Reprise du message précédent :
Merci.

Le PC n'est pas infecté.  
 
Par contre, je m’interroge sur ce qu'il y a dans le dossier C:\Documents and Settings\Administrateur.DOMSTC01\Bureau\Conficker.
 
Le pare feu n'est pas activé. Idem pour la restauration du systéme mais c'est peut-être volontaire pour ce service.
Le rapport indique aussi que le service winmgmt n'est pas activé et/ou qu'il faut réparer WMI (Windows management instrumentation).
 
Pas d'antivirus.

OK.
Dans le dossier conficker il y un exe. kk.exe qui a servi il y a quelques années (avant mon arrivée (récente)), de supprimer une vérole.
 
Le pare-feu n'est pas activé. Nous passons par un Netasq.
Vu avec mon responsable, la restauration du système est volontairement désactivée et il n'y a plus d'antivirus.
 
J'ai par contre pleins de fichiers un peu partout dans chaque répertoire :
- _recover_kpepm.html,
- _recover_kpepm.png,
- _recover_kpepm.txt.
C'est pour cette raison que je pensais être infecté sur ce serveur.
 
J'ai pendant ton étude des fichiers continué à vérifier mes autres serveurs et postes clients (toujours en cours).
Je pense avoir trouvé le poste client responsable.
 
Penses-tu que je puisse via une commande del supprimer ces x fois 3 fichiers du serveur?
Je me penche sur le service winmgmt et te tiens informé.
 
Peux-tu éventuellement m'expliquer quelle entrée de Addition.txt ou FRST.txt te permets de voir si la machine est infectée ? Cela me permettra de passer au crible mon parc et de me coucher moins bête.
 
Merci encore de ton aide.

+ Pour supprimer tous les fichiers cryptés, tu peux lancer les commandes suivantes (ou créer un bat):  
 
Del C:\ _recover_kpepm.* /f /q /s
 
Pour les fichiers s'appelant _recover_kpepm.
 
 
 
+ Dans FRST, je regarde surtout les entrées autoruns, on voit tout de suite si un malware est actif, chargé en mémoire. Je regarde ensuite tout le reste, les fichiers crées, modifiés, les navigateurs internet et autres infos...
 
Pour chercher la trace d'un malware au niveau de ces autoruns, il faut lire les rubriques :
 
-Processus
-Registre
-Services  
-Pilotes
-Tâches planifiées dans le rapport Addition.txt
-Mode sans échec  
 
 
Si un processus te parait douteux, alors c'est probablement un malware. Pour les crypto-ransomwares, ils portent souvent des noms aléatoires comme giez8jhrh2.exe.  
 
 
+ Un programme que beaucoup utilisent c'est Autoruns de Systernal car pratique a utilisé.
 
Il faut décompresser le fichier téléchargé et utiliser le programme Autoruns.exe sur chaque poste. Lui attribuer des droits administrateurs dans ses propriétés.
 
Ensuite, tu regardes principalement dans les rubriques Logon, Tasks, Services et Drivers, ce sont les autoruns les plus importants, le plus classiques utilisés par les malwares.  
 
Il ne reste plus qu'à identifier chaque ligne et si un malware est présent, il suffit de décocher la case correspondante pour désactiver son lancement automatique au niveau du registre.
 
Un outil sympa

Je te remercie.
Je vais avancer en suivant tes préconisations et te tiens informé.
Merci pour tout.

Je t'en prie.
 
Bonne journée.  

Bonjour, ici la protection  
 
http://webera.fr/supprimer-locky/

@Grelka_0609$75
 
Ton lien est moyen.
 
Le logiciel Spyhunter proposé ne supprime rien, ce programme est une arnaque.
 
Data Recovery Pro, je ne connais pas mais le lien est bloqué par mon antivirus car considéré comme PUP. Faudrait le télécharger sur le site officiel.
 
Ok pour Shadows Explorer, à essayer...  

Bonjour,
 
Je suis moi aussi infecté par RSA4096 depuis le 20/03 au soir, et le logiciel a eu le temps de crypter quasi 100% de mes fichiers...
Mon PC est sous Windows 7, à priori infecté en cliquant sur un module complémentaire sur dropbox ou quelque chose du genre (peu de connaissances en informatique).
J'ai bien compris que je ne me récupérerai probablement jamais les fichiers, mais j'aimerai être sûr de pouvoir continuer à utiliser mon ordi sans que mes futurs fichiers soient condamnés eux aussi.  
 
J'ai commencé la procédure expliquée en page 1, je vous joins le FRST et l'Addition obtenus via analyse avec FRST.exe :
 
FRST : http://www.cjoint.com/c/FCwnD6yYvFd
 
Addition : http://www.cjoint.com/c/FCwnE7RlMAd
 
Merci pour votre aide, ce forum parait sérieux
 
Cordialement,
 
Remusico

Bonjour,
 
Analyse en cours des rapports...

Tout d'abord, désolé pour la cata, j'espère que tu avais des sauvegardes externes.
 
Tu as dû être victime de phishing avec Dropbox.
http://www.journaldugeek.com/2016/ [...] -phishing/
 
 
Le malware n'est plus présent sur le PC, Avast l'a supprimé mais un peu tard.
Il reste cependant quelques éléments infectieux qu'il faut nettoyer.
 
 
 
Désinstaller le programme Boxore, puis appliquer le script de correction suivant:
 
 
 
 
==> FRST Correction :
 
 

• Appuyer sur les touches du clavier Windows et r.
• Dans la fenêtre, écrire: notepad
• Cliquer sur OK.

• Le bloc-notes s'ouvre.  

• Puis, copier toutes les lignes en gras ci dessous:

    Note: pour copier toutes les lignes, griser de haut en bas les lignes en gras en restant appuyer sur le clic
            gauche de la souris. Puis faire un clic droit de la souris et choisir Copier.
 
 

CloseProcesses:
Cmd: del C:\+REcovER+xfigm+.* /f /q /s
Cmd: del C:\+recover+file.* /f /q /s
GroupPolicy: Restriction - Chrome
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =  
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =  
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =  
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =  
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =  
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =  
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =  
SearchScopes: HKU\S-1-5-21-2286804812-472341844-2148522555-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =  
FF HKLM-x32\...\Firefox\Extensions: [ext@MediaWatchV1home605.net] - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home605\ff
FF Extension: Media Watch - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home605\ff [2014-03-22] [non signé]
CHR HKLM-x32\...\Chrome\Extension: [bacfdigdcinhgoohegdkfllognjiodag] - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home605\ch\MediaWatchV1home605.crx [2014-03-20]
S2 Update Kozaka; "C:\Program Files (x86)\Kozaka\updateKozaka.exe" [X]
S2 Util Kozaka; "C:\Program Files (x86)\Kozaka\bin\utilKozaka.exe" [X]
C:\Program Files (x86)\Kozaka
C:\37a016247c72abcefe354734b90de072
C:\0a9527a18199de1bc91aed

 
 

• Dans le bloc-notes ouvert, faire un clic de la souris et choisir Coller (toutes les lignes en gras s'inscrivent).  

• Cliquer sur la rubrique Fichier du bloc-notes, puis Enregistrer sous ... et cliquer la rubrique Bureau. Dans la case nom de fichier, écrire fixlist et cliquer sur Enregistrer.  

• Puis, à partir du Bureau, faire un clic droit de la souris sur l'icône de FRST ou FRST64 et choisir "Exécuter en tant qu'administrateur".

• Cliquer sur Corriger

     Note : Patienter le temps de la suppression. Le PC va redémarrer.
 
 
   
 
 

• Une fois le PC redémarré, le rapport Fixlog.txt a été créé sur le Bureau.

• Héberger ce rapport sur www.Cjoint.com, puis copier/coller le lien fourni dans ta prochaine réponse sur le forum.

J'avais une sauvegarde (incomplète malheureusement), le soucis c'est que le disque dur externe était branché jusqu'à ce que je me rende compte du soucis que j'avais !!
 
Je suis la procédure et je joins le rapport

Désolé j'ai mis un peu de temps, j'avais oublié de supprimer Boxore, du coup ça ne fonctionnait pas.
 
Bref, voila le rapport fixlog : http://www.cjoint.com/c/FCwo7DjHLgA
 
Merci pour ton aide

OK, pour le rapport.
 
Tu as supprimé les fichiers +REcovER+xfigm+ sur ton PC ?

Non pas encore, quand j'ai chercher à la racine du disque dur, y'en avait + de 45000, mais comme ça continuait de crypter (certains fichiers "profonds" que je connaissais pas ont été modifiés à 12h20 aujourd'hui), je me suis dit qu'il fallait attendre un peu que ça ait terminé de foutre en l'air mes dossiers    
 
Je dois les supprimer maintenant ?

J'avais pourtant prévu de les supprimer avec FRST mais ça n'a pas marché. Ça va les supprimer tous d'un coup. Bon, rééssaies...
 
 
 
==> FRST Correction :
 
 

• Appuyer sur les touches du clavier Windows et r.
• Dans la fenêtre, écrire: notepad
• Cliquer sur OK.

• Le bloc-notes s'ouvre.  

• Puis, copier toutes les lignes en gras ci dessous:

    Note: pour copier toutes les lignes, griser de haut en bas les lignes en gras en restant appuyer sur le clic
            gauche de la souris. Puis faire un clic droit de la souris et choisir Copier.
 
 

Cmd: del C:\+REcovER+xfigm+.* /f/q/s
Cmd: del C:\+recover+file.* /f/q/s
 

 
 

• Dans le bloc-notes ouvert, faire un clic de la souris et choisir Coller (toutes les lignes en gras s'inscrivent).  

• Cliquer sur la rubrique Fichier du bloc-notes, puis Enregistrer sous ... et cliquer la rubrique Bureau. Dans la case nom de fichier, écrire fixlist et cliquer sur Enregistrer.  

• Puis, à partir du Bureau, faire un clic droit de la souris sur l'icône de FRST ou FRST64 et choisir "Exécuter en tant qu'administrateur".

• Cliquer sur Corriger

     Note : Patienter le temps de la suppression. Le PC va redémarrer.
 
 
   
 
 

• Une fois le PC redémarré, le rapport Fixlog.txt a été créé sur le Bureau.

• Héberger ce rapport sur www.Cjoint.com, puis copier/coller le lien fourni dans ta prochaine réponse sur le forum.

Le nouveau rapport fixlog : http://www.cjoint.com/c/FCwpYbPJcxA
 
Visiblement la première étape a fait quelque chose, puisque de nombreux "REcovER+xfigm" ont disparu dans les dossiers, et les miniatures (enfin les icones) ne sont plus des carrés noirs.

Je te recontacte dans un moment.

C'est bon alors.  
 
Ok, on fait le point : comment se comporte le PC ?
   

Lors du démarrage de l'ordi, les messages de demandes de rançon n'apparaissent plus comme c'était le cas hier, donc c'est déjà une avancée !    
Sinon comme dit précédemment, plus de traces de REcovER+xfigm éparpillé partout dans les dossiers.
 
J'avais également crée des fichiers tests en .doc, pour voir si ils allaient être cryptés, pour l'instant, ils restent accessibles, mais rament un peu à l'ouverture alors qu'ils sont vides.
 
En revanche, l'ordi parait peut être un peu plus lent que d'habitude, surtout lors de l'ouverture des programmes, style internet, c'est peu être une vue de l'esprit aussi    
 
Et juste une petite question supplémentaire : l'ensemble des dossiers musiques ont été modifiés (enfin d'après les dates de modif : 22/03 15h22), pourtant les contenus .mp3 restent accessibles et fonctionnent correctement. Le logiciel de cryptage ne gère pas le .mp3 ? ou alors pas eu le temps de crypter ?
 
Merci encore monk521

Je ne peux pas te répondre précisément au sujet des formats mp3, tout dépend de la version du cryptoware et de son "efficacité".  
 
 
Je t'invite à utiliser Malwarebytes pour rechercher d'autres traces infectieuses.  
 
 
 
==> Malwarebytes Anti-Malwares - programme de sécurité généraliste
 
 

• Télécharger Malwarebytes Anti-Malware.

• Pour installer le programme, faire un double-clic sur le fichier mbam-setup.exe.  

• Lors de l'installation, décocher la case Activer l'essai gratuit de Malwarebytes Anti-Malware Premium.  

• Cliquer sur le bouton Terminer. Le logiciel démarre (il peut être long à s'afficher).  

• Puis, dans la rubrique Paramètres et l'onglet Détection et protection, configurer le logiciel comme ci-dessous:

• Dans l'onglet tableau de bord, cliquer sur Analyser maintenant

• Le logiciel commence l'analyse. Cela peut prendre un certain temps.  
• Laisser travailler l'outil sans l’interrompre jusqu'à ce que l'analyse soit terminée.
• Si des menaces sont détectées, cliquer sur le bouton Supprimer la sélection :

      Note: vérifier que toutes les cases des éléments détectés soient cochées.
 
   
 
 

• Dans la plupart des cas, un redémarrage du PC est demandé.  
• Au redémarrage, relancer Malwarebytes.
• Cliquer sur Historique, puis dans Journaux d'application
• Cliquer sur le dernier rapport Journal d'analyse, celui-ci s'affiche

• Pour poster le rapport, cliquer sur Exporter (en bas à gauche du rapport), puis sur Fichier texte (*.txt).  

• Nommer le fichier mbam et Enregistrer le rapport sur le bureau.

• Héberger le rapport sur www.Cjoint.com, puis copier/coller le lien fourni dans ta prochaine réponse sur le forum.

Voici le rapport : http://www.cjoint.com/c/FCxiQws504G

Ce n'est pas le bon rapport. Mon tuto n'est pas correct.
 
Il faut le dernier journal d'analyse dans la rubrique Historique / Journaux d'application de Malwarebytes.  

Ok le voilà    : http://www.cjoint.com/c/FCxnwDtzvqG

Je te laisse utiliser le programme SFTGC pour nettoyer le PC puis dis-moi si les lenteurs sont propres à un navigateur internet en particulier.  
 
 
SFTGC de Pierre13 – Nettoyage des fichiers temporaires :
 
 

• Télécharger SFTGC.  

• Lancer le programme en faisant un double clic gauche de la souris sur le fichier SFTGC.  

• Le logiciel s'initialise puis s'ouvre.
• Cliquer alors sur le bouton Go pour supprimer les fichiers temporaires inutiles et attendre la fin du nettoyage.

J'ai suivi la procédure, voici le rapport (pas demandé mais bon    ) : http://www.cjoint.com/c/FCxn0RIiF2G
 
J'ai effectivement l'impression qu'internet va plus vite (peut être qu'il est bien "chargé" aussi, pas comme directement après allumage), ça a supprimer un paquet de chose, donc ça a sans doute eu un impact quand même  
Enfin j'utilise pas le plus rapide, je suis avec internet explorer, chrome j'ai essayé mais j'avais un message d'alerte ("mediawatch" de mémoire) à chaque ouverture, donc ça me faisait un peu peur. Je viens de re-tester chrome, visiblement plus de messages !

Dans ce cas, on peut finaliser la maintenance malware avec ce qui suit.
 
 
 
==> Quelques conseils de prudence et de vigilance :    
 
 

• Ne télécharger pas de programmes sur des sites douteux et sur certains sites revendeurs comme 01.net, Softonic, BrotherSoft, ces sites utilisent leur propre installateur et rajoutent pendant l'installation des programmes indésirables LPI/PUP (toolbars, adwares, spywares, hijackers).  

• Préférer les téléchargements chez l'éditeur du programme (le site officiel).  

• Lors de l'installation d'un programme, lire attentivement ce qui est proposé, choisir l'installation personnalisée ou avancée et décocher les programmes additionnels inutiles ou cliquer sur Skip (Passer).

• Filtrer les publicités malicieuses (malvertising) qui peuvent installer des malwares à l'aide du programme Adblock Plus.  

        Pour chaque navigateur internet concerné, copier l'adresse du lien qui se trouve ci-dessous (en faisant un  
        clic droit de la souris + copier l'adresse du lien), ouvrez le navigateur et collez le lien dans la barre
        d'adresse (clic droit + coller). Installer ensuite Adblock Plus.
 
         - pour Internet Explorer
         - pour Mozilla
         - pour Google Chrome  
         - pour Opéra
 

• Attention aux fausses mises à jour, plugins et faux codecs qui sont proposés notamment sur des sites de jeux, de streaming ou de charmes, ceux-ci installent aussi des malwares.

• Au niveau des mails et des réseaux sociaux, n'ouvrez pas des pièces jointes et ne cliquer pas sur des liens dans des messages suspects, ceux-ci pourraient être piégés. Attention également au phishing !    

• Cracks: refuser de télécharger et d'utiliser illégalement des œuvres protégés par un copyright (non libre de droits). En plus d’être passible de sanctions vis-à-vis de la loi et d'Hadopi, ces œuvres piratées en provenance du réseau du P2P, du Direct Down Load ou par tout autre biais sont la source des infections les plus dangereuses.

• Scanner (analyser) régulièrement son PC avec son antivirus résident et vérifier que la base de signatures virales est bien à jour afin de détecter les derniers malwares présents sur le net.  

• Vacciner ses supports amovibles externes (clés Usb, disques dur externes, cartes mémoire, Ipod, MP3…) à l'aide du programme UsbFix car beaucoup d'infections se propagent par ce biais.  

• Sauvegarder sur un disque dur externe vos données personnelles (documents, images, vidéo, musiques) au cas où une panne sérieuse arriverait et empêcherait le PC de redémarrer, ou qu'un malware supprime ou crypte de façon irréversible ces données (sauvegarder sur un disque dur externe non connecté en permanence au PC).

 
 
 
==> Mises à jour de sécurité :  
 
 
Il est important de mettre à jour tous ses programmes et en particulier le système d'exploitation Windows, les navigateurs internet, Adobe Flash Player, Adobe Reader et Java, ces programmes étant les plus attaqués par des exploits qui installent automatiquement des malwares (infection dés la simple visite d'un site web, ouverture d'une pièce jointe, d'un lien,...).
 
L'installation des dernières mises à jour permettent ainsi de sécuriser le PC et de combler les failles par lesquelles les malwares entrent et se développent (explications détaillées dans la rubrique Compléments d'informations).
 
 
 
1- Vérification et mises à jour du système d'exploitation Windows:
 
   

• Pour Windows Vista, 7 et 8 : se rendre dans le Panneau de configuration\Système et sécurité\Windows Update\  et sélectionner Rechercher des mises à jour.

 
 
2- Vérification et mises à jour des navigateurs internet :
 

• Pour Internet Explorer et Microsoft Edge: les mises à jour se font en même temps que celles du système d'exploitation.  
• Pour Mozilla : cliquer sur le menu Mozilla représenté par 3 barres (en haut à droite du programme). Cliquez sur "?", puis “ à propos de Mozilla“.
• Pour Google Chrome : cliquer sur le menu Chrome représenté par 3 barres (en haut à droite), puis “ à propos de Google Chrome ".

 
 
3- Adobe Reader DC: N'est pas à jour, c'est une faille de sécurité importante.
 

• Désinstaller la version actuelle via le panneau de configuration / Programmes / Désinstaller un programme.
• Télécharger et installer la nouvelle version d'Adobe Reader => Site Adobe Reader

Ne pas oublier avant le téléchargement de décocher la case proposant le sponsor McAfee dans les offres facultatives, ce programme ne sert à rien.
 
     
 
     
 
4-Adobe Flash Player : N'est pas à jour, c'est une faille de sécurité importante.
 

• Désinstaller la version actuelle via le panneau de configuration / Programmes / Désinstaller un programme.
• Télécharger et installer la nouvelle mouture d'Adobe Flash Player => Site Adobe Flash Player

Ne pas oublier avant le téléchargement de décocher la case proposant le sponsor McAfee dans les offres facultatives, ce programme ne sert à rien.
 

 
 
 
5- Java : la version de java installée sur ton ordinateur n'est pas à jour:  
 

• Désinstaller l'ancienne ou les anciennes versions de Java via le panneau de configuration / Programmes / Désinstaller un programme.  
• Télécharger et installer la nouvelle version => site de java (cliquer sur téléchargement gratuit de java).

 
 
 
==> Nettoyage complémentaire :    
 
 
 
2- DelFix de Xplode
 
 
Cet outil va permettre d'une part de supprimer tous les outils de désinfection utilisés lors du nettoyage de  
l'ordinateur et d'autre part de purger la restauration système. La purge de la restauration système est importante, elle permet de supprimer tous les points de restauration potentiellement infectés et de créer un nouveau point de restauration exempt de nuisible.  
 

• Télécharger DelFix de Xplode sur le bureau.

• Lancer le programme en faisant un double clic gauche de la souris sur le fichier DelFix.
• Cocher toutes les cases comme indiquer sur l'image ci dessous.
• Cliquer sur Exécuter.

     
 
 
 
 
==> Complément d'informations :  
 
 

• Stop les publicités intempestives adwares et programmes parasites de Malekal.
• Pourquoi mettre à jour son PC contre les failles de sécurité Comment ça marche.net.
• Les risques sécuritaires du P2P Libellules.ch
• Sécuriser son ordinateur et connaitre les menaces de Malekal.

 
 
 
Bonne journée.  

Vous confirmez que les données touchées sont perdues? Ou bien on a fait des progrès depuis le premier post

Il n'y a pas d'avancée pour l'instant.

J'ai effectué toutes les étapes, un dernier rapport delfix obtenu à l'instant : http://www.cjoint.com/c/FCxpz1D7fmG
 
En tout cas, un grand grand merci pour ton aide monk521 ! J'espère ne plus rencontrer de problèmes de ce genre  

Bonsoir, mon PC vient aussi d'être contaminé par RSA 4096 !
J'ai lu les différentes pages du post et j'ai beaucoup apprécié le sérieux et la rapidité des intervenants ; aussi j'ai utilisé comme décrit FRST.
Voici les 2 rapports obtenus :  
http://www.cjoint.com/c/FCzrFhts0Av
http://www.cjoint.com/c/FCzrGEOj86v
 
J'ai lancé malwarebytes qui n'a rien détecté.
Les fichiers cryptés se situent dans une dropbox partagée entre plusieurs PC, pensez vous que je doive lancer malwarebytes/FRST sur chaque PC ou la drop est installée ?
 
Merci d'avance  

Bonsoir,  
 
Oui, vous pouvez lancer Malwarebytes sur les postes, c'est un outil efficace. Pour FRST, s'il n'y a pas trop de poste, je peux regarder aussi.  
 
Analyse des rapports en cours...

Ce PC n'est pas infecté et ne comporte pas de fichier crypté, l'infection n'est pas partie de là.

Merci d'avoir regardé !
Je vais lancer malwarebytes sur les autres postes et posterai quelques rapports par la suite  

J'ai lancé un scan sur un autre poste avec malware bytes ; il m'a trouvé ceci :  
 
 http://www.cjoint.com/c/FCEiPd5MiCv
 
Y aurait t'il un rapport avec RSA 4096 ?

Non pas de rapport avec le cryptoware, ce sont des adwares et des PUP.

ok merci !

Bonjour,  
 
Voilà ma collègue de bureau a chopé sur sa session le rsa4096 en téléchargeant une photo sur le net. Les autres sessions ne sont pas touchées et une grosse partie de ses fichiers sont touchés.  
 
Est ce que je peux vous demander de l'aide pour fixer ce problème. Je suis en train de télécharger zhp et frst pour commencer.  
 
merci d'avance

Bonjour,
 
Oui, pas de problème, je vais désinfecter le PC. Utiliser plutôt FRST.  
 

http://www.cjoint.com/c/FDmj4sX7Xnh
 
http://www.cjoint.com/c/FDmj3ncOSth

Le malware n'est plus présent mais il reste beaucoup de ses messages. Il y a aussi quelques infections de type logiciels indésirables.
 
 
Dans un premier temps, désinstaller les toolbars suivantes via le panneau de configuration :
 
hAqX0ne Toolbar
et
Setuprog Toolbar
 
 
 
Puis, appliquer ce qui suit...
 
 
==> FRST Correction :
 
 

• Appuyer sur les touches du clavier Windows et r.
• Dans la fenêtre, écrire: notepad
• Cliquer sur OK.

• Le bloc-notes s'ouvre.  

• Puis, copier toutes les lignes en gras ci dessous:

    Note: pour copier toutes les lignes, griser de haut en bas les lignes en gras en restant appuyer sur le clic
            gauche de la souris. Puis faire un clic droit de la souris et choisir Copier.
 
 

CloseProcesses:
Cmd: del C:\*{RecOveR}-dtafr__*.* /f/q/s  
Cmd: del C:\*{RecOveR}-euwkx__*.* /f/q/s  
Cmd: del C:\*{RecOveR}-llajm__*.* /f/q/s  
Cmd: del C:\*{RecOveR}-cajko__*.* /f/q/s  
Cmd: del C:\*{RecOveR}-owaeg__*.* /f/q/s  
Cmd: del C:\*{RecOveR}-npcde__*.* /f/q/s  
HKU\S-1-5-21-329068152-2146920427-1801674531-1013\...\Run: [FIX2-csmoyk] => C:\WINDOWS\SYSTEM32\CMD.EXE /C START "" "C:\Documents and Settings\Lorédana\Application Data\wsmprovhost.exe"
HKU\S-1-5-21-329068152-2146920427-1801674531-1013\...\Run: [FIX2-itncxe] => C:\WINDOWS\SYSTEM32\CMD.EXE /C START "" "C:\Documents and Settings\Lorédana\Application Data\wsmprovhost.exe"
HKU\S-1-5-21-329068152-2146920427-1801674531-1013\...\Run: [FIX2-kiffvt] => C:\WINDOWS\SYSTEM32\CMD.EXE /C START "" "C:\Documents and Settings\Lorédana\Application Data\wsmprovhost.exe"
HKU\S-1-5-21-329068152-2146920427-1801674531-1013\...\Run: [FIX2-rkejww] => C:\WINDOWS\SYSTEM32\CMD.EXE /C START "" "C:\Documents and Settings\Lorédana\Application Data\wsmprovhost.exe"
HKU\S-1-5-21-329068152-2146920427-1801674531-1013\...\Run: [FIX2-qmuyyy] => C:\WINDOWS\SYSTEM32\CMD.EXE /C START "" "C:\Documents and Settings\Lorédana\Application Data\wsmprovhost.exe"
HKU\S-1-5-21-329068152-2146920427-1801674531-1013\...\Run: [FIX2-tcuqvr] => C:\WINDOWS\SYSTEM32\CMD.EXE /C START "" "C:\Documents and Settings\Lorédana\Application Data\wsmprovhost.exe"
HKU\S-1-5-21-329068152-2146920427-1801674531-1013\...\Run: [FIX2-bssyni] => C:\WINDOWS\SYSTEM32\CMD.EXE /C START "" "C:\Documents and Settings\Lorédana\Application Data\wsmprovhost.exe"
HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer
HKU\S-1-5-21-329068152-2146920427-1801674531-1013\SOFTWARE\Policies\Microsoft\Internet Explorer
URLSearchHook: [S-1-5-21-329068152-2146920427-1801674531-1004] ATTENTION => URLSearchHook par défaut est absent
URLSearchHook: HKU\S-1-5-21-329068152-2146920427-1801674531-1013 - (Pas de nom) - {68911ec5-507f-4fa3-a19d-de2251898a3a} -  Pas de fichier
URLSearchHook: HKU\S-1-5-21-329068152-2146920427-1801674531-1013 - (Pas de nom) - {f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5} -  Pas de fichier
SearchScopes: HKU\.DEFAULT -> DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2552113
SearchScopes: HKU\.DEFAULT -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2552113
SearchScopes: HKU\S-1-5-21-329068152-2146920427-1801674531-1013 -> DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2552113
SearchScopes: HKU\S-1-5-21-329068152-2146920427-1801674531-1013 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2552113
BHO: Pas de nom -> {f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5} -> Pas de fichier
Toolbar: HKLM - Pas de nom - {68911ec5-507f-4fa3-a19d-de2251898a3a} -  Pas de fichier
Toolbar: HKLM - Pas de nom - {f4ef4468-9bbb-45a1-a2ce-f0c430a9a7e5} -  Pas de fichier
C:\Documents and Settings\Lorédana\Local Settings\Application Data\hAqX0ne
C:\Program Files\hAqX0ne
C:\Documents and Settings\Lorédana\Local Settings\Application Data\Setuprog
C:\Program Files\Setuprog
C:\Documents and Settings\Lorédana\Local Settings\Application Data\Conduit
Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job =>  
Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job =>  
 
 
 

• Dans le bloc-notes ouvert, faire un clic de la souris et choisir Coller (toutes les lignes en gras s'inscrivent).  

• Cliquer sur la rubrique Fichier du bloc-notes, puis Enregistrer sous ... et cliquer la rubrique Bureau. Dans la case nom de fichier, écrire fixlist et cliquer sur Enregistrer.  

• Puis, à partir du Bureau, faire un clic droit de la souris sur l'icône de FRST ou FRST64 et choisir "Exécuter en tant qu'administrateur".

• Cliquer sur Corriger

     Note : Patienter le temps de la suppression. Le PC va redémarrer.
 
 
   
 
 

• Une fois le PC redémarré, le rapport Fixlog.txt a été créé sur le Bureau.

• Héberger ce rapport sur www.Cjoint.com, puis copier/coller le lien fourni dans ta prochaine réponse sur le forum.