Reprise du message précédent :
Ca marche ! je fais ça de ce pas alors !  
 
Merci beaucoup de ton aide si précieuse et bonne soirée  

Bonjour
 
Ca y est! infecté par RSA 4096....
J'ai pris connaissance des échanges précédents et j'ai exécuté FRST.
Ci-joint les 2 rapports :
http://www.cjoint.com/c/FBvotj2MkOq
http://www.cjoint.com/c/FBvovrAAOeq
 
A noter que j'ai commencé une procédure trouvée sur internet : malwarebyte + hitman pro (mais hitman pro n'a pu être mené au bout, le logiciel gratuit me demandant une clé....)
 
Ayant trouvé ce forum qui m'apparait sérieux, efficace et rapide, je vous contacte.
 
Merci d'avance
 

Bonjour,
 
 
Il y a beaucoup de cryptowares en ce moment.  
 
 
Voici un script de nettoyage pour le PC.  
 
 
 
==> FRST Correction
 
 

• Appuyer simultanément sur les touches du clavier Windows et r.
• Une fenêtre va s'ouvrir. Ecrire: notepad
• Cliquer sur OK.

    Note: Le bloc-notes va s'ouvrir.
 
   
 
 

• Puis, copier toutes les lignes en gras ci dessous:

    Note: pour copier toutes les lignes, griser de haut en bas les lignes en gras en restant appuyer sur le clic
            gauche de la souris. Puis faire un clic droit de la souris et choisir Copier.
 
 

CloseProcesses:
CMD: DEL C:\Recovery+ctleo.html /s  
CMD: DEL C:\Recovery+ctleo.txt /s  
CMD: DEL C:\Recovery+ctleo.png /s
CMD: DEL C:\Recovery+xfftt.html /s
CMD: DEL C:\Recovery+xfftt.txt /s
CMD: DEL C:\Recovery+xfftt.png /s
CMD: DEL C:\recover_file_mtrcoupcl.txt /s
CMD: DEL C:\RECOVERY.HTM /s
CMD: DEL C:\RECOVERY.TXT /s
CMD: DEL C:\recover_file_ylqccmdfh.txt /s
C:\Users\leflochy\AppData\Local\nsqA7BF.tmp
C:\Users\leflochy\AppData\Local\nsv8DAA.tmp  
C:\Users\Administrateur\AppData\Local\Temp\MSN3B3D.exe
Task: {019D0513-D301-404B-97A6-52856CE9D883} - System32\Tasks\At64 => C:\Windows\system32\Ic7716k.com <==== ATTENTION
Task: {054E4C63-8212-42A4-A8C3-F86C002AA706} - System32\Tasks\At60 => C:\Windows\system32\Ic7716k.com <==== ATTENTION
Task: {07666853-1BCF-4BDA-9E5D-6260821D99BA} - System32\Tasks\At76 => C:\Windows\system32\Ic7716k.com <==== ATTENTION
Task: {09934C0E-AA67-4DE3-B68C-5B77A8DDFDC0} - System32\Tasks\At86 => C:\Windows\system32\Ic7716k.com <==== ATTENTION
Task: {0B733195-79AD-4EE1-AB8E-01F0EC1B0F7B} - System32\Tasks\At2 => C:\Windows\Fonts\Ic7716k.com <==== ATTENTION
Task: {1077C6F1-65CD-4640-AEDB-BC88116AB9E6} - System32\Tasks\At24 => C:\Windows\Fonts\Ic7716k.com <==== ATTENTION
Task: {176D154B-5161-4BBC-B55A-B2EFF4EF5AA3} - System32\Tasks\At38 => C:\Windows\Fonts\Ic7716k.com <==== ATTENTION
Task: {1CB6F2F3-A140-4AE2-AF5E-C97F46D73290} - System32\Tasks\At58 => C:\Windows\system32\Ic7716k.com <==== ATTENTION
Task: {28C0BC9F-2766-4D3B-80F8-BAC28641D1DE} - System32\Tasks\At30 => C:\Windows\Fonts\Ic7716k.com <==== ATTENTION
Task: {2AA1AE28-8E80-4E63-9EF7-19172EB97405} - System32\Tasks\At50 => C:\Windows\system32\Ic7716k.com <==== ATTENTION
Task: {2CE1D7DA-5314-4565-8908-BD2977FCC84A} - System32\Tasks\At52 => C:\Windows\system32\Ic7716k.com <==== ATTENTION
Task: {316B4D9F-A409-454C-92BB-3EDBA0677C07} - System32\Tasks\At36 => C:\Windows\Fonts\Ic7716k.com <==== ATTENTION
Task: {33C55D38-200E-4010-85FB-8EF387C0ED37} - System32\Tasks\At82 => C:\Windows\system32\Ic7716k.com <==== ATTENTION
Task: {33CCF832-B9C1-4EDE-A4E2-4D93CB9E1E7F} - System32\Tasks\At54 => C:\Windows\system32\Ic7716k.com <==== ATTENTION
Task: {3B886057-FC44-4507-9FC3-267608377006} - System32\Tasks\At10 => C:\Windows\Fonts\Ic7716k.com <==== ATTENTION
Task: {4695DAE9-3497-4148-B69E-697813FCE7A9} - System32\Tasks\At32 => C:\Windows\Fonts\Ic7716k.com <==== ATTENTION
Task: {49A4A15F-5E97-4CA3-9BFF-95A64B3DD590} - System32\Tasks\At16 => C:\Windows\Fonts\Ic7716k.com <==== ATTENTION
Task: {4CFDB809-0BB9-4CAC-8ED2-A41E97960171} - System32\Tasks\At84 => C:\Windows\system32\Ic7716k.com <==== ATTENTION
Task: {4E2CDE6A-3B04-401B-86CF-DF4600030D4E} - System32\Tasks\At90 => C:\Windows\system32\Ic7716k.com <==== ATTENTION
Task: {5FF42463-BFFF-4AF1-B01F-B84A50377AB4} - System32\Tasks\At48 => C:\Windows\Fonts\Ic7716k.com <==== ATTENTION
Task: {6E117EBA-574D-4E81-9CD5-39AF5315E90B} - System32\Tasks\At40 => C:\Windows\Fonts\Ic7716k.com <==== ATTENTION
Task: {6E3D235F-B4F3-45C2-A23D-25A39C2802C5} - System32\Tasks\At20 => C:\Windows\Fonts\Ic7716k.com <==== ATTENTION
Task: {748A3A54-9A69-4BDB-8F49-2C9107BF0E90} - System32\Tasks\At18 => C:\Windows\Fonts\Ic7716k.com <==== ATTENTION
Task: {780FFAF9-D30E-4FC9-8067-B3EDAF12169E} - System32\Tasks\At62 => C:\Windows\system32\Ic7716k.com <==== ATTENTION
Task: {7925FDF9-B8A5-4606-90C0-7FE03FDFF40B} - System32\Tasks\At14 => C:\Windows\Fonts\Ic7716k.com <==== ATTENTION
Task: {7C6722F7-3728-4391-AED3-6F4FAF0A42C2} - System32\Tasks\At22 => C:\Windows\Fonts\Ic7716k.com <==== ATTENTION
Task: {7E6A942A-0502-483E-9827-940551B6F626} - System32\Tasks\At8 => C:\Windows\Fonts\Ic7716k.com <==== ATTENTION
Task: {89ED7741-452D-41E0-8050-CD90C7DFB8BA} - System32\Tasks\At26 => C:\Windows\Fonts\Ic7716k.com <==== ATTENTION
Task: {950523E9-62C7-4069-ADF4-D307ED35A2BB} - System32\Tasks\At70 => C:\Windows\system32\Ic7716k.com <==== ATTENTION
Task: {99F18816-4620-4133-8E37-56E0DF794926} - System32\Tasks\At66 => C:\Windows\system32\Ic7716k.com <==== ATTENTION
Task: {9A3AF19D-D584-4BC1-9031-08C381292FAA} - System32\Tasks\At92 => C:\Windows\system32\Ic7716k.com <==== ATTENTION
Task: {A87820D5-1487-4939-A6BC-DBA2DB7E6BE3} - System32\Tasks\At6 => C:\Windows\Fonts\Ic7716k.com <==== ATTENTION
Task: {AF1CE9CC-C5E2-4CB5-AD55-E3F011572549} - System32\Tasks\At78 => C:\Windows\system32\Ic7716k.com <==== ATTENTION
Task: {AFD827F3-9B48-410E-9803-F7B7EEE76B8B} - System32\Tasks\At46 => C:\Windows\Fonts\Ic7716k.com <==== ATTENTION
Task: {B66F61D0-1721-450D-9804-BC82E9C0F280} - System32\Tasks\At4 => C:\Windows\Fonts\Ic7716k.com <==== ATTENTION
Task: {BA669323-A7A5-4782-9995-516FB7CE24B2} - System32\Tasks\At34 => C:\Windows\Fonts\Ic7716k.com <==== ATTENTION
Task: {C007DC8D-2DF5-44AB-BE13-16AAEF308C42} - System32\Tasks\At74 => C:\Windows\system32\Ic7716k.com <==== ATTENTION
Task: {CB07487E-20E9-4467-9A26-10466EC3096C} - System32\Tasks\At56 => C:\Windows\system32\Ic7716k.com <==== ATTENTION
Task: {CB759A14-DDE2-42AE-9689-F01A7977E2A9} - System32\Tasks\At42 => C:\Windows\Fonts\Ic7716k.com <==== ATTENTION
Task: {CE7005F2-EE56-411D-B880-D3EB9749D7FF} - System32\Tasks\At94 => C:\Windows\system32\Ic7716k.com <==== ATTENTION
Task: {D7729456-697C-4FAD-9468-4B55B22BA97B} - System32\Tasks\jhpbmppaik => C:\Windows\Fonts\Ic7716k.com
Task: {E09FD80D-7EB9-4052-8646-4807368FCC63} - System32\Tasks\At88 => C:\Windows\system32\Ic7716k.com <==== ATTENTION
Task: {EC8EA008-18F1-407C-88FF-5FAF49701915} - System32\Tasks\At28 => C:\Windows\Fonts\Ic7716k.com <==== ATTENTION
Task: {ECEBC118-4573-46F1-BA22-A7CF49833BCD} - System32\Tasks\At44 => C:\Windows\Fonts\Ic7716k.com <==== ATTENTION
Task: {F2DF1A3E-3423-4547-8AFE-8CD4DDB08C56} - System32\Tasks\ugoajdtwjs => C:\Windows\system32\Ic7716k.com
Task: {F472F110-6D73-4400-A1C5-3329BC42884C} - System32\Tasks\At68 => C:\Windows\system32\Ic7716k.com <==== ATTENTION
Task: {F6FE2EE0-F914-4F9B-ABB1-973A5AA7141C} - System32\Tasks\At96 => C:\Windows\system32\Ic7716k.com <==== ATTENTION
Task: {F9B6B652-6AC3-4B05-B8EA-26BE7F837DF6} - System32\Tasks\At72 => C:\Windows\system32\Ic7716k.com <==== ATTENTION
Task: {FCE1128A-7908-40F2-8C4A-192B3A4B5217} - System32\Tasks\At80 => C:\Windows\system32\Ic7716k.com <==== ATTENTION
 

 
 

• Dans le bloc-notes, coller les lignes copiées (clic droit + Coller).  

• Cliquer sur la rubrique Fichier du bloc-notes, puis Enregistrer sous ..., nommer le rapport fixlist et l'enregistrer sur le bureau.  

• Puis, à partir du bureau, lancer FRST par un clic droit de la souris, puis "Exécuter en tant qu'administrateur".

• Cliquer sur Corriger

     Note : Patienter le temps de la suppression. Cliquer sur OK pour faire redémarrer le PC.
 
 
   
 
 

• Une fois le PC redémarré, le rapport Fixlog.txt se trouve sur le bureau.

• Héberge ce rapport sur www.Cjoint.com, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

Bonsoir
 
merci pour la manip.
Voici le lien :
 
http://www.cjoint.com/c/FBvs7uDfidq
 
Est-ce OK?

Oui, c'est OK, le PC est propre.  
 
Bonne soirée.

Merci bien monk521 !
Après tout ce que j'ai lu sur les forums, les fichiers sont perdus (les miens sont cryptés en mp3). Y a t-il un espoir qu'un petit génie trouve un jour la clé?...
 
Bonne soirée
 

Ce malware étant actuellement un tel fléau que beaucoup cherche des moyens de le contrer et de déchiffrer les fichiers cryptés.  
 
Dans l'immédiat, il faut sécuriser au maximum le PC avec les conseils donnés précédemment dans ce topic et être très prudent notamment au niveau de l'ouverture de pièces jointes dans les mails.  
 
 

Boonjour, je suis dans le meme cas,
serveur infecté par ce probleme, j'ai posté un message mais je pense qu'ici c'esty mieux,
 
j'ai passé l'outil farbar voici les liens
addition.txt: http://www.cjoint.com/c/FBDkPk6P17O
 
et FRST.txt : http://www.cjoint.com/c/FBDkSbvrsDO
 
merci pour votre aide!!

Re,
 
Analyse en cours des rapports...
 

j'ai constaté que le serveur ne disposait pas d'anti virus, j'ai essayé de mettre avast free il refuse, sinon avg mais celui ci a la fin de l'installe plante ... est ce qu'il n'y a pas encore des éléments malveillants en plus qui bloqueraient ces installation ?

Après une première lecture des rapports, non, il n'y pas de malware. Par contre, j'ai repéré 2 ou 3 anomalies que je vais te détailler dans un moment.  
 
Est-ce que les autres PC ont été touchés ?

Le rapport indique notamment :
 
Vérifiez le service "winmgmt" ou réparez WMI.
 
et  
 
C:\Windows\SysWOW64\wininit.exe EST ABSENT  
 
et  
 
ATTENTION: La Restauration système est désactivée.
 

Merci pour ta réponse.
Non pas à ma connaissance, mais comment fait le malware pour cibler les dossiers sensibles ?
Car là c'est dans une arborescence à partir du disque D (donc pas système) et dans des sous répertoires... il en a traité une dizaine et a laissé les autres ...
 
Sur le spostes client je cherche que dans les dossiers documents et images ?

Comme je t'ai répondu dans ton autre topic, ne cherche pas sur le serveur, il n'y a rien. C'est un des postes clients qui est infecté, c'est pour ça qu'il n'y a que les fichiers du partage qui sont corrompus.
http://forum.hardware.fr/hfr/Windo [...] m#t3223162

monk521, je viens de faire le controle de WMI, la connection est réussie, ce qui indiquerait que cela est bon pour ce point.
 
pour les deux autres points:
"C:\Windows\SysWOW64\wininit.exe EST ABSENT  
 
et  
 
ATTENTION: La Restauration système est désactivée"
 
que dois je faire ?

Pour la restauration du système (service de sauvegarde sur Windows Server), il faut vérifier que le service fonctionne dans le gestionnaire de serveur.
 
http://www.sharepointpals.com/post [...] up-feature
 

Pour wininit.exe, on va utiliser l'outil vérificateur et réparateur des fichiers système.  
 
 
 

• pour Windows : cliquer sur le bouton démarrer  
• dans la zone de recherche, entrer cmd
• dans les choix qui apparaîssent, clic droit sur cmd et exécuté en administrateur
• dans cmd, entre sfc /scannow   (en respectant l'espace entre le c et le /)
• lancer le scan en validant par la touche Entrée du clavier

 
 
A la fin du scan, noter si :
 

• Le programme de protection des ressources Windows n’a trouvé aucune violation d’intégrité.
• La protection des ressources Windows a trouvé des fichiers endommagés et les a tous réparer avec succès.
• La protection des ressources Windows a trouvé des fichiers endommagés, mais n’a pas réussi à tous les réparer

 
On peut avoir le détail des fichiers non réparés (facultatif) :
 

• Téléchargez le fichier cbslog.bat et enregistrez le sur votre bureau
• Cliquez droit sur le fichier cbslog.bat et choisissez Exécuter en tant qu'administrateur

• 2 rapports s'affichent à l'écran, celui qui s'intitule sfcdetailsrepair.txt nous intéresse plus particulièrement.
• Enregistre-le sur le bureau et héberge le sur www.Cjoint.com

• Ou  appuyer sur les touches du clavier Windows + r
• Ecrire %Windir%/Logs/CBS/CBS.log
• Le rapport s'affiche. Enregistre-le sur le bureau et héberge-le sur www.Cjoint.com

la restauration n'est pas installée je la mettrai en place.
 
Pour le deuxieme point c'est en cours ;-)

scannow a terminé voici le fichier sfcdetailsrepair.txt  
 
http://www.cjoint.com/c/FBDxx2QNntO

Bonjour,
 
Un ami m'a passé son portable pour que je le désinfecte d'un virus, et si possible que je récupère ces données.
Comme il m'avait prévenu que le pc était vérolé, je n'ai pas chercher j'ai directement booté sur une clé USB avec Kaspersky rescue disk après analyse Kaspersky n'a pas trouvé grand chose, juste un trojan mais étant méfiant de nature avec ce genre de "bestiole" (la peur n’évite pas le danger) j'ai booté sur un cd live linux et j'ai pu voir ces données enfin si on peut dire ainsi puisque tout ses fichiers sont renommé avec l'extension .vvv (entre autre).
Sur le c: j'ai trouvé dans presque tous les répertoires deux fichiers nommé "How_recover+rhy.htm" et "How_recover+rhy.txt" qui parle de cryptage RSA-4096 et d'aller sur un site pour décrypter les fichiers. Bon l'anglais n'étant pas mon fort je suppose qu'il demande de l'argent aussi ...
 
Donc d'après tout ce que j'ai pu lire ici et si j'ai bien tout compris (merci de me confirmer)
 
C'est un ransomware qui a crypté tout ça ?
 
Les données sont irrécupérables ?
 
Par contre j'ai une ou deux petite question tout de même ?
 
Le pote voulait que je lui réinstalle la machine, donc est ce qu'un formatage du disque supprime ce P..... de virus ?
Est ce qu'il y a une chance que ce virus se soit collé egalement sur les partition de restauration du portable qui sont sur le même HDD ?
Lors du scan avec Kaspersky j'ai connecter le portable en wifi sur ma box est ce que cette S........ a pu se coller sur mon nas ou ailleurs ?
 
D'avance merci de vos réponses

- oui
- non  
- aucun risque, l'une des raisons pour lesquelles il passe a travers pas mal d'antivirus reste le fait que justement il ne tente rien de ce genre, il n'attaque rien de systeme, il se cantonne aux fichiers utilisateurs.

Bah , pas la peine de formater, le cryptoware s'enlève facilement si toutefois, il est toujours là. En général, il infecte les documents dans les 5 minutes qui suivent son insertion dans le PC puis il arrête ses cryptages.  
 
Il n'infecte pas les programmes donc la partition de restauration et pas de risque pour la box.  
 
On peut vérifier s'il est toujours là à l'aide du programme FRST dont tu trouveras le tuto d'utilisation sur ce topic.

OK
Merci a vous pour votre réactivité et vos réponses.

Bonjour,
Même histoire pour moi, j'ai donc suivi le début de la procédure avec FRST64.  
Voici le rapport :  http://www.cjoint.com/c/FCqkv2fN7ls
Est-ce que quelqu'un aurait la gentillesse de m'aider s'il vous plait ? Je suis larguée...

Bonjour,
 
Vous avez appliqué un script de correction qui était prévu pour un autre PC, donc ça n'a eu aucun effet.
 
Suivre ce tuto:
 
 
==> Farbar Recovery Scanner Tool (FRST) de Fabar:
 
 
        Vous pouvez suivre le tutoriel ci-dessous ou bien le tutoriel détaillé en cliquant sur ce lien.
 
 

• Télécharger Farbar Recovery Scanner Tool. Choisir la version 32 ou 64 bits selon son système d'exploitation.

       Note: le programme est enregistré par défaut dans la rubrique Téléchargements de l'Explorateur de
               fichiers de Windows
 

• Copier le fichier FRST ou FRST64 et le coller sur le Bureau et pas ailleurs.

        (on peut aussi trouver la rubrique Bureau dans l'Explorateur de fichiers).
 

• Puis, à partir du Bureau, faire un clic droit de la souris sur l'icône de FRST ou FRST64 et choisir "Exécuter en tant qu'administrateur".

• Le programme met à jour sa base de données.

• Sous "Analyse facultative", cocher les cases suivantes :

     - Addition.txt
     - MD5 pilotes
     

• Cliquer sur Analyser

• Une fois le scan terminé, 2 rapports sont créés sur le Bureau, soit les rapports FRST.txt et Addition.txt.

• Héberger ces 2 rapports sur le site www.Cjoint.com, puis copier/coller les liens fournis dans ta prochaine réponse sur le forum.

Merci beaucoup  Je fais ça et je reviens.

Voici les nouveaux liens :
http://www.cjoint.com/c/FCqk6vh5l6s
 http://www.cjoint.com/c/FCqk7s3K7Ms

OK. Analyse en cours des rapports....

Ad-Aware est un programme obsolète donc inutile. IOBIT Malware fighter n'est pas terrible.  
 
Vous devriez désinstaller ces programmes et installer un bon antivirus que je vous indiquerai aprés ce qui suit.
 
 
 
 
==> FRST Correction :
 
 

• Appuyer sur les touches du clavier Windows et r.
• Dans la fenêtre, écrire: notepad
• Cliquer sur OK.

• Le bloc-notes s'ouvre.  

• Puis, copier toutes les lignes en gras ci dessous:

    Note: pour copier toutes les lignes, griser de haut en bas les lignes en gras en restant appuyer sur le clic
            gauche de la souris. Puis faire un clic droit de la souris et choisir Copier.
 
 

CloseProcesses:
CreateRestorePoint:
Cmd: del C:\_ReCoVeRy_+qsnth.* /f/q/s
Cmd: del C:\_ReCoVeRy_+vsgkw.* /f/q/s
Cmd: del C:\INSTRUCTIONS_78E66.* /f/q/s
Cmd: del C:\_ReCoVeRy_.* /f/q/s
Cmd: del C:\recover_file_stckeqeyu.* /f/q/s
Cmd: del C:\recover_file_gewgrkbac.* /f/q/s
HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [aroinics_svc] => C:\Windows\SYSTEM32\CMD.EXE /C START C:\Windows\jghguftuwkrk.exe
C:\Windows\jghguftuwkrk.exe
HKU\S-1-5-21-4149500161-384136862-1415967203-1003-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [cacaoweb] => "C:\Users\Lilou\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer
HKU\S-1-5-21-4149500161-384136862-1415967203-501-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [cacaoweb] => "C:\Users\Invité\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer
C:\Users\Lilou\AppData\Roaming\cacaoweb
HKU\S-1-5-18\...\Run: [aroinics_svc] => C:\Windows\SYSTEM32\CMD.EXE /C START C:\Windows\jghguftuwkrk.exe
CHR HKLM\SOFTWARE\Policies\Google: Restriction
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction  
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =  
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =  
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =  
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =  
HKU\S-1-5-21-4149500161-384136862-1415967203-1001\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKU\S-1-5-21-4149500161-384136862-1415967203-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKU\S-1-5-21-4149500161-384136862-1415967203-1003-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKU\S-1-5-21-4149500161-384136862-1415967203-1005-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKU\S-1-5-21-4149500161-384136862-1415967203-501-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://fr.yhs4.search.yahoo.com/yhs/web?hspart=iry&hsimp=yhs-fullyhosted_003&type=wncy_dwndlm_15_27_j2&param1=1&param2=f%3D1%26b%3DIE%26cc%3Dfr%26pa%3DWincy%26cd%3D2XzuyEtN2Y1L1Qzu0E0C0FyE0B0BzzyCzz0CtCtC0CtC0BtCtN0D0Tzu0StCtByByBtN1L2XzutAtFtCtDtFtCtDtFtCtN1L1Czu1TtN1L1G1B1V1N2Y1L1Qzu2StB0E0C0EyCzy0C0DtGyDtBzyzytG0DzzzyzztGyB0CyB0BtG0AyC0BtBtDtC0F0A0C0FzztC2QtN1M1F1B2Z1V1N2Y1L1Qzu2StByB0F0C0B0AtDyEtG0CtA0DtAtGyEtCyC0FtGzyyDtDyEtGtC0CyE0EtCzzyC0F0EyByEyD2QtN0A0LzuyE%26cr%3D976935672%26a%3Dwncy_dwndlm_15_27_j2%26os%3DWindows 8.1 Pro
SearchScopes: HKLM-x32 -> DefaultScope la valeur est absente
SearchScopes: HKU\.DEFAULT -> DefaultScope {DE893056-4D96-43CD-9C84-40B26A91A26A} URL =  
SearchScopes: HKU\S-1-5-21-4149500161-384136862-1415967203-1001 -> DefaultScope {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = hxxp://www.trovi.com/Results.aspx?gd=&ctid=CT3330789&octid=EB_ORIGINAL_CTID&ISID=MFBD2DB69-7990-4A76-84F7-96731C8AF730&SearchSource=58&CUI=&UM=6&UP=SPEDA6AE3B-9A18-46E1-92B1-E6488E174CAA&q={searchTerms}&SSPV=
SearchScopes: HKU\S-1-5-21-4149500161-384136862-1415967203-1001 -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = hxxp://www.trovi.com/Results.aspx?gd=&ctid=CT3330789&octid=EB_ORIGINAL_CTID&ISID=MFBD2DB69-7990-4A76-84F7-96731C8AF730&SearchSource=58&CUI=&UM=6&UP=SPEDA6AE3B-9A18-46E1-92B1-E6488E174CAA&q={searchTerms}&SSPV=
SearchScopes: HKU\S-1-5-21-4149500161-384136862-1415967203-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 -> DefaultScope {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = hxxp://www.trovi.com/Results.aspx?gd=&ctid=CT3330789&octid=EB_ORIGINAL_CTID&ISID=MFBD2DB69-7990-4A76-84F7-96731C8AF730&SearchSource=58&CUI=&UM=6&UP=SPEDA6AE3B-9A18-46E1-92B1-E6488E174CAA&q={searchTerms}&SSPV=
SearchScopes: HKU\S-1-5-21-4149500161-384136862-1415967203-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = hxxp://www.trovi.com/Results.aspx?gd=&ctid=CT3330789&octid=EB_ORIGINAL_CTID&ISID=MFBD2DB69-7990-4A76-84F7-96731C8AF730&SearchSource=58&CUI=&UM=6&UP=SPEDA6AE3B-9A18-46E1-92B1-E6488E174CAA&q={searchTerms}&SSPV=
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\wtu-secure-search.xml [2015-12-19]
HKU\S-1-5-21-4149500161-384136862-1415967203-501-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [GoogleChromeAutoLaunch_6956FC45501C8D9F71C9579024A840D7] => C:\Users\Invité\AppData\Local\Chromium\Application\chrome.exe [663552 2015-06-25] (The Chromium Authors)
C:\Users\Invité\AppData\Local\Chromium
S3 Trufos; C:\Windows\System32\DRIVERS\Trufos.sys  
C:\Windows\System32\DRIVERS\Trufos.sys
C:\Windows\SysWOW64\WDPABKP.dat
C:\Users\Le\AppData\Local\{290E1F52-0DA6-73EA-603E-56024456AA9A}
C:\ProgramData\{FD6F83C0-EC70-4581-8361-C70CD1AA4B98}
C:\ProgramData\{8AF32939-989B-460A-8726-CA2C776032A1}
C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2014-02-27 09:38 - 2014-02-27 09:38 - 0000121 _____ () C:\ProgramData\{1FBF6C24-C1fD-4101-A42B-0C564F9E8E79}.log
2014-02-27 09:34 - 2014-02-27 09:35 - 0000106 _____ () C:\ProgramData\{2A87D48D-3FDF-41fd-97CD-A1E370EFFFE2}.log
2014-02-27 09:35 - 2014-02-27 09:36 - 0000111 _____ () C:\ProgramData\{B0B4F6D2-F2AE-451A-9496-6F2F6A897B32}.log
2014-02-27 09:36 - 2014-02-27 09:37 - 0000108 _____ () C:\ProgramData\{B46BEA36-0B71-4A4E-AE41-87241643FA0A}.log
2014-02-27 09:33 - 2014-02-27 09:34 - 0000107 _____ () C:\ProgramData\{C59C179C-668D-49A9-B6EA-0121CCFC1243}.log
C:\Users\Lulu\AppData\Local\Temp\i4jdel0.exe
C:\Users\Zoé\AppData\Local\Temp\mconduitinstaller.exe
C:\Users\Zoé\AppData\Local\Temp\mism.ex
Task: {04F1ED7C-5631-4947-9F92-5A40AC608A17} - \FreeHD-Sport TV V9.0-firefoxinstaller
Task: {3BE9088B-9D77-4D0F-B978-855C8E594081} - \FreeHD-Sport TV V9.0-chromeinstaller
Task: {425EF236-8683-41D0-A6E2-140179A93B2A} - \FreeHD-Sport TV V9.0-enabler  
Task: {85332B78-90E0-401A-968D-570A3F8B511D} - System32\Tasks\0715tbUpdateInfo => C:\ProgramData\Avg_Update_0715tb\0715tb_{1CF41A17-71C3-40E8-82B8-3B5D7E678225}.exe
Task: {88FA6769-DD8F-4447-88AD-E77BE710C7BD} - System32\Tasks\{8B32159B-D1F4-431B-A2D4-CB41796694F0} => pcalua.exe -a "C:\Program Files (x86)\RelevantKnowledge\rlvknlg.exe" -c -bootremove -uninst:RelevantKnowledge
C:\Program Files (x86)\RelevantKnowledge
Task: {DFFDEA2B-9731-4EE8-9887-51A77246E0E4} - \FreeHD-Sport TV V9.0-codedownloader
Task: {F818DFBA-D7A3-4656-91A0-D3DD39A1AA14} - \FreeHD-Sport TV V9.0-updater
Task: C:\Windows\Tasks\0715tbUpdateInfo.job => C:\ProgramData\Avg_Update_0715tb\0715tb_{1CF41A17-71C3-40E8-82B8-3B5D7E678225}.exe
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""=""
FirewallRules: [TCP Query User{C8242BB3-B721-43F6-A180-CA38E8700580}C:\users\le\downloads\cacaoweb(2).exe] => (Block) C:\users\le\downloads\cacaoweb(2).exe
FirewallRules: [UDP Query User{AA531467-8BA6-4F83-B1FF-7770E5FC2AD1}C:\users\le\downloads\cacaoweb(2).exe] => (Block) C:\users\le\downloads\cacaoweb(2).exe
FirewallRules: [TCP Query User{7B10931D-3466-47DA-9086-47827A03959C}C:\users\le\downloads\cacaoweb(2).exe] => (Allow) C:\users\le\downloads\cacaoweb(2).exe
FirewallRules: [UDP Query User{12001243-A7B1-4EC6-8682-9338E59B2B7B}C:\users\le\downloads\cacaoweb(2).exe] => (Allow) C:\users\le\downloads\cacaoweb(2).exe

 
 

• Dans le bloc-notes ouvert, faire un clic de la souris et choisir Coller (toutes les lignes en gras s'inscrivent).  

• Cliquer sur la rubrique Fichier du bloc-notes, puis Enregistrer sous ... et cliquer la rubrique Bureau. Dans la case nom de fichier, écrire fixlist et cliquer sur Enregistrer.  

• Puis, à partir du Bureau, faire un clic droit de la souris sur l'icône de FRST ou FRST64 et choisir "Exécuter en tant qu'administrateur".

• Cliquer sur Corriger

     Note : Patienter le temps de la suppression. Le PC va redémarrer.
 
 
   
 
 

• Une fois le PC redémarré, le rapport Fixlog.txt a été créé sur le Bureau.

• Héberger ce rapport sur www.Cjoint.com, puis copier/coller le lien fourni dans ta prochaine réponse sur le forum.

D'abord encore merci pour cette aide précieuse.
Voici le lien du rapport :  http://www.cjoint.com/c/FCqnLZEZ6ps

Vous pourriez me faire parvenir de nouveaux rapports de FRST, svp, ce sera plus simple.
 
Le rapport de suppression est tellement long que ça me fait planter Mozilla. looool  
 
Comme quoi, on a fait un bon ménage.  

Ca sonne comme une bonne nouvelle ! Je fais ça tout de suite. Merci

Voici les rapports :
 http://www.cjoint.com/c/FCqoajTC3ds
 http://www.cjoint.com/c/FCqoa1AfeHs

OK, c'est bon, le malware n'est plus là.  
 
 
Juste Internet Explorer qui a petit problème, on le réinitialise avec Reset Browser.
 
 
 
==> ResetBrowser :
 
 
Ce programme permet de réinitialiser certains navigateurs internet à leurs paramètres par défaut.  
Il supprime notamment les moteurs de recherche, la page de démarrage ou les extensions imposés mais conserve les favoris et les mots de passe.
 
 

• Télécharger et lancer ResetBrowser.

• Cliquer sur Réinitialiser Mozilla, Chrome ou Internet Explorer.

• Lorsque la réinitialisation est terminée, lancer internet Explorer.

C'est fait ! Merci beaucoup beaucoup  
Est-ce qu'il y a autre chose à faire ? Tu avais parlé d'un anti-virus plus efficace ?

Et autre question bonus, existe-t-il un moyen pour récupérer les fichiers endommagés ?

Oui, il faudrait désinstaller les 2 dont je parlais précédemment et mettre au moins un antivirus gratuit comme Avast ou Avira.  
 
Non, pas moyen pour l'instant de récupérer les documents cryptés mais garde-les sous le coude, il y aura peut-être un jour un outil pour les décrypter.  
 
 
Le PC est propre, on peut finaliser la maintenance malware.  
 
 
 
==> Quelques conseils de prudence et de vigilance :    
 
 

• Ne télécharger pas de programmes sur des sites douteux et sur certains sites revendeurs comme 01.net, Softonic, BrotherSoft, ces sites utilisent leur propre installateur et rajoutent pendant l'installation des programmes indésirables LPI/PUP (toolbars, adwares, spywares, hijackers).  

• Préférer les téléchargements chez l'éditeur du programme (le site officiel).  

• Lors de l'installation d'un programme, lire attentivement ce qui est proposé, choisir l'installation personnalisée ou avancée et décocher les programmes additionnels inutiles ou cliquer sur Skip (Passer).

• Filtrer les publicités malicieuses (malvertising) qui peuvent installer des malwares à l'aide du programme Adblock Plus.  

        Pour chaque navigateur internet concerné, copier l'adresse du lien qui se trouve ci-dessous (en faisant un  
        clic droit de la souris + copier l'adresse du lien), ouvrez le navigateur et collez le lien dans la barre
        d'adresse (clic droit + coller). Installer ensuite Adblock Plus.
 
         - pour Internet Explorer
         - pour Mozilla
         - pour Google Chrome  
         - pour Opéra
 

• Attention aux fausses mises à jour, plugins et faux codecs qui sont proposés notamment sur des sites de jeux, de streaming ou de charmes, ceux-ci installent aussi des malwares.

• Au niveau des mails et des réseaux sociaux, n'ouvrez pas des pièces jointes et ne cliquer pas sur des liens dans des messages douteux, ceux-ci pourraient être piégés.    

• Cracks: refuser de télécharger et d'utiliser illégalement des œuvres protégés par un copyright (non libre de droits). En plus d’être passible de sanctions vis-à-vis de la loi et d'Hadopi, ces œuvres piratées en provenance du réseau du P2P, du Direct Down Load ou par tout autre biais sont la source des infections les plus dangereuses.

• Scanner (analyser) régulièrement son PC avec son antivirus résident et vérifier que la base de signatures virales est bien à jour afin de détecter les derniers malwares présents sur le net.  

• Vacciner ses supports amovibles externes (clés Usb, disques dur externes, cartes mémoire, Ipod, MP3…) à l'aide du programme UsbFix car beaucoup d'infections se propagent par ce biais.  

• Sauvegarder sur un disque dur externe vos données personnelles (documents, images, vidéo, musiques) au cas où une panne sérieuse arriverait et empêcherait le PC de redémarrer, ou qu'un malware supprime ou crypte de façon irréversible ces données (sauvegarder sur un disque dur externe non connecté en permanence au PC).

 
 
 
==> Mises à jour de sécurité :  
 
 
Il est important de mettre à jour tous ses programmes et en particulier le système d'exploitation Windows, les navigateurs internet, Adobe Flash Player, Adobe Reader et Java, ces programmes étant les plus attaqués par des exploits qui installent automatiquement des malwares (infection dés la simple visite d'un site web, ouverture d'une pièce jointe, d'un lien,...).
 
L'installation des dernières mises à jour permettent ainsi de sécuriser le PC et de combler les failles par lesquelles les malwares entrent et se développent (explications détaillées dans la rubrique Compléments d'informations).
 
 
 
1- Vérification et mises à jour du système d'exploitation Windows:
 
   

• Pour Windows Vista, 7 et 8 : se rendre dans le Panneau de configuration\Système et sécurité\Windows Update\  et sélectionner Rechercher des mises à jour.

 
 
 
2- Vérification et mises à jour des navigateurs internet :
 

• Pour Internet Explorer et Microsoft Edge: les mises à jour se font en même temps que celles du système d'exploitation.  
• Pour Mozilla : cliquer sur le menu Mozilla représenté par 3 barres (en haut à droite du programme). Cliquez sur "?", puis “ à propos de Mozilla“.

 
 
 
3- Adobe Reader DC: N'est pas à jour, c'est une faille de sécurité importante.
 

• Désinstaller la version actuelle via le panneau de configuration / Programmes / Désinstaller un programme.
• Télécharger et installer la nouvelle version d'Adobe Reader => Site Adobe Reader

Ne pas oublier avant le téléchargement de décocher la case proposant le sponsor McAfee dans les offres facultatives, ce programme ne sert à rien.
 
     
 
     
 
4- Adobe Flash Player : OK.
 
 
 
5- Java : la version de java installée sur ton ordinateur n'est pas à jour:  
 

• Désinstaller l'ancienne ou les anciennes versions de Java via le panneau de configuration / Programmes / Désinstaller un programme.  
• Télécharger et installer la nouvelle version => site de java (cliquer sur téléchargement gratuit de java).

 
 
 
==> Nettoyage complémentaire :    
 
 
 
1- SFTGC de Pierre13 – Nettoyage des fichiers temporaires :
 
 

• Télécharger SFTGC.  

• Lancer le programme en faisant un double clic gauche de la souris sur le fichier SFTGC.  

• Le logiciel s'initialise puis s'ouvre.
• Cliquer alors sur le bouton Go pour supprimer les fichiers temporaires inutiles et attendre la fin du nettoyage.

     
 
 
 
2- DelFix de Xplode
 
 
Cet outil va permettre d'une part de supprimer tous les outils de désinfection utilisés lors du nettoyage de  
l'ordinateur et d'autre part de purger la restauration système. La purge de la restauration système est importante, elle permet de supprimer tous les points de restauration potentiellement infectés et de créer un nouveau point de restauration exempt de nuisible.  
 

• Télécharger DelFix de Xplode sur le bureau.

• Lancer le programme en faisant un double clic gauche de la souris sur le fichier DelFix.
• Cocher toutes les cases comme indiquer sur l'image ci dessous.
• Cliquer sur Exécuter.

     
 
 
 
 
==> Complément d'informations :  
 
 

• Stop les publicités intempestives adwares et programmes parasites de Malekal.
• Pourquoi mettre à jour son PC contre les failles de sécurité Comment ça marche.net.
• Les risques sécuritaires du P2P Libellules.ch
• Sécuriser son ordinateur et connaitre les menaces de Malekal.

 
 
 
Bonne journée.  

Merci vraiment ! Je vais lire tous ces bons conseils.
Très bonne fin de journée

Bonjour,
 
Je me permets de vous solliciter car je suis également infecté.
Je me tourne forum.hardware.fr, car monk521 à l'air d'être l'homme de la situation.
 
FRST.txt : http://www.cjoint.com/c/FCwkFTDDqjB
Addition.txt : http://www.cjoint.com/c/FCwkNqrLe2B
 
Je vous remercie d'avance de l'aide que vous pourrez m'apporter
 
Romain

Bonjour,  
 
Je regarde les rapports.  
 

Merci.