Menu

Virus GrandCrab extension .Crab [Résolu]

Messages postés
11
Date d'inscription
mercredi 15 août 2018
Dernière intervention
27 août 2018
-
Bonjour,

Comme l'annonce le titre mon PC est infecté. J'ai WINDOWS 10. Connaissez-vous une procédure ou un logiciel pour m'en débarrasser ? Merci
Afficher la suite 

Votre réponse

11 réponses

Messages postés
162011
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur
Dernière intervention
22 janvier 2019
20853
0
Merci
Salut,

Extension sur un navigateur ou l'extension des fichiers a changé ?


Pour vérifier l'ordinateur, je t'invite à faire cette analyse FRST et donner les rapports en retour :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ afin de les partager.
En retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.




Commenter la réponse de Malekal_morte-
Messages postés
11
Date d'inscription
mercredi 15 août 2018
Dernière intervention
27 août 2018
0
Merci
Bonsoir et merci pour ta réponse,

Il s'agit de l'extension des fichiers. Le bureau est noir avec cette inscription : ENCRYPTED BY GRANCRAB 3. YOUR FILES ARE UNDER STRONG PROTECTION BY OUR SOFTWARE. IN ORDER TO RESTORE IT YOU MUST BUY DESCRYPTOR. For further steps read CRAB.DECRYPT.txt that is located in every encrypted folder.

Effectivement dans chaque dossier il y a ce fichier : https://pjjoint.malekal.com/files.php?id=20180816_f7e5w10j6z11

Voici les 3 liens que tu m'as demandés :
https://pjjoint.malekal.com/files.php?id=FRST_20180816_w5o6y12k5b13
https://pjjoint.malekal.com/files.php?id=20180816_o9r14s12l6m15
https://pjjoint.malekal.com/files.php?id=20180816_11r9s13h8u12

Je ne sais pas comment c'est arrivé c'est le PC d'un ami.

Merci pour ton aide
Commenter la réponse de Pass07
Messages postés
162011
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur
Dernière intervention
22 janvier 2019
20853
0
Merci
ok c'est le GrandCrab (.Crab) Crypto-Ransomware.
Je vais éditer le titre pour que ce soit plus clair.

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Tu peux tout de même tenter les version précédentes avec Shadow Explorer
Garde les fichiers quelques mois et surveille cette page pour d'éventuelle solution à l'avenir et un outil qui permet de récupérer les fichiers : Liste des DecryptTools pour les ransomwares


~~


Tu as des programmes qui ont été installés à l'achat de l'ordinateur ou installés par la suite et qui sont pas forcément utiles.
Ils encombrent Windows et peuvent le ralentir.
Tu peux donc les désinstaller.
Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :

Norton Security (sauf si tu utilises bien entendu)
Spybot - Search & Destroy (totalement inefficace)
WildTangent Games App




Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

CreateRestorePoint:
CloseProcesses:
Task: {F7591FC4-0BAF-480A-ACD3-D7139A5CDD27} - System32\Tasks\YTAUpdate => C:\PROGRA~2\YOUTUB~1\Updater.exe <==== ATTENTION
Startup: C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CRAB-DECRYPT.txt [2018-05-11] ()
Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CRAB-DECRYPT.txt [2018-05-11] ()
Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CRAB-DECRYPT.txt [2018-05-11] ()
Startup: C:\Users\PETIT-FRERE David\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Envoyer à OneNote.lnk [2017-09-17]
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
RemoveProxy:
Reboot:


Enregistre le contenu par le menu fichier puis enregistrer.

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

Commenter la réponse de Malekal_morte-
Messages postés
11
Date d'inscription
mercredi 15 août 2018
Dernière intervention
27 août 2018
0
Merci
Bonjour Malekal,

J'ai désinstallé les 3 programmes.

Voici le contenu de Fixlog :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 02.08.2018
Exécuté par PETIT-FRERE David (16-08-2018 12:07:15) Run:1
Exécuté depuis C:\Users\PETIT-FRERE David\Downloads
Profils chargés: PETIT-FRERE David (Profils disponibles: PETIT-FRERE David)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
Task: {F7591FC4-0BAF-480A-ACD3-D7139A5CDD27} - System32\Tasks\YTAUpdate => C:\PROGRA~2\YOUTUB~1\Updater.exe <==== ATTENTION
Startup: C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CRAB-DECRYPT.txt [2018-05-11] ()
Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CRAB-DECRYPT.txt [2018-05-11] ()
Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CRAB-DECRYPT.txt [2018-05-11] ()
Startup: C:\Users\PETIT-FRERE David\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Envoyer à OneNote.lnk [2017-09-17]
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
RemoveProxy:
Reboot:


Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{F7591FC4-0BAF-480A-ACD3-D7139A5CDD27}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F7591FC4-0BAF-480A-ACD3-D7139A5CDD27}" => supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\YTAUpdate => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\YTAUpdate" => supprimé(es) avec succès
C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CRAB-DECRYPT.txt => déplacé(es) avec succès
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CRAB-DECRYPT.txt => déplacé(es) avec succès
"C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CRAB-DECRYPT.txt" => non trouvé(e)
C:\Users\PETIT-FRERE David\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Envoyer à OneNote.lnk => déplacé(es) avec succès
"HKLM\SOFTWARE\Policies\Google" => supprimé(es) avec succès

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-4019247742-2599345820-1803189922-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-4019247742-2599345820-1803189922-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========



Le système a dû redémarrer.

Fin de Fixlog 12:09:17

Commenter la réponse de Pass07
Messages postés
162011
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur
Dernière intervention
22 janvier 2019
20853
0
Merci
Voila, on ne peut pas faire grand chose de plus.
Si tu as des fichiers importants, tiens toi au courant voir si des solutions sont trouvés mais faut pas trop espérer.

~~

Supprime le dossier C:\FRST


Termine par un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite
Evite les analyses et nettoyages réguliers ZHPCleaner, AdwCleaner, pas utile.

~~

Sinon Windows 10 n'est pas à jour.
Tu es en v1709 et la dernière version est la 1803.
Peut-être désinstaller Norton Security avant pour ne pas qu'il entre en conflit.

Installe la mise à jour Windows 1803 manuellement en suivant ces tutos :

Commenter la réponse de Malekal_morte-
Messages postés
11
Date d'inscription
mercredi 15 août 2018
Dernière intervention
27 août 2018
0
Merci
J'ai tenté Shadow Explorer mais il remonte seulement au 15 août.
Je pensais faire un formatage avec DBAN, qu'en penses-tu ?
Malekal_morte-
Messages postés
162011
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur
Dernière intervention
22 janvier 2019
20853 -
Pourquoi formater, quel est l'intérêt ?
Commenter la réponse de Pass07
Messages postés
11
Date d'inscription
mercredi 15 août 2018
Dernière intervention
27 août 2018
0
Merci
OK. Merci mille fois pour ton aide précieuse
Malekal_morte-
Messages postés
162011
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur
Dernière intervention
22 janvier 2019
20853 -
de rien :)
Commenter la réponse de Pass07
0
Merci
salut malekal aide mois j'ai le mm probleme
---= GANDCRAB V5.0.4 =---


*
                                              • UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED***********************
          • FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE ARE DECRYPTION ERRORS*****


Attention!

All your files, documents, photos, databases and other important files are encrypted and have the extension: .TLAJTUKWV

The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.


The server with your key is in a closed network TOR. You can get there by the following ways:

----------------------------------------------------------------------------------------

| 0. Download Tor browser - https://www.torproject.org/

| 1. Install Tor browser
| 2. Open Tor Browser
| 3. Open link in TOR browser: http://gandcrabmfe6mnef.onion/4284dfc58234d509
| 4. Follow the instructions on this page

----------------------------------------------------------------------------------------


On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.


ATTENTION!

IN ORDER TO PREVENT DATA DAMAGE:
  • DO NOT MODIFY ENCRYPTED FILES
  • DO NOT CHANGE DATA BELOW


---BEGIN GANDCRAB KEY---
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
---END GANDCRAB KEY---

---BEGIN PC DATA---
wfKD6iudumBkmpL8IRr4U5KxOlaWOVPt5zxCOoX1jlY5vOWWDR5FYaBd7ZZyTupRqnYQ7mtWrbfcTGOH4R43BK/zr9ND77/6XkG4DC7iH5J+88jFNf+SmHmoHJAbLpOj8Pxp2XXxBpKxiuihTkSvAuIAnrZAOPSX7rmabVUkcnQybc6Wu8CtYaZYRqSAxskpEY5w29SAVlL6ZD1V0wONuV7cOCJJ2PmML0OiMKQPiooNLBiTBJxPmusoTXZsP70/VvrR1ppzszbsjcFAEHggl4ZnRN12CFYxNA7nDMwr9X1gSnbFXg/oke4tbdiyqdynn7r657Rip7F/kQDB5uKg/3A2U+t3GoVYL1rcBnrtwhGPEY0brCcW4tu4M6blY59yP4zw2X6iyZQZTWwqalPrJIcJo5FhwMQoXBOcnPs+B+4sALWf+2FPg8RrXQ2dxGFKwg73ZibpDxFM3vXLMuaq1w4ZMnQWRlGKYznT1lTgcX8ImUHfnyzzQUxnlbIqls+w93J6VYTpCjeNfHwcCcAXPxlNg39WQ3XC06ZHEuTtKUihBYxMZJH1Hp4OY7/HRd4Pp4l/V6Hu4bPOzM79JHZwh8QznewxRZVtK/+ublDWv+IZXpVeNtQo9EBhM1Le2rhgk2nTLVUzhgsFfm/5GmFXiTwEyrIGT7jbFAFwKdv/yTN9dCw35m4IfaKU6HJyLbO8Hx1cXcQDHtZ2jSrflgqewiwuhcVsmN7gi4q3OiRtTyslDj1IoxtTYB8Cr7xcZl0yoMtFO4ilOk+LrutOmY9iQ+7Dje6m4w==
---END PC DATA---



aide moi svp
voici le ficher
https://pjjoint.malekal.com/files.php?id=FRST_20181222_n14t5m5d11n12
https://pjjoint.malekal.com/files.php?id=20181222_j9j13u10r10q14
https://pjjoint.malekal.com/files.php?id=20181222_x14s11z11m9o11
Commenter la réponse de hanizerzour
0
Merci
@Malekal_morte- aide moi svp
Commenter la réponse de hanizerzour
0
Merci
salut malekal aide mois j'ai le mm probleme
---= GANDCRAB V5.0.4 =---


*

UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED***********************
FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE ARE DECRYPTION ERRORS*****



Attention!

All your files, documents, photos, databases and other important files are encrypted and have the extension: .TLAJTUKWV

The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.


The server with your key is in a closed network TOR. You can get there by the following ways:

----------------------------------------------------------------------------------------

| 0. Download Tor browser - https://www.torproject.org/

| 1. Install Tor browser
| 2. Open Tor Browser
| 3. Open link in TOR browser: http://gandcrabmfe6mnef.onion/4284dfc58234d509
| 4. Follow the instructions on this page

----------------------------------------------------------------------------------------


On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.


ATTENTION!

IN ORDER TO PREVENT DATA DAMAGE:

DO NOT MODIFY ENCRYPTED FILES
DO NOT CHANGE DATA BELOW



---BEGIN GANDCRAB KEY---
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
---END GANDCRAB KEY---

---BEGIN PC DATA---
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
---END PC DATA---



aide moi svp
voici le ficher
https://pjjoint.malekal.com/files.php?id=FRST_20181222_n14t5m5d11n12
https://pjjoint.malekal.com/files.php?id=20181222_j9j13u10r10q14
https://pjjoint.malekal.com/files.php?id=20181222_x14s11z11m9o11
Malekal_morte-
Messages postés
162011
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur
Dernière intervention
22 janvier 2019
20853 -
Salut,


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
HKLM-x32\...\Run: [Microsoft Windows Services] => C:\Windows\405006066094030\winsvcs.exe [232960 2018-12-04] ()
HKLM-x32\...\Run: [WinCfgMgr] => C:\Windows\707087406707050\wincfgrmgr32.exe [143872 2018-11-28] ()
HKU\S-1-5-21-278701358-3144846795-1726729311-1000\...\Run: [Microsoft Windows Services] => C:\Windows\405006066094030\winsvcs.exe [232960 2018-12-04] ()
HKU\S-1-5-21-278701358-3144846795-1726729311-1000\...\Run: [WinCfgMgr] => C:\Windows\707087406707050\wincfgrmgr32.exe [143872 2018-11-28] ()
2018-12-22 15:45 - 2018-12-22 15:48 - 000000068 __RSH C:\Windows\system32\Drivers\winusb.winsecurity
2018-12-03 00:55 - 2018-12-03 00:55 - 000000000 __RSH C:\Users\TOSHIBA\AppData\Roaming\2947692674.txt
2018-12-02 23:26 - 2018-12-02 23:26 - 000000000 _RSHD C:\Windows\809084056870
2018-12-01 17:18 - 2018-12-22 15:09 - 000000000 ____D C:\Users\TOSHIBA\Desktop\EXAM 2019
2018-12-01 17:18 - 2018-12-01 17:18 - 000000000 _RSHD C:\Windows\4950593030304950
2018-12-01 17:18 - 2018-12-01 17:18 - 000000000 __RSH C:\Users\TOSHIBA\AppData\Roaming\495505004.txt
2018-11-30 07:46 - 2018-11-30 07:46 - 000000000 _RSHD C:\Windows\459696005040404
2018-11-28 07:05 - 2018-12-22 14:39 - 000000000 ____D C:\ProgramData\GCxcrhlcfj
2018-11-28 07:05 - 2018-11-28 07:05 - 000000000 _RSHD C:\Windows\707087406707050
2018-11-28 07:05 - 2018-11-28 07:05 - 000000000 _RSHD C:\Windows\409569606403050
2018-11-28 07:05 - 2018-11-28 07:05 - 000000000 __RSH C:\Users\TOSHIBA\AppData\Roaming\winupdmgrdrv32.txt
2018-11-28 07:05 - 2018-11-28 07:05 - 000000000 __RSH C:\Users\TOSHIBA\AppData\Roaming\winsvcs_.txt
2018-11-28 07:04 - 2018-11-28 07:04 - 000000000 _RSHD C:\Windows\T405969330203590
2018-11-28 07:04 - 2018-11-28 07:04 - 000000000 ____H C:\Users\TOSHIBA\AppData\Roaming\winsvcs.txt
2018-11-26 12:41 - 2018-12-03 01:03 - 000000702 ____H C:\Users\TOSHIBA\Desktop\~$chnology is helping the fight against corruption.docx.tlajtukwv
2018-11-23 12:12 - 2018-12-03 01:01 - 000015108 _____ C:\Users\TOSHIBA\Desktop\1.docx.tlajtukwv
2018-12-22 15:45 - 2018-12-22 15:45 - 000000068 __RSH C:\Windows\system32\Drivers\WUDFPf.winsecurity
InternetURL: C:\Users\TOSHIBA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\EJMbfDcdzM.url -> URL: "file:///C:\ProgramData\GCxcrhlcfj\winsrvcs32.exe"
GroupPolicy\User: Restriction ? <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

2) change tous tes mots de passe

3) tente cet outil pour récupérer les fichiers : https://labs.bitdefender.com/2018/10/gandcrab-ransomware-decryption-tool-available-for-free/
Commenter la réponse de hanizerzour
0
Merci
salut
voici le fichier text fixlog
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 01.01.2019
Exécuté par TOSHIBA (03-01-2019 11:40:41) Run:1
Exécuté depuis C:\Users\TOSHIBA\Desktop
Profils chargés: TOSHIBA (Profils disponibles: TOSHIBA)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
HKLM-x32\...\Run: [Microsoft Windows Services] => C:\Windows\405006066094030\winsvcs.exe [232960 2018-12-04] ()
HKLM-x32\...\Run: [WinCfgMgr] => C:\Windows\707087406707050\wincfgrmgr32.exe [143872 2018-11-28] ()
HKU\S-1-5-21-278701358-3144846795-1726729311-1000\...\Run: [Microsoft Windows Services] => C:\Windows\405006066094030\winsvcs.exe [232960 2018-12-04] ()
HKU\S-1-5-21-278701358-3144846795-1726729311-1000\...\Run: [WinCfgMgr] => C:\Windows\707087406707050\wincfgrmgr32.exe [143872 2018-11-28] ()
2018-12-22 15:45 - 2018-12-22 15:48 - 000000068 __RSH C:\Windows\system32\Drivers\winusb.winsecurity
2018-12-03 00:55 - 2018-12-03 00:55 - 000000000 __RSH C:\Users\TOSHIBA\AppData\Roaming\2947692674.txt
2018-12-02 23:26 - 2018-12-02 23:26 - 000000000 _RSHD C:\Windows\809084056870
2018-12-01 17:18 - 2018-12-22 15:09 - 000000000 ____D C:\Users\TOSHIBA\Desktop\EXAM 2019
2018-12-01 17:18 - 2018-12-01 17:18 - 000000000 _RSHD C:\Windows\4950593030304950
2018-12-01 17:18 - 2018-12-01 17:18 - 000000000 __RSH C:\Users\TOSHIBA\AppData\Roaming\495505004.txt
2018-11-30 07:46 - 2018-11-30 07:46 - 000000000 _RSHD C:\Windows\459696005040404
2018-11-28 07:05 - 2018-12-22 14:39 - 000000000 ____D C:\ProgramData\GCxcrhlcfj
2018-11-28 07:05 - 2018-11-28 07:05 - 000000000 _RSHD C:\Windows\707087406707050
2018-11-28 07:05 - 2018-11-28 07:05 - 000000000 _RSHD C:\Windows\409569606403050
2018-11-28 07:05 - 2018-11-28 07:05 - 000000000 __RSH C:\Users\TOSHIBA\AppData\Roaming\winupdmgrdrv32.txt
2018-11-28 07:05 - 2018-11-28 07:05 - 000000000 __RSH C:\Users\TOSHIBA\AppData\Roaming\winsvcs_.txt
2018-11-28 07:04 - 2018-11-28 07:04 - 000000000 _RSHD C:\Windows\T405969330203590
2018-11-28 07:04 - 2018-11-28 07:04 - 000000000 ____H C:\Users\TOSHIBA\AppData\Roaming\winsvcs.txt
2018-11-26 12:41 - 2018-12-03 01:03 - 000000702 ____H C:\Users\TOSHIBA\Desktop\~$chnology is helping the fight against corruption.docx.tlajtukwv
2018-11-23 12:12 - 2018-12-03 01:01 - 000015108 _____ C:\Users\TOSHIBA\Desktop\1.docx.tlajtukwv
2018-12-22 15:45 - 2018-12-22 15:45 - 000000068 __RSH C:\Windows\system32\Drivers\WUDFPf.winsecurity
InternetURL: C:\Users\TOSHIBA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\EJMbfDcdzM.url -> URL: "file:///C:\ProgramData\GCxcrhlcfj\winsrvcs32.exe"
GroupPolicy\User: Restriction ? <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Le Point de restauration a été créé avec succès.
"HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\Microsoft Windows Services" => non trouvé(e)
"HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\WinCfgMgr" => non trouvé(e)
"HKU\S-1-5-21-278701358-3144846795-1726729311-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Microsoft Windows Services" => non trouvé(e)
"HKU\S-1-5-21-278701358-3144846795-1726729311-1000\Software\Microsoft\Windows\CurrentVersion\Run\\WinCfgMgr" => non trouvé(e)
C:\Windows\system32\Drivers\winusb.winsecurity => déplacé(es) avec succès
C:\Users\TOSHIBA\AppData\Roaming\2947692674.txt => déplacé(es) avec succès
C:\Windows\809084056870 => déplacé(es) avec succès
C:\Users\TOSHIBA\Desktop\EXAM 2019 => déplacé(es) avec succès
C:\Windows\4950593030304950 => déplacé(es) avec succès
C:\Users\TOSHIBA\AppData\Roaming\495505004.txt => déplacé(es) avec succès
C:\Windows\459696005040404 => déplacé(es) avec succès
C:\ProgramData\GCxcrhlcfj => déplacé(es) avec succès
C:\Windows\707087406707050 => déplacé(es) avec succès
C:\Windows\409569606403050 => déplacé(es) avec succès
C:\Users\TOSHIBA\AppData\Roaming\winupdmgrdrv32.txt => déplacé(es) avec succès
C:\Users\TOSHIBA\AppData\Roaming\winsvcs_.txt => déplacé(es) avec succès
C:\Windows\T405969330203590 => déplacé(es) avec succès
C:\Users\TOSHIBA\AppData\Roaming\winsvcs.txt => déplacé(es) avec succès
C:\Users\TOSHIBA\Desktop\~$chnology is helping the fight against corruption.docx.tlajtukwv => déplacé(es) avec succès
C:\Users\TOSHIBA\Desktop\1.docx.tlajtukwv => déplacé(es) avec succès
C:\Windows\system32\Drivers\WUDFPf.winsecurity => déplacé(es) avec succès
C:\Users\TOSHIBA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\EJMbfDcdzM.url => déplacé(es) avec succès
C:\Windows\system32\GroupPolicy\User => déplacé(es) avec succès
C:\Windows\system32\GroupPolicy\GPT.ini => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-278701358-3144846795-1726729311-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-278701358-3144846795-1726729311-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 107511956 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 14309422 B
Edge => 0 B
Chrome => 349466455 B
Firefox => 134139513 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 101102 B
systemprofile32 => 82624 B
LocalService => 0 B
NetworkService => 1260 B
TOSHIBA => 91309010 B

RecycleBin => 30910489 B
EmptyTemp: => 694.1 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

Fin de Fixlog 11:41:49

Commenter la réponse de hanizerzour