un clic droit de la souris sur l'icône de FRST ou FRST64 et choisir "Exécuter en tant qu'administrateur".

• Cliquer sur Corriger

     Note : Patienter le temps de la suppression. Le PC va redémarrer.
 
 
   
 
 

• Une fois le PC redémarré, le rapport Fixlog.txt a été créé sur le Bureau.

• Héberger ce rapport sur www.Cjoint.com, puis copier/coller le lien fourni dans ta prochaine réponse sur le forum.

 
 
Bonne journée.

Merci pour cette rapide réponse.
 
J'ai fait un point de restauration sur le 31 aôut , est-cela qui aurait fait disparaître le virus.
 
D'autre part j'ai constaté que tous mes fichiers perso n'avaient pas été contaminés, cela à suivi l'arborescence et s'est arrête en un certain point.
voici le rapport fixlog
 
http://www.cjoint.com/c/FIjmBMJe1bb
 
 
Et encore merci pour votre aide

 
Oui, absolument mais la restauration du système ne concerne pas tout ce qui est fichier texte, photos, documents, etc.. donc c'est normal qu'ils restaient encore des messages du "virus".
 
Avez-vous toujours des problèmes avec ces messages ?

Re
 
 
Non tout va bien, je crois que j'ai limité les dégâts un ou deux fichiers perdus mais facilement reconstituables.
Par contre le lien cristal disk info ne débouche sur rien
 
encore merci et bonne soirée

Oui, effectivement. Cette fois-ci vous pouvez le télécharger.  
 
Cristal Disk Info

Bonjour
 
Merci, le lien fonctionne, pas de problèmes sur mon disque dur.