Virus GrandCrab extension .CrabRésolu/Fermé

Question

Bonjour, 

Comme l'annonce le titre mon PC est infecté. J'ai WINDOWS 10. Connaissez-vous une procédure ou un logiciel pour m'en débarrasser ? Merci

Malekal_morte- · Answer

Salut,

Extension sur un navigateur ou l'extension des fichiers a changé ?


Pour vérifier l'ordinateur, je t'invite à faire cette analyse FRST et donner les rapports en retour : 

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :

 FRST.txt
 Shortcut.txt
 Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ afin de les partager.
En retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

Pass07 · Answer

Bonsoir et merci pour ta réponse,

Il s'agit de l'extension des fichiers. Le bureau est noir avec cette inscription : ENCRYPTED BY GRANCRAB 3. YOUR FILES ARE UNDER STRONG PROTECTION BY OUR SOFTWARE. IN ORDER TO RESTORE IT YOU MUST BUY DESCRYPTOR. For further steps read CRAB.DECRYPT.txt that is located in every encrypted folder. 

Effectivement dans chaque dossier il y a ce fichier : https://pjjoint.malekal.com/files.php?id=20180816_f7e5w10j6z11

Voici les 3 liens que tu m'as demandés :
https://pjjoint.malekal.com/files.php?id=FRST_20180816_w5o6y12k5b13
https://pjjoint.malekal.com/files.php?id=20180816_o9r14s12l6m15
https://pjjoint.malekal.com/files.php?id=20180816_11r9s13h8u12

Je ne sais pas comment c'est arrivé c'est le PC d'un ami.

Merci pour ton aide

Malekal_morte- · Answer

ok c'est le GrandCrab (.Crab) Crypto-Ransomware.
Je vais éditer le titre pour que ce soit plus clair.

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Tu peux tout de même tenter les version précédentes avec Shadow Explorer
Garde les fichiers quelques mois et surveille cette page pour d'éventuelle solution à l'avenir et un outil qui permet de récupérer les fichiers : Liste des DecryptTools pour les ransomwares


~~


Tu as des programmes qui ont été installés à l'achat de l'ordinateur ou installés par la suite et qui sont pas forcément utiles.
Ils encombrent Windows et peuvent le ralentir.
Tu peux donc les désinstaller.
Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :

Norton Security (sauf si tu utilises bien entendu)
Spybot - Search & Destroy (totalement inefficace)
WildTangent Games App 



Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

CreateRestorePoint:CloseProcesses:Task: {F7591FC4-0BAF-480A-ACD3-D7139A5CDD27} - System32\Tasks\YTAUpdate => C:\PROGRA~2\YOUTUB~1\Updater.exe <==== ATTENTIONStartup: C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CRAB-DECRYPT.txt [2018-05-11] ()Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CRAB-DECRYPT.txt [2018-05-11] ()Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CRAB-DECRYPT.txt [2018-05-11] ()Startup: C:\Users\PETIT-FRERE David\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Envoyer à OneNote.lnk [2017-09-17] CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION RemoveProxy:Reboot:

Enregistre le contenu par le menu fichier puis enregistrer.

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

Pass07 · Answer

Bonjour Malekal, J'ai désinstallé les 3 programmes. Voici le contenu de Fixlog : Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 02.08.2018 Exécuté par PETIT-FRERE David (16-08-2018 12:07:15) Run:1 Exécuté depuis C:\Users\PETIT-FRERE David\Downloads Profils chargés: PETIT-FRERE David (Profils disponibles: PETIT-FRERE David) Mode d'amorçage: Normal ============================================== fixlist contenu: CreateRestorePoint: CloseProcesses: Task: {F7591FC4-0BAF-480A-ACD3-D7139A5CDD27} - System32\Tasks\YTAUpdate => C:\PROGRA~2\YOUTUB~1\Updater.exe <==== ATTENTION Startup: C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CRAB-DECRYPT.txt [2018-05-11] () Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CRAB-DECRYPT.txt [2018-05-11] () Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CRAB-DECRYPT.txt [2018-05-11] () Startup: C:\Users\PETIT-FRERE David\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Envoyer à OneNote.lnk [2017-09-17] CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION RemoveProxy: Reboot: Le Point de restauration a été créé avec succès. Processus fermé avec succès. "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{F7591FC4-0BAF-480A-ACD3-D7139A5CDD27}" => supprimé(es) avec succès "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F7591FC4-0BAF-480A-ACD3-D7139A5CDD27}" => supprimé(es) avec succès C:\WINDOWS\System32\Tasks\YTAUpdate => déplacé(es) avec succès "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\YTAUpdate" => supprimé(es) avec succès C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CRAB-DECRYPT.txt => déplacé(es) avec succès C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CRAB-DECRYPT.txt => déplacé(es) avec succès "C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CRAB-DECRYPT.txt" => non trouvé(e) C:\Users\PETIT-FRERE David\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Envoyer à OneNote.lnk => déplacé(es) avec succès "HKLM\SOFTWARE\Policies\Google" => supprimé(es) avec succès ========= RemoveProxy: ========= "HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings" => supprimé(es) avec succès "HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings" => supprimé(es) avec succès "HKU\S-1-5-21-4019247742-2599345820-1803189922-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings" => supprimé(es) avec succès "HKU\S-1-5-21-4019247742-2599345820-1803189922-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings" => supprimé(es) avec succès ========= Fin de RemoveProxy: ========= Le système a dû redémarrer. Fin de Fixlog 12:09:17

Malekal_morte- · Answer

Voila, on ne peut pas faire grand chose de plus.
Si tu as des fichiers importants, tiens toi au courant voir si des solutions sont trouvés mais faut pas trop espérer.

~~

Supprime le dossier C:\FRST


Termine par un nettoyage Malwarebytes -  Tutoriel Malwarebytes Anti-Malware version gratuite 
Evite les analyses et nettoyages réguliers ZHPCleaner, AdwCleaner, pas utile.

~~

Sinon Windows 10 n'est pas à jour.
Tu es en v1709 et la dernière version est la 1803.
Peut-être désinstaller Norton Security avant pour ne pas qu'il entre en conflit.

Installe la mise à jour Windows 1803 manuellement en suivant ces tutos :

 Comment installer la mise à jour Windows 10 1803 (CCM)
 Télécharge et installer la mise à jour Windows 10 1803 (malekal.com)

Pass07 · Answer

J'ai tenté Shadow Explorer mais il remonte seulement au 15 août.
Je pensais faire un formatage avec DBAN, qu'en penses-tu ?

Pass07 · Answer

OK. Merci mille fois pour ton aide précieuse

hanizerzour · Answer

salut malekal aide mois j'ai le mm probleme 
---=    GANDCRAB V5.0.4  =--- 


*






















UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED***********************
FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE ARE DECRYPTION ERRORS*****

Attention! 

All your files, documents, photos, databases and other important files are encrypted and have the extension: .TLAJTUKWV    

The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.


The server with your key is in a closed network TOR. You can get there by the following ways:

----------------------------------------------------------------------------------------

| 0. Download Tor browser - https://www.torproject.org/ 

| 1. Install Tor browser 
| 2. Open Tor Browser 
| 3. Open link in TOR browser:   http://gandcrabmfe6mnef.onion/4284dfc58234d509                        
| 4. Follow the instructions on this page 

----------------------------------------------------------------------------------------                    
    

On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free. 


ATTENTION!

IN ORDER TO PREVENT DATA DAMAGE:

 DO NOT MODIFY ENCRYPTED FILES
 DO NOT CHANGE DATA BELOW

---BEGIN GANDCRAB KEY---
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
---END GANDCRAB KEY---

---BEGIN PC DATA---
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
---END PC DATA---



aide moi svp
voici le ficher 
https://pjjoint.malekal.com/files.php?id=FRST_20181222_n14t5m5d11n12
https://pjjoint.malekal.com/files.php?id=20181222_j9j13u10r10q14
https://pjjoint.malekal.com/files.php?id=20181222_x14s11z11m9o11

hanizerzour · Answer

@Malekal_morte- aide moi svp

hanizerzour · Answer

salut malekal aide mois j'ai le mm probleme
---= GANDCRAB V5.0.4 =---


*

                                                                                            UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED*********************** 
                    FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE ARE DECRYPTION ERRORS*****



Attention!

All your files, documents, photos, databases and other important files are encrypted and have the extension: .TLAJTUKWV

The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.


The server with your key is in a closed network TOR. You can get there by the following ways:

----------------------------------------------------------------------------------------

| 0. Download Tor browser - https://www.torproject.org/

| 1. Install Tor browser
| 2. Open Tor Browser
| 3. Open link in TOR browser: http://gandcrabmfe6mnef.onion/4284dfc58234d509
| 4. Follow the instructions on this page

----------------------------------------------------------------------------------------


On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.


ATTENTION!

IN ORDER TO PREVENT DATA DAMAGE:

    DO NOT MODIFY ENCRYPTED FILES
    DO NOT CHANGE DATA BELOW



---BEGIN GANDCRAB KEY---
lAQAAIk6gWrzaZ7S7l4EG+hYgeKbXmFb1zv8vtZL7Sy0iWf1RT5/xbuesT7Lp+zSHrE1Dg+hYt/giXg6q1ouOKpWp3KtaKXGYOiIGgp00SrqKeLo5npi4Di4vIspAZlcJalS1g4sdFHfPr0neImOqhVrXXGCVaaB/dH6XEc/Taib9eb0+3E8bRMD7orkSr+YEnI14iucWgTcawUQGyzEe7AXfH8q216sJjPPfjYk7a6mtyFJCLBd/lkzFYa93boor2r5j7b1W9t12ecDDDInvwo1h6Mx0tjaeVC3hXji9n3aEbgavMNolOsblmJySY1x8qwC5/wuRjcosPqhC9P5PXvtBHwBqnww/E1EJ6Wy8EAfW1wdhjj97yDm/mKVXe5JZNbCbYQcy5THxF1U/EIe78IwvXb9o+lAxc93WOIip/8SHgIxYnNl/5OPHHJ1OHU6Nh2P2iT5XHRodHtKPxAZxmABZWTyfZ2e+LkHywySBrkIkOoYr//dMfzSdIjaCs9//HBBGtFQna/dfoe8CQOrdW264m5ECG69G0AyjdIYW/ezuDf/wS2rifRQnoW5V20BZ6sDTCCCl/RsN6tuakYCZvKQn6As5dGvkE18xln23Ve0CH0Sypi6R0pORTT9IrEZO1gGek7SZ0u4KoKaRpZrwVMkgrtCNRXAp6IDFrKkq0FGPGBohq1afsLHkuWGKZDygMcoawIHNX+ETVmTkJmyzRVDdYoARG2UYIP5LhokbxyBbJrIgiP9nyGohVPLZoHXYnVT8F8uz56RvT0ncCzzPySF2NXp0ewNblmxk3f4hABJNwsNUSGQF1FUK85MUM6y968nNs2u8mi+CBOdjeFSG6tuWTotFtpAlsnVikMFLrGdIr0x5+jljq8b4uzydjUJiNWQanoKhO8MqYxuSL6pSMbQt6tHFcb4g1qiSN7VUEtEVps5mdKA9kjSZPi99YOQqLk4lXCUP3fBYz9Rwjw3HfNAm8jqhDUCdk+vc/HSbps1IBv/xwycFMR3rN7Yrya6rPNbKb1ALm+XMJU8EHiONt+dR+qstWQ0+ANctR0Mg42xTihK+IB1HjVzoA7U5Ex+2/nu+82sKllCEHv7pkQLCwHnplTZQYawcGPkET0Owj39ETEPYQDGS3SAV4aqcn6hebjkTzkrSjoFLqyt6pGVrtOvu3NlCiUbmZjwXJCXnMaKw7mMTsWgsq1LJ6aHAo4pgdN2X5t8RFX9Zf2jkFEgu9WyfQ0LGK45wwaZnjm496fYrTMOXbd1VPdXA09/d2zxhmkzv8/2itP10DZLE/8RLgo4WNTZYf0wPql7BZI4IOSRWTLsJMzY2Ao+XXAuDy73q5TpEDixo1ZcX4acnh1Maom4fTY8BDKHxXzFziy43eUAn0SEJpoXMZEqnKDrhX+ty4YkzYWaSRzsheUEasNCI1ZrHLNIL0IWCybaUinlEmy393DFsJbjX94kzFr6QWW5sRW1UjFGzfTtCxLP3FbHrvyf+NdWF+FOrUD4cCeyYltxZ5d0kc2LSOUhrVRmI05BXN9+r01/bf129Tdjdx7NTq7yRRsRESJG9BRmHteoRCTbamK0kwNZPqWq+SZ8BfTfNL9meIk5zzkH1X/o2IH06qTkLHRfuG1R2+fHVWKSBSjeG8ywFzdkpOTUQxyg840Wm1MJGOgeic4y32NQKJEivX4dRbuaR8h3nwRjTt5KUGKWNw5kk1nOkCP/54jSBgtrx15pefHX9VQqzFJa3XvRLztl/+mG/dEUvPv/HN8E+e1L4fVSCvayhklWfaQNiWGUOqTT/z42uSGdXTLpNqebQhuu3yEmo+HuuGAl3UALvcBbj2pO/i1V7xWTA2h1N4nGXMAkJcE7cFgR6xSsHNU+62w+OL89r8VHEKdgqyvpvOkhmdgqA4LlKxvt4GIJB4SJrWVDc8kiKCIhcpTGo767YAU6Yc1k79/PGU1iBuy+DZgNJGHoniGjbt4dqZ3b5EJrgfXgqTCOdvJ127zfUW1eXi/fRnUZhLg9I/OwWv7UsrQ+z5WMPTDbRqcfBWeGUphkpuWjeMALRPAE7/QckQjhrBFMSbKX91FbiqTBFhy/PublFrzqCiV22EGwRCjY/IyILoeKH9peu9uoFgeUNk9EFrHJDNlty9CBQu+0i03ofEixocFmdUHkX4qCHYginzI8oe8uG7F+2jk2SXrzNvZrTTAspjgCh0caD5Gh8vZfCzlzoWw13U6E6Z5bJGt8j2qG3Wm7UIiUXzk=
---END GANDCRAB KEY---

---BEGIN PC DATA---
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
---END PC DATA---



aide moi svp
voici le ficher
https://pjjoint.malekal.com/files.php?id=FRST_20181222_n14t5m5d11n12
https://pjjoint.malekal.com/files.php?id=20181222_j9j13u10r10q14
https://pjjoint.malekal.com/files.php?id=20181222_x14s11z11m9o11

hanizerzour · Answer

salut
voici le fichier text fixlog
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 01.01.2019
Exécuté par TOSHIBA (03-01-2019 11:40:41) Run:1
Exécuté depuis C:\Users\TOSHIBA\Desktop
Profils chargés: TOSHIBA (Profils disponibles: TOSHIBA)
Mode d'amorçage: Normal
==============================================

fixlist contenu:


CreateRestorePoint:
HKLM-x32\...\Run: [Microsoft Windows Services] => C:\Windows\405006066094030\winsvcs.exe [232960 2018-12-04] ()
HKLM-x32\...\Run: [WinCfgMgr] => C:\Windows\707087406707050\wincfgrmgr32.exe [143872 2018-11-28] ()
HKU\S-1-5-21-278701358-3144846795-1726729311-1000\...\Run: [Microsoft Windows Services] => C:\Windows\405006066094030\winsvcs.exe [232960 2018-12-04] ()
HKU\S-1-5-21-278701358-3144846795-1726729311-1000\...\Run: [WinCfgMgr] => C:\Windows\707087406707050\wincfgrmgr32.exe [143872 2018-11-28] ()
2018-12-22 15:45 - 2018-12-22 15:48 - 000000068 __RSH C:\Windows\system32\Drivers\winusb.winsecurity
2018-12-03 00:55 - 2018-12-03 00:55 - 000000000 __RSH C:\Users\TOSHIBA\AppData\Roaming\2947692674.txt
2018-12-02 23:26 - 2018-12-02 23:26 - 000000000 _RSHD C:\Windows\809084056870
2018-12-01 17:18 - 2018-12-22 15:09 - 000000000 ____D C:\Users\TOSHIBA\Desktop\EXAM 2019
2018-12-01 17:18 - 2018-12-01 17:18 - 000000000 _RSHD C:\Windows\4950593030304950
2018-12-01 17:18 - 2018-12-01 17:18 - 000000000 __RSH C:\Users\TOSHIBA\AppData\Roaming\495505004.txt
2018-11-30 07:46 - 2018-11-30 07:46 - 000000000 _RSHD C:\Windows\459696005040404
2018-11-28 07:05 - 2018-12-22 14:39 - 000000000 ____D C:\ProgramData\GCxcrhlcfj
2018-11-28 07:05 - 2018-11-28 07:05 - 000000000 _RSHD C:\Windows\707087406707050
2018-11-28 07:05 - 2018-11-28 07:05 - 000000000 _RSHD C:\Windows\409569606403050
2018-11-28 07:05 - 2018-11-28 07:05 - 000000000 __RSH C:\Users\TOSHIBA\AppData\Roaming\winupdmgrdrv32.txt
2018-11-28 07:05 - 2018-11-28 07:05 - 000000000 __RSH C:\Users\TOSHIBA\AppData\Roaming\winsvcs_.txt
2018-11-28 07:04 - 2018-11-28 07:04 - 000000000 _RSHD C:\Windows\T405969330203590
2018-11-28 07:04 - 2018-11-28 07:04 - 000000000 ____H C:\Users\TOSHIBA\AppData\Roaming\winsvcs.txt
2018-11-26 12:41 - 2018-12-03 01:03 - 000000702 ____H C:\Users\TOSHIBA\Desktop\~$chnology is helping the fight against corruption.docx.tlajtukwv
2018-11-23 12:12 - 2018-12-03 01:01 - 000015108 _____ C:\Users\TOSHIBA\Desktop\1.docx.tlajtukwv
2018-12-22 15:45 - 2018-12-22 15:45 - 000000068 __RSH C:\Windows\system32\Drivers\WUDFPf.winsecurity
InternetURL: C:\Users\TOSHIBA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\EJMbfDcdzM.url -> URL: "file:///C:\ProgramData\GCxcrhlcfj\winsrvcs32.exe"
GroupPolicy\User: Restriction ? <==== ATTENTION
 Hosts:
EmptyTemp:
RemoveProxy:
Reboot:



Le Point de restauration a été créé avec succès.
"HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\Microsoft Windows Services" => non trouvé(e)
"HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\WinCfgMgr" => non trouvé(e)
"HKU\S-1-5-21-278701358-3144846795-1726729311-1000\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Windows Services" => non trouvé(e)
"HKU\S-1-5-21-278701358-3144846795-1726729311-1000\Software\Microsoft\Windows\CurrentVersion\Run\WinCfgMgr" => non trouvé(e)
C:\Windows\system32\Drivers\winusb.winsecurity => déplacé(es) avec succès
C:\Users\TOSHIBA\AppData\Roaming\2947692674.txt => déplacé(es) avec succès
C:\Windows\809084056870 => déplacé(es) avec succès
C:\Users\TOSHIBA\Desktop\EXAM 2019 => déplacé(es) avec succès
C:\Windows\4950593030304950 => déplacé(es) avec succès
C:\Users\TOSHIBA\AppData\Roaming\495505004.txt => déplacé(es) avec succès
C:\Windows\459696005040404 => déplacé(es) avec succès
C:\ProgramData\GCxcrhlcfj => déplacé(es) avec succès
C:\Windows\707087406707050 => déplacé(es) avec succès
C:\Windows\409569606403050 => déplacé(es) avec succès
C:\Users\TOSHIBA\AppData\Roaming\winupdmgrdrv32.txt => déplacé(es) avec succès
C:\Users\TOSHIBA\AppData\Roaming\winsvcs_.txt => déplacé(es) avec succès
C:\Windows\T405969330203590 => déplacé(es) avec succès
C:\Users\TOSHIBA\AppData\Roaming\winsvcs.txt => déplacé(es) avec succès
C:\Users\TOSHIBA\Desktop\~$chnology is helping the fight against corruption.docx.tlajtukwv => déplacé(es) avec succès
C:\Users\TOSHIBA\Desktop\1.docx.tlajtukwv => déplacé(es) avec succès
C:\Windows\system32\Drivers\WUDFPf.winsecurity => déplacé(es) avec succès
C:\Users\TOSHIBA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\EJMbfDcdzM.url => déplacé(es) avec succès
C:\Windows\system32\GroupPolicy\User => déplacé(es) avec succès
C:\Windows\system32\GroupPolicy\GPT.ini => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-278701358-3144846795-1726729311-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-278701358-3144846795-1726729311-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 107511956 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 14309422 B
Edge => 0 B
Chrome => 349466455 B
Firefox => 134139513 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 101102 B
systemprofile32 => 82624 B
LocalService => 0 B
NetworkService => 1260 B
TOSHIBA => 91309010 B

RecycleBin => 30910489 B
EmptyTemp: => 694.1 MB données temporaires supprimées.

================================


Le système a dû redémarrer.
 Fin de Fixlog 11:41:49

Malekal_morte- · Answer

Bitdefender vient d'annoncer que leur outil est utilisable infections par les versions 5.0.4 à 5.1 de GandCrab
Plus d'infos et suivi sur ce topic : https://forum.malekal.com/viewtopic.php?f=11&t=60816

Virus GrandCrab extension .Crab

12 réponses

Fin de Fixlog 12:09:17

Fin de Fixlog 11:41:49

Discussions similaires

Newsletters