Sujet Précédent Sujet Suivant

Infection rancongiciel cerber

Fermé
Afka - Modifié par Malekal_morte- le 29/04/2016 à 10:50
kardegil Messages postés 1697 Date d'inscription mardi 21 juin 2005 Statut Membre Dernière intervention 14 septembre 2020 - 29 avril 2016 à 16:39
Bonjour,

Je viens vers vous car j'ai cru comprendre m'être fait infecté par un rancongiciel type cerber... En effet tout mes fichiers situé sur mon drive, sur mon pc se sont retrouvé infecté. Toute la compta de mon entreprise est devenue inutilisable! J'ai essayé de restaurer mon pc a une date antérieure mais impossible..

Aidez moi! merci



8 réponses

Réponse 1 / 8
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
29 avril 2016 à 10:07
Salut,

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.

Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.

1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.


0
Réponse 2 / 8
Afka
29 avril 2016 à 10:26
Salut,


Je te remercie du coup de pouce,

voici les liens avec les rapports de scan

http://pjjoint.malekal.com/files.php?id=20160429_n7w13g910m15

http://pjjoint.malekal.com/files.php?id=FRST_20160429_f7k13t9n12e11

http://pjjoint.malekal.com/files.php?id=20160429_13k12t9w13t8
0
Réponse 3 / 8
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
29 avril 2016 à 10:45
Suis ces deux étapes :

1/

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 

CreateRestorePoint:
CloseProcesses:
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [runas] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\runas.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [verclsid] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\verclsid.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [syskey] => C:\Users\Nicolas\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\syskey.exe [160423 2014-03-20] ()  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [w32tm] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\w32tm.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [Utilman] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\Utilman.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [ktmutil] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\ktmutil.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [certreq] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\certreq.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [ipconfig] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\ipconfig.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [instnm] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\instnm.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [CertEnrollCtrl] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\CertEnrollCtrl.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [EaseOfAccessDialog] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\EaseOfAccessDialog.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [eventvwr] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\eventvwr.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [help] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\help.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [cmdkey] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\cmdkey.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [HOSTNAME] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\HOSTNAME.EXE  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [rasphone] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\rasphone.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [pcaui] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\pcaui.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [newdev] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\newdev.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [CloudStorageWizard] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\CloudStorageWizard.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [sdbinst] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\sdbinst.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [DisplaySwitch] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\DisplaySwitch.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [expand] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\expand.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [dialer] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\dialer.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [ieUnatt] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\ieUnatt.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [sc] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\sc.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [xwizard] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\xwizard.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [dccw] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\dccw.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [WerFaultSecure] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\WerFaultSecure.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [ARP] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\ARP.EXE  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [setx] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\setx.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [CheckNetIsolation] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\CheckNetIsolation.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [getmac] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\getmac.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [LocationNotifications] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\LocationNotifications.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [TapiUnattend] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\TapiUnattend.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [UserAccountControlSettings] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\UserAccountControlSettings.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [fc] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\fc.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [ndadmin] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\ndadmin.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [OpenWith] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\OpenWith.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [rdrleakdiag] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\rdrleakdiag.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [RMActivate_ssp] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\RMActivate_ssp.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [sdchange] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\sdchange.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [fsutil] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\fsutil.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [raserver] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\raserver.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [cipher] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\cipher.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [wusa] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\wusa.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [choice] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\choice.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [runas] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\runas.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [verclsid] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\verclsid.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [syskey] => C:\Users\Nicolas\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\syskey.exe [160423 2014-03-20] ()  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [w32tm] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\w32tm.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [Utilman] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\Utilman.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [ktmutil] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\ktmutil.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [certreq] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\certreq.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [ipconfig] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\ipconfig.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [instnm] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\instnm.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [CertEnrollCtrl] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\CertEnrollCtrl.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [EaseOfAccessDialog] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\EaseOfAccessDialog.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [eventvwr] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\eventvwr.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [help] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\help.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [cmdkey] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\cmdkey.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [HOSTNAME] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\HOSTNAME.EXE  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [rasphone] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\rasphone.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [pcaui] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\pcaui.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [newdev] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\newdev.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [CloudStorageWizard] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\CloudStorageWizard.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [sdbinst] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\sdbinst.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [DisplaySwitch] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\DisplaySwitch.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [expand] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\expand.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [dialer] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\dialer.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [ieUnatt] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\ieUnatt.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [sc] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\sc.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [xwizard] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\xwizard.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [dccw] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\dccw.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [WerFaultSecure] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\WerFaultSecure.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [ARP] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\ARP.EXE  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [setx] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\setx.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [CheckNetIsolation] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\CheckNetIsolation.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [getmac] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\getmac.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [LocationNotifications] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\LocationNotifications.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [TapiUnattend] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\TapiUnattend.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [UserAccountControlSettings] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\UserAccountControlSettings.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [fc] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\fc.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [ndadmin] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\ndadmin.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [OpenWith] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\OpenWith.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [rdrleakdiag] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\rdrleakdiag.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [RMActivate_ssp] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\RMActivate_ssp.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [sdchange] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\sdchange.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [fsutil] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\fsutil.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [raserver] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\raserver.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [cipher] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\cipher.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [wusa] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\wusa.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [choice] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\choice.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Policies\Explorer: [Run] C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\choice.exe  
 HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Command Processor: C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\choice.exe <===== ATTENTION  
 HKU\S-1-5-18\...\Run: [runas] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\runas.exe 
 HKU\S-1-5-18\...\Run: [verclsid] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\verclsid.exe 
 HKU\S-1-5-18\...\Run: [syskey] => C:\Users\Nicolas\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\syskey.exe [160423 2014-03-20] () 
 HKU\S-1-5-18\...\Run: [w32tm] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\w32tm.exe 
 HKU\S-1-5-18\...\Run: [Utilman] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\Utilman.exe 
 HKU\S-1-5-18\...\Run: [ktmutil] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\ktmutil.exe 
 HKU\S-1-5-18\...\Run: [certreq] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\certreq.exe 
 HKU\S-1-5-18\...\Run: [ipconfig] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\ipconfig.exe 
 HKU\S-1-5-18\...\Run: [instnm] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\instnm.exe 
 HKU\S-1-5-18\...\Run: [CertEnrollCtrl] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\CertEnrollCtrl.exe 
 HKU\S-1-5-18\...\Run: [EaseOfAccessDialog] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\EaseOfAccessDialog.exe 
 HKU\S-1-5-18\...\Run: [eventvwr] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\eventvwr.exe 
 HKU\S-1-5-18\...\Run: [help] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\help.exe 
 HKU\S-1-5-18\...\Run: [cmdkey] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\cmdkey.exe 
 HKU\S-1-5-18\...\Run: [HOSTNAME] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\HOSTNAME.EXE 
 HKU\S-1-5-18\...\Run: [rasphone] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\rasphone.exe 
 HKU\S-1-5-18\...\Run: [pcaui] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\pcaui.exe 
 HKU\S-1-5-18\...\Run: [newdev] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\newdev.exe 
 HKU\S-1-5-18\...\Run: [CloudStorageWizard] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\CloudStorageWizard.exe 
 HKU\S-1-5-18\...\Run: [sdbinst] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\sdbinst.exe 
 HKU\S-1-5-18\...\Run: [DisplaySwitch] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\DisplaySwitch.exe 
 HKU\S-1-5-18\...\Run: [expand] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\expand.exe 
 HKU\S-1-5-18\...\Run: [dialer] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\dialer.exe 
 HKU\S-1-5-18\...\Run: [ieUnatt] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\ieUnatt.exe 
 HKU\S-1-5-18\...\Run: [sc] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\sc.exe 
 HKU\S-1-5-18\...\Run: [xwizard] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\xwizard.exe 
 HKU\S-1-5-18\...\Run: [dccw] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\dccw.exe 
 HKU\S-1-5-18\...\Run: [WerFaultSecure] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\WerFaultSecure.exe 
 HKU\S-1-5-18\...\Run: [ARP] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\ARP.EXE 
 HKU\S-1-5-18\...\Run: [setx] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\setx.exe 
 HKU\S-1-5-18\...\Run: [CheckNetIsolation] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\CheckNetIsolation.exe 
 HKU\S-1-5-18\...\Run: [getmac] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\getmac.exe 
 HKU\S-1-5-18\...\Run: [LocationNotifications] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\LocationNotifications.exe 
 HKU\S-1-5-18\...\Run: [TapiUnattend] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\TapiUnattend.exe 
 HKU\S-1-5-18\...\Run: [UserAccountControlSettings] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\UserAccountControlSettings.exe 
 HKU\S-1-5-18\...\Run: [fc] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\fc.exe 
 HKU\S-1-5-18\...\Run: [ndadmin] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\ndadmin.exe 
 HKU\S-1-5-18\...\Run: [OpenWith] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\OpenWith.exe 
 HKU\S-1-5-18\...\Run: [rdrleakdiag] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\rdrleakdiag.exe 
 HKU\S-1-5-18\...\Run: [RMActivate_ssp] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\RMActivate_ssp.exe 
 HKU\S-1-5-18\...\Run: [sdchange] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\sdchange.exe 
 HKU\S-1-5-18\...\Run: [fsutil] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\fsutil.exe 
 HKU\S-1-5-18\...\Run: [raserver] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\raserver.exe 
 HKU\S-1-5-18\...\Run: [cipher] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\cipher.exe 
 HKU\S-1-5-18\...\Run: [wusa] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\wusa.exe 
 HKU\S-1-5-18\...\Run: [choice] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\choice.exe 
 HKU\S-1-5-18\...\RunOnce: [runas] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\runas.exe 
 HKU\S-1-5-18\...\RunOnce: [verclsid] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\verclsid.exe 
 HKU\S-1-5-18\...\RunOnce: [syskey] => C:\Users\Nicolas\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\syskey.exe [160423 2014-03-20] () 
 HKU\S-1-5-18\...\RunOnce: [w32tm] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\w32tm.exe 
 HKU\S-1-5-18\...\RunOnce: [Utilman] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\Utilman.exe 
 HKU\S-1-5-18\...\RunOnce: [ktmutil] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\ktmutil.exe 
 HKU\S-1-5-18\...\RunOnce: [certreq] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\certreq.exe 
 HKU\S-1-5-18\...\RunOnce: [ipconfig] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\ipconfig.exe 
 HKU\S-1-5-18\...\RunOnce: [instnm] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\instnm.exe 
 HKU\S-1-5-18\...\RunOnce: [CertEnrollCtrl] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\CertEnrollCtrl.exe 
 HKU\S-1-5-18\...\RunOnce: [EaseOfAccessDialog] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\EaseOfAccessDialog.exe 
 HKU\S-1-5-18\...\RunOnce: [eventvwr] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\eventvwr.exe 
 HKU\S-1-5-18\...\RunOnce: [help] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\help.exe 
 HKU\S-1-5-18\...\RunOnce: [cmdkey] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\cmdkey.exe 
 HKU\S-1-5-18\...\RunOnce: [HOSTNAME] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\HOSTNAME.EXE 
 HKU\S-1-5-18\...\RunOnce: [rasphone] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\rasphone.exe 
 HKU\S-1-5-18\...\RunOnce: [pcaui] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\pcaui.exe 
 HKU\S-1-5-18\...\RunOnce: [newdev] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\newdev.exe 
 HKU\S-1-5-18\...\RunOnce: [CloudStorageWizard] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\CloudStorageWizard.exe 
 HKU\S-1-5-18\...\RunOnce: [sdbinst] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\sdbinst.exe 
 HKU\S-1-5-18\...\RunOnce: [DisplaySwitch] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\DisplaySwitch.exe 
 HKU\S-1-5-18\...\RunOnce: [expand] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\expand.exe 
 HKU\S-1-5-18\...\RunOnce: [dialer] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\dialer.exe 
 HKU\S-1-5-18\...\RunOnce: [ieUnatt] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\ieUnatt.exe 
 HKU\S-1-5-18\...\RunOnce: [sc] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\sc.exe 
 HKU\S-1-5-18\...\RunOnce: [xwizard] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\xwizard.exe 
 HKU\S-1-5-18\...\RunOnce: [dccw] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\dccw.exe 
 HKU\S-1-5-18\...\RunOnce: [WerFaultSecure] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\WerFaultSecure.exe 
 HKU\S-1-5-18\...\RunOnce: [ARP] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\ARP.EXE 
 HKU\S-1-5-18\...\RunOnce: [setx] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\setx.exe 
 HKU\S-1-5-18\...\RunOnce: [CheckNetIsolation] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\CheckNetIsolation.exe 
 HKU\S-1-5-18\...\RunOnce: [getmac] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\getmac.exe 
 HKU\S-1-5-18\...\RunOnce: [LocationNotifications] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\LocationNotifications.exe 
 HKU\S-1-5-18\...\RunOnce: [TapiUnattend] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\TapiUnattend.exe 
 HKU\S-1-5-18\...\RunOnce: [UserAccountControlSettings] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\UserAccountControlSettings.exe 
 HKU\S-1-5-18\...\RunOnce: [fc] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\fc.exe 
 HKU\S-1-5-18\...\RunOnce: [ndadmin] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\ndadmin.exe 
 HKU\S-1-5-18\...\RunOnce: [OpenWith] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\OpenWith.exe 
 HKU\S-1-5-18\...\RunOnce: [rdrleakdiag] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\rdrleakdiag.exe 
 HKU\S-1-5-18\...\RunOnce: [RMActivate_ssp] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\RMActivate_ssp.exe 
 HKU\S-1-5-18\...\RunOnce: [sdchange] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\sdchange.exe 
 HKU\S-1-5-18\...\RunOnce: [fsutil] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\fsutil.exe 
 HKU\S-1-5-18\...\RunOnce: [raserver] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\raserver.exe 
 HKU\S-1-5-18\...\RunOnce: [cipher] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\cipher.exe 
 HKU\S-1-5-18\...\RunOnce: [wusa] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\wusa.exe 
 HKU\S-1-5-18\...\RunOnce: [choice] => C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\choice.exe 
 HKU\S-1-5-18\...\Policies\Explorer: [Run] C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\choice.exe 
 HKU\S-1-5-18\...\Command Processor: C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\choice.exe <===== ATTENTION 
 HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Windows\system32\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\choice.exe 
 2016-04-27 22:34 - 2016-04-27 22:34 - 00012834 _____ C:\Users\Nicolas\Desktop\# DECRYPT MY FILES #.html 
 2016-04-27 22:34 - 2016-04-27 22:34 - 00011382 _____ C:\Users\Nicolas\Desktop\# DECRYPT MY FILES #.txt 
 2016-04-27 22:34 - 2016-04-27 22:34 - 00000204 _____ C:\Users\Nicolas\Desktop\# DECRYPT MY FILES #.vbs 
 2016-04-27 22:33 - 2016-04-27 22:33 - 00012834 _____ C:\Users\Nicolas\AppData\# DECRYPT MY FILES #.html 
2016-04-27 22:33 - 2016-04-27 22:33 - 00012834 _____ C:\Users\Nicolas\# DECRYPT MY FILES #.html 
 2016-04-27 22:33 - 2016-04-27 22:33 - 00011382 _____ C:\Users\Nicolas\AppData\# DECRYPT MY FILES #.txt 
2016-04-27 22:33 - 2016-04-27 22:33 - 00011382 _____ C:\Users\Nicolas\# DECRYPT MY FILES #.txt 
 2016-04-27 22:33 - 2016-04-27 22:33 - 00000204 _____ C:\Users\Nicolas\AppData\# DECRYPT MY FILES #.vbs 
2016-04-27 22:33 - 2016-04-27 22:33 - 00000204 _____ C:\Users\Nicolas\# DECRYPT MY FILES #.vbs 
2016-04-27 22:05 - 2016-04-27 22:05 - 00012834 _____ C:\# DECRYPT MY FILES #.html 
2016-04-27 22:05 - 2016-04-27 22:05 - 00011382 _____ C:\# DECRYPT MY FILES #.txt 
2016-04-27 22:05 - 2016-04-27 22:05 - 00000204 _____ C:\# DECRYPT MY FILES #.vbs 
 2016-04-27 22:02 - 2016-04-27 22:02 - 00012834 _____ C:\Users\Nicolas\Downloads\# DECRYPT MY FILES #.html 
 2016-04-27 22:02 - 2016-04-27 22:02 - 00012834 _____ C:\Users\Nicolas\Documents\# DECRYPT MY FILES #.html 
 2016-04-27 22:02 - 2016-04-27 22:02 - 00011382 _____ C:\Users\Nicolas\Downloads\# DECRYPT MY FILES #.txt 
 2016-04-27 22:02 - 2016-04-27 22:02 - 00011382 _____ C:\Users\Nicolas\Documents\# DECRYPT MY FILES #.txt 
 2016-04-27 22:02 - 2016-04-27 22:02 - 00000204 _____ C:\Users\Nicolas\Downloads\# DECRYPT MY FILES #.vbs 
 2016-04-27 22:02 - 2016-04-27 22:02 - 00000204 _____ C:\Users\Nicolas\Documents\# DECRYPT MY FILES #.vbs 
 2016-04-26 12:11 - 2016-04-26 12:11 - 00032768 _____ C:\Users\Nicolas\AppData\Roaming\ProxySettings.dll 
  () C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\{83AC439E-FDF6-C4B3-26B7-E87FFC619375}\
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,

Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.

2/
Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
0
Réponse 4 / 8
Afka
29 avril 2016 à 10:57
L'upload est fait! Qu'en est il de la suite?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 8
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
29 avril 2016 à 11:04
merci :)


Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur http://pjjoint.malekal.com/ et donne le lien ici.

puis refais un scan FRST et donne les rapports via pjjoint.
0
Réponse 6 / 8
Afka
29 avril 2016 à 12:32
Je n'ai pas réussi a avoir de rapport a enregistrer pour le scan nod32.

Voici les rapports FRST (yen a que 2):

http://pjjoint.malekal.com/files.php?id=20160429_c9w15k14x15t8

http://pjjoint.malekal.com/files.php?id=FRST_20160429_j11b10e10p7v9
0
Afka
29 avril 2016 à 12:36
Faut il que je relance le scan nod32?
0
Réponse 7 / 8
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
29 avril 2016 à 12:54
C'est normal ce proxy 178.32.218.104:3128 ?

Sinon c'est correct, change tous tes mots de passe et sécurise ton ordinateur pour ne pas te faire réinfecter..



Comment se protéger des scripts malicieux sur Windows

Renforce la sécurité de ton Windows : Comment sécuriser mon Windows


0
Réponse 8 / 8
Afka
29 avril 2016 à 13:09
Ok merci... mais qu'en est il des documents infectés? J'avais des fichiers relativement important et même mon onedrive s'est vu infecté, comment procéder pour les récupérer?
0
kardegil Messages postés 1697 Date d'inscription mardi 21 juin 2005 Statut Membre Dernière intervention 14 septembre 2020 304
29 avril 2016 à 16:39
Bonjour,

Malekal morte t'a répondu, relis bien sa réponse.
0

Discussions similaires

Infection d'une URL.blacklist
marina41 -
Malekal_morte- -

6 réponses
Cerber Randomware
Corinne -
Corinne -

2 réponses
Infecté / "CERBER" : Comment décrypter, récupérer ses fichiers?
dartagnan_92 -
Malekal_morte- -

2 réponses
Infection ?
Tomy -
MisteryBean -

10 réponses
rancongiciel avec mot de passe donné
commis1 -
Malekal_morte- -

44 réponses