Ransomware [restore ***@***].java
Résolu/Fermé
fruitdelame
-
12 mars 2018 à 10:18
hichamaziz Messages postés 28 Date d'inscription lundi 27 avril 2015 Statut Membre Dernière intervention 2 avril 2019 - 15 mars 2018 à 22:28
hichamaziz Messages postés 28 Date d'inscription lundi 27 avril 2015 Statut Membre Dernière intervention 2 avril 2019 - 15 mars 2018 à 22:28
A voir également:
- Ransomware [restore ***@***].java
- Waptrick java football - Télécharger - Jeux vidéo
- Java apk - Télécharger - Langages
- Jeux java itel football - Télécharger - Jeux vidéo
- Patriot memory restore - Télécharger - Récupération de données
- Restore photo io - Télécharger - Retouche d'image
5 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 629
12 mars 2018 à 10:36
12 mars 2018 à 10:36
Salt,
C'est trop tard pour tes fichiers, le mal a été fait.
SpyHunter n'a aucun intérêt, tu es tombé sur un faux site de désinfection bidon pour te le faire installer.
A lire : https://forum.malekal.com/viewtopic.php?t=12847&start=
En ce qui concerne la sécurité de ton serveur, je te conseille de lire ce dossier: https://www.malekal.com/piratage-serveur-windows-terminal-server/
Si tu veux vérifier ton ordinateur :
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.
Trois rapports FRST seront générés :
Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ afin de les partager.
En retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
C'est trop tard pour tes fichiers, le mal a été fait.
SpyHunter n'a aucun intérêt, tu es tombé sur un faux site de désinfection bidon pour te le faire installer.
A lire : https://forum.malekal.com/viewtopic.php?t=12847&start=
En ce qui concerne la sécurité de ton serveur, je te conseille de lire ce dossier: https://www.malekal.com/piratage-serveur-windows-terminal-server/
Si tu veux vérifier ton ordinateur :
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.
Trois rapports FRST seront générés :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ afin de les partager.
En retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
bazfile
Messages postés
53724
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 avril 2024
18 481
Modifié le 12 mars 2018 à 10:56
Modifié le 12 mars 2018 à 10:56
Bonjour,
Fait ce qui est indiqué juste au-dessus et essaie de décrypter avec RakhniDecryptor.
Fait ce qui est indiqué juste au-dessus et essaie de décrypter avec RakhniDecryptor.
fruitdelame
Messages postés
6
Date d'inscription
lundi 12 mars 2018
Statut
Membre
Dernière intervention
13 mars 2018
12 mars 2018 à 13:48
12 mars 2018 à 13:48
Je tente maintenant avec le rakhnidecryptor et vous tiens informer.
Merci
Merci
fruitdelame
Messages postés
6
Date d'inscription
lundi 12 mars 2018
Statut
Membre
Dernière intervention
13 mars 2018
12 mars 2018 à 14:07
12 mars 2018 à 14:07
Ca n'a rien donné, il ne connait pas ce genre de fichier.
Merci pour votre intention. Le problème est que je n'ai aucune sauvegarde de ce serveur.
Merci encore
Merci pour votre intention. Le problème est que je n'ai aucune sauvegarde de ce serveur.
Merci encore
fruitdelame
Messages postés
6
Date d'inscription
lundi 12 mars 2018
Statut
Membre
Dernière intervention
13 mars 2018
12 mars 2018 à 13:33
12 mars 2018 à 13:33
Malekal_morte- ;
Voici les liens de fichiers après l'analyse:
https://pjjoint.malekal.com/files.php?id=FRST_20180312_q11f9d8y11v14
https://pjjoint.malekal.com/files.php?id=20180312_m15b10j11f14u5
https://pjjoint.malekal.com/files.php?id=20180312_x13j5r13m11g14
Je reste à l'attente
Merci
Voici les liens de fichiers après l'analyse:
https://pjjoint.malekal.com/files.php?id=FRST_20180312_q11f9d8y11v14
https://pjjoint.malekal.com/files.php?id=20180312_m15b10j11f14u5
https://pjjoint.malekal.com/files.php?id=20180312_x13j5r13m11g14
Je reste à l'attente
Merci
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 629
Modifié le 12 mars 2018 à 13:49
Modifié le 12 mars 2018 à 13:49
C:\Users\Administrateur\AppData\Local\resmon.resmoncfg.id-DA14639E.[restorehelp@qq.com].java
Dharma ransomware.
Tu peux tenter le lien de bazfile pour récupérer les fichiers.
Mais en général, quand un programme qui permet de décrypter est mis en ligne, le ransomware est corrigé par la suite.
Tente aussi les versions précédentes avec shadow explorer : https://www.malekal.com/versions-precedentes-de-fichiers-windows/
Mais là aussi le ransomware les supprime.
J'imagine que ça ouvre les instructions de paiements ?
Startup: C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-03-11] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-03-12] ()
Startup: C:\Users\IIS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-03-10] ()
il y a des restes de RegClean qui est un utilitaire très limite.
SpyHunter sert à rien.
histoire de nettoyer les restes, ce script fait redémarrer le serveur.
Ensuite, vérifie les comptes utilisateurs qui ont un accès TSE.
Peut-être aussi vérifier la configuration IIS, vu qu'un des scripts tourne sur cet utilitaire.
Des services réseaux sont accessibles depuis internet ?
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
Enregistre le contenu par le menu fichier puis enregistrer.
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Dharma ransomware.
Tu peux tenter le lien de bazfile pour récupérer les fichiers.
Mais en général, quand un programme qui permet de décrypter est mis en ligne, le ransomware est corrigé par la suite.
Tente aussi les versions précédentes avec shadow explorer : https://www.malekal.com/versions-precedentes-de-fichiers-windows/
Mais là aussi le ransomware les supprime.
J'imagine que ça ouvre les instructions de paiements ?
Startup: C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-03-11] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-03-12] ()
Startup: C:\Users\IIS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-03-10] ()
il y a des restes de RegClean qui est un utilitaire très limite.
SpyHunter sert à rien.
histoire de nettoyer les restes, ce script fait redémarrer le serveur.
Ensuite, vérifie les comptes utilisateurs qui ont un accès TSE.
Peut-être aussi vérifier la configuration IIS, vu qu'un des scripts tourne sur cet utilitaire.
Des services réseaux sont accessibles depuis internet ?
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
CreateRestorePoint:
CloseProcesses:
C:\Program Files (x86)\RCP
Startup: C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-03-11] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-03-12] ()
Startup: C:\Users\IIS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-03-10] ()
Task: {09D442E7-8C13-491E-810F-9D90680CF2E7} - System32\Tasks\RegClean Pro => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {3124FFD9-45BF-4AAD-B336-3F7EF85E9D69} - System32\Tasks\RegClean Pro_UPDATES => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {4F72F5CA-0C55-45DE-8203-10F707E676BC} - System32\Tasks\{60F0966C-C2C0-4C30-870F-ACF26D11C8A7} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {524B9F6C-B8AF-4821-909E-003AD8EDA74A} - System32\Tasks\{2038A4A3-3E31-40A9-96C5-7471A3037366} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {8869E18B-0015-4B05-AA16-7A09E2A7962A} - System32\Tasks\{DF46EF93-77AD-457A-94A6-3C5BA8E4A313} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {B0E710E5-B71B-4467-B961-7D6FBE4518BF} - System32\Tasks\{E94B1961-C6CD-4C4B-A3FD-825B1FBC6ADB} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {B6584795-B51C-41A3-AADB-87AEAE4D8E89} - System32\Tasks\RegClean Pro_DEFAULT => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {D714FB4E-07AB-4BC0-A053-E7DD72EDB974} - System32\Tasks\{500C1435-9F4E-4D3D-833E-2F17778F9E6A} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {EAA3B043-E0EC-4D13-B40C-415E7BF51813} - System32\Tasks\{8FD0D93D-1618-4DB1-B778-DDC2B9AC2C71} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {EFD6E7D7-28E9-4332-A9CF-AE6E64E091E7} - System32\Tasks\{D580D423-C8C8-40F3-B880-85258F11805B} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Enregistre le contenu par le menu fichier puis enregistrer.
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
fruitdelame
Messages postés
6
Date d'inscription
lundi 12 mars 2018
Statut
Membre
Dernière intervention
13 mars 2018
12 mars 2018 à 18:56
12 mars 2018 à 18:56
Malekal_morte-
Voici le contenu du log après le fix.
Merci encore pour votre aide. Je dois faire le restauration du système via un DVD, car il y'a certains fichiers systèmes tel que le fichier du management du serveur qui ont été crypté par notre ami le ravisseur. Et ensuite procéder aux installations des applications utiles.
Encore un grand merci.
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 11.03.2018 01
Exécuté par Administrateur (12-03-2018 17:04:55) Run:1
Exécuté depuis C:\Users\Administrateur\Desktop\fixFRST
Profils chargés: Administrateur (Profils disponibles: IIS & Administrateur & MSSQL$ARADIAL_WIFLY & MSSQLFDLauncher$ARADIAL_WIFLY & SQLAgent$ARADIAL_WIFLY & Classic .NET AppPool & .NET v4.5 & .NET v2.0 & .NET v4.5 Classic & .NET v2.0 Classic)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
C:\Program Files (x86)\RCP
Startup: C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-03-11] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-03-12] ()
Startup: C:\Users\IIS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-03-10] ()
Task: {09D442E7-8C13-491E-810F-9D90680CF2E7} - System32\Tasks\RegClean Pro => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {3124FFD9-45BF-4AAD-B336-3F7EF85E9D69} - System32\Tasks\RegClean Pro_UPDATES => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {4F72F5CA-0C55-45DE-8203-10F707E676BC} - System32\Tasks\{60F0966C-C2C0-4C30-870F-ACF26D11C8A7} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {524B9F6C-B8AF-4821-909E-003AD8EDA74A} - System32\Tasks\{2038A4A3-3E31-40A9-96C5-7471A3037366} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {8869E18B-0015-4B05-AA16-7A09E2A7962A} - System32\Tasks\{DF46EF93-77AD-457A-94A6-3C5BA8E4A313} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {B0E710E5-B71B-4467-B961-7D6FBE4518BF} - System32\Tasks\{E94B1961-C6CD-4C4B-A3FD-825B1FBC6ADB} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {B6584795-B51C-41A3-AADB-87AEAE4D8E89} - System32\Tasks\RegClean Pro_DEFAULT => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {D714FB4E-07AB-4BC0-A053-E7DD72EDB974} - System32\Tasks\{500C1435-9F4E-4D3D-833E-2F17778F9E6A} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {EAA3B043-E0EC-4D13-B40C-415E7BF51813} - System32\Tasks\{8FD0D93D-1618-4DB1-B778-DDC2B9AC2C71} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {EFD6E7D7-28E9-4332-A9CF-AE6E64E091E7} - System32\Tasks\{D580D423-C8C8-40F3-B880-85258F11805B} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Erreur: (0) Impossible de créer un point de restauration.
Processus fermé avec succès.
"C:\Program Files (x86)\RCP" => non trouvé(e)
C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta => déplacé(es) avec succès
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta => déplacé(es) avec succès
C:\Users\IIS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{09D442E7-8C13-491E-810F-9D90680CF2E7}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{09D442E7-8C13-491E-810F-9D90680CF2E7}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\RegClean Pro => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\RegClean Pro" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{3124FFD9-45BF-4AAD-B336-3F7EF85E9D69}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3124FFD9-45BF-4AAD-B336-3F7EF85E9D69}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\RegClean Pro_UPDATES => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\RegClean Pro_UPDATES" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{4F72F5CA-0C55-45DE-8203-10F707E676BC}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{4F72F5CA-0C55-45DE-8203-10F707E676BC}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\{60F0966C-C2C0-4C30-870F-ACF26D11C8A7} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{60F0966C-C2C0-4C30-870F-ACF26D11C8A7}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{524B9F6C-B8AF-4821-909E-003AD8EDA74A}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{524B9F6C-B8AF-4821-909E-003AD8EDA74A}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\{2038A4A3-3E31-40A9-96C5-7471A3037366} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{2038A4A3-3E31-40A9-96C5-7471A3037366}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{8869E18B-0015-4B05-AA16-7A09E2A7962A}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8869E18B-0015-4B05-AA16-7A09E2A7962A}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\{DF46EF93-77AD-457A-94A6-3C5BA8E4A313} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{DF46EF93-77AD-457A-94A6-3C5BA8E4A313}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{B0E710E5-B71B-4467-B961-7D6FBE4518BF}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B0E710E5-B71B-4467-B961-7D6FBE4518BF}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\{E94B1961-C6CD-4C4B-A3FD-825B1FBC6ADB} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{E94B1961-C6CD-4C4B-A3FD-825B1FBC6ADB}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{B6584795-B51C-41A3-AADB-87AEAE4D8E89}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B6584795-B51C-41A3-AADB-87AEAE4D8E89}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\RegClean Pro_DEFAULT => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\RegClean Pro_DEFAULT" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{D714FB4E-07AB-4BC0-A053-E7DD72EDB974}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D714FB4E-07AB-4BC0-A053-E7DD72EDB974}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\{500C1435-9F4E-4D3D-833E-2F17778F9E6A} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{500C1435-9F4E-4D3D-833E-2F17778F9E6A}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{EAA3B043-E0EC-4D13-B40C-415E7BF51813}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EAA3B043-E0EC-4D13-B40C-415E7BF51813}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\{8FD0D93D-1618-4DB1-B778-DDC2B9AC2C71} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{8FD0D93D-1618-4DB1-B778-DDC2B9AC2C71}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{EFD6E7D7-28E9-4332-A9CF-AE6E64E091E7}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EFD6E7D7-28E9-4332-A9CF-AE6E64E091E7}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\{D580D423-C8C8-40F3-B880-85258F11805B} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{D580D423-C8C8-40F3-B880-85258F11805B}" => supprimé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.
========= RemoveProxy: =========
"HKU\S-1-5-21-3548782765-391072885-3921941734-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3548782765-391072885-3921941734-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
========= Fin de RemoveProxy: =========
=========== EmptyTemp: ==========
BITS transfer queue => 9961980 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 21033564 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 1564831 B
Edge => 0 B
Chrome => 20728148 B
Firefox => 0 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 128 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 0 B
IIS => 66344 B
Administrateur => 603015 B
MSSQL$ARADIAL_WIFLY => 0 B
MSSQLFDLauncher$ARADIAL_WIFLY => 0 B
SQLAgent$ARADIAL_WIFLY => 0 B
Classic .NET AppPool => 0 B
.NET v4.5 => 0 B
.NET v2.0 => 0 B
.NET v4.5 Classic => 0 B
.NET v2.0 Classic => 0 B
RecycleBin => 11044278 B
EmptyTemp: => 62 MB données temporaires supprimées.
================================
Le système a dû redémarrer.
Voici le contenu du log après le fix.
Merci encore pour votre aide. Je dois faire le restauration du système via un DVD, car il y'a certains fichiers systèmes tel que le fichier du management du serveur qui ont été crypté par notre ami le ravisseur. Et ensuite procéder aux installations des applications utiles.
Encore un grand merci.
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 11.03.2018 01
Exécuté par Administrateur (12-03-2018 17:04:55) Run:1
Exécuté depuis C:\Users\Administrateur\Desktop\fixFRST
Profils chargés: Administrateur (Profils disponibles: IIS & Administrateur & MSSQL$ARADIAL_WIFLY & MSSQLFDLauncher$ARADIAL_WIFLY & SQLAgent$ARADIAL_WIFLY & Classic .NET AppPool & .NET v4.5 & .NET v2.0 & .NET v4.5 Classic & .NET v2.0 Classic)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
C:\Program Files (x86)\RCP
Startup: C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-03-11] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-03-12] ()
Startup: C:\Users\IIS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2018-03-10] ()
Task: {09D442E7-8C13-491E-810F-9D90680CF2E7} - System32\Tasks\RegClean Pro => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {3124FFD9-45BF-4AAD-B336-3F7EF85E9D69} - System32\Tasks\RegClean Pro_UPDATES => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {4F72F5CA-0C55-45DE-8203-10F707E676BC} - System32\Tasks\{60F0966C-C2C0-4C30-870F-ACF26D11C8A7} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {524B9F6C-B8AF-4821-909E-003AD8EDA74A} - System32\Tasks\{2038A4A3-3E31-40A9-96C5-7471A3037366} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {8869E18B-0015-4B05-AA16-7A09E2A7962A} - System32\Tasks\{DF46EF93-77AD-457A-94A6-3C5BA8E4A313} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {B0E710E5-B71B-4467-B961-7D6FBE4518BF} - System32\Tasks\{E94B1961-C6CD-4C4B-A3FD-825B1FBC6ADB} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {B6584795-B51C-41A3-AADB-87AEAE4D8E89} - System32\Tasks\RegClean Pro_DEFAULT => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {D714FB4E-07AB-4BC0-A053-E7DD72EDB974} - System32\Tasks\{500C1435-9F4E-4D3D-833E-2F17778F9E6A} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {EAA3B043-E0EC-4D13-B40C-415E7BF51813} - System32\Tasks\{8FD0D93D-1618-4DB1-B778-DDC2B9AC2C71} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Task: {EFD6E7D7-28E9-4332-A9CF-AE6E64E091E7} - System32\Tasks\{D580D423-C8C8-40F3-B880-85258F11805B} => C:\Program Files (x86)\RCP\RegCleanPro.exe <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Erreur: (0) Impossible de créer un point de restauration.
Processus fermé avec succès.
"C:\Program Files (x86)\RCP" => non trouvé(e)
C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta => déplacé(es) avec succès
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta => déplacé(es) avec succès
C:\Users\IIS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{09D442E7-8C13-491E-810F-9D90680CF2E7}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{09D442E7-8C13-491E-810F-9D90680CF2E7}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\RegClean Pro => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\RegClean Pro" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{3124FFD9-45BF-4AAD-B336-3F7EF85E9D69}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3124FFD9-45BF-4AAD-B336-3F7EF85E9D69}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\RegClean Pro_UPDATES => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\RegClean Pro_UPDATES" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{4F72F5CA-0C55-45DE-8203-10F707E676BC}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{4F72F5CA-0C55-45DE-8203-10F707E676BC}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\{60F0966C-C2C0-4C30-870F-ACF26D11C8A7} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{60F0966C-C2C0-4C30-870F-ACF26D11C8A7}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{524B9F6C-B8AF-4821-909E-003AD8EDA74A}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{524B9F6C-B8AF-4821-909E-003AD8EDA74A}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\{2038A4A3-3E31-40A9-96C5-7471A3037366} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{2038A4A3-3E31-40A9-96C5-7471A3037366}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{8869E18B-0015-4B05-AA16-7A09E2A7962A}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8869E18B-0015-4B05-AA16-7A09E2A7962A}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\{DF46EF93-77AD-457A-94A6-3C5BA8E4A313} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{DF46EF93-77AD-457A-94A6-3C5BA8E4A313}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{B0E710E5-B71B-4467-B961-7D6FBE4518BF}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B0E710E5-B71B-4467-B961-7D6FBE4518BF}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\{E94B1961-C6CD-4C4B-A3FD-825B1FBC6ADB} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{E94B1961-C6CD-4C4B-A3FD-825B1FBC6ADB}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{B6584795-B51C-41A3-AADB-87AEAE4D8E89}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B6584795-B51C-41A3-AADB-87AEAE4D8E89}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\RegClean Pro_DEFAULT => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\RegClean Pro_DEFAULT" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{D714FB4E-07AB-4BC0-A053-E7DD72EDB974}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D714FB4E-07AB-4BC0-A053-E7DD72EDB974}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\{500C1435-9F4E-4D3D-833E-2F17778F9E6A} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{500C1435-9F4E-4D3D-833E-2F17778F9E6A}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{EAA3B043-E0EC-4D13-B40C-415E7BF51813}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EAA3B043-E0EC-4D13-B40C-415E7BF51813}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\{8FD0D93D-1618-4DB1-B778-DDC2B9AC2C71} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{8FD0D93D-1618-4DB1-B778-DDC2B9AC2C71}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{EFD6E7D7-28E9-4332-A9CF-AE6E64E091E7}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EFD6E7D7-28E9-4332-A9CF-AE6E64E091E7}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\{D580D423-C8C8-40F3-B880-85258F11805B} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{D580D423-C8C8-40F3-B880-85258F11805B}" => supprimé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.
========= RemoveProxy: =========
"HKU\S-1-5-21-3548782765-391072885-3921941734-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-3548782765-391072885-3921941734-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
========= Fin de RemoveProxy: =========
=========== EmptyTemp: ==========
BITS transfer queue => 9961980 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 21033564 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 1564831 B
Edge => 0 B
Chrome => 20728148 B
Firefox => 0 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 128 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 0 B
IIS => 66344 B
Administrateur => 603015 B
MSSQL$ARADIAL_WIFLY => 0 B
MSSQLFDLauncher$ARADIAL_WIFLY => 0 B
SQLAgent$ARADIAL_WIFLY => 0 B
Classic .NET AppPool => 0 B
.NET v4.5 => 0 B
.NET v2.0 => 0 B
.NET v4.5 Classic => 0 B
.NET v2.0 Classic => 0 B
RecycleBin => 11044278 B
EmptyTemp: => 62 MB données temporaires supprimées.
================================
Le système a dû redémarrer.
Fin de Fixlog 17:04:58
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 629
12 mars 2018 à 19:15
12 mars 2018 à 19:15
ok, sécurise bien les accès aux services réseaux car sinon ça va revenir tôt ou tard.
fruitdelame
Messages postés
6
Date d'inscription
lundi 12 mars 2018
Statut
Membre
Dernière intervention
13 mars 2018
13 mars 2018 à 14:25
13 mars 2018 à 14:25
Merci beaucoup
hichamaziz
Messages postés
28
Date d'inscription
lundi 27 avril 2015
Statut
Membre
Dernière intervention
2 avril 2019
1
>
fruitdelame
Messages postés
6
Date d'inscription
lundi 12 mars 2018
Statut
Membre
Dernière intervention
13 mars 2018
15 mars 2018 à 22:28
15 mars 2018 à 22:28
merci
12 mars 2018 à 13:49
Merci.