Page 1 sur 1
infection par cryptowall
Posté : dim. 22 févr. 2015 20:29
par hal68
Bonjour,
Tout d'abord, merci de proposer cette aide pour la désinfection de PC.
Le mien vient d'être infecté par un virus correspondant à la description de Cryptowall, qui crypte un grand nombre de fichiers du disque dur, et place dans les dossiers concernés des messages de ce type, qui s'ouvrent automatiquement au redémarrage :
Qu'est-ce qui est arrivé a vos fichiers ?
Tous vos fichiers sont protégés par la cryptographie persistante RSA-2048 à l’aide du logiciel CryptoWall 3.0.
Voir information plus détaillée sur le chiffrement à l’aide du clé RSA-2048 sur la référence: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
Qu'est-ce que ça dit ?
Ça veut dire, que la structure et les données à l'intérieur de vos fichiers étaient irrévocablement modifiée, vous ne pourrez pas travailler avec eux, les lire ou regarder,
C'est la même chose, que vous les avez perdus pour toujours, mais avec notre aide vous pouvez les restaurer.
Comment cela s'est passé ?
On a généré, spécialement pour vous, sur notre serveur confidentiel, une paire des clés RSA-2048 - publiques et privées.
Tous vos fichiers étaient chiffrés avec l'aide de la clé publique, qui était transmise à vous moyennant le réseau Internet.
Le déchiffrement de vos fichiers n'est possible qu'avec l'aide de la clé privée et du logiciel, trouvés sur votre ordinateur.
Quoi dois-je faire ?
Hélas, mais si vous ne prenez pas des mesures nécessaires dans le délai indiqué, les conditions de la réception de la clé privée et du programme spécial seront changés.
Si vos données sont vous chers, nous vous conseillons de ne pas perdre le temps précieux pour les recherches des autres décisions, puisqu'ils n'existent pas.
Pour recevoir des instructions concrètes visitez, s’il vous plaît, notre page, dont les adresses sont indiquées ci-dessous:
1.http://paytoc4gtpn5czl2.torconnectpaycom/xdtk1b
2.http://paytoc4gtpn5czl2.torwalletpaycom/xdtk1b
3.http://paytoc4gtpn5czl2.walterwhitepaycom/xdtk1b
4.http://paytoc4gtpn5czl2.rossulbrichtpaycom/xdtk1b
Si, pour quelque cause, ces adresses sont inaccessibles, accomplissez des actions suivantes:
1.Téléchargez et installéz tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2.Après le navigateur-net est installé, lancez le, et attendez l'initialisation.
3.Inscrivez dans la ligne d'adresse: paytoc4gtpn5czl2.onion/xdtk1b
4.Accomplissez les instructions sur le site.
Information qui peut être utile:
Votre page personnelle: http://paytoc4gtpn5czl2.torconnectpaycom/xdtk1b
Votre page personnelle(en utilisant TOR): paytoc4gtpn5czl2.onion/xdtk1b
Votre code personnel(si vous ouvrez le site (ou site TOR) directement): xdtk1b
Après avoir parcouru le net et demandé conseil à un voisin, j'ai installé et effectué une analyse avec le logiciel FRST64, puis j'ai fais une analyse de malware avec MalwareBytes, qui a mis en quarantaine plusieurs dizaines de fichiers, et je suis en train de faire faire une analyse détaillé par Avast, qui à 25 % de l'analyse a trouvé 17 fichiers infectés.
Je mets dans un 2e message les rapports faits par le premier logiciel (FRST64).
Je voudrais de l'aide pour savoir comment être certain de s'être débarrassé du virus, et éventuellement récupérer les fichiers si quelqu'un pense que c'est possible.
Cordialement
Re: infection par cryptowall
Posté : dim. 22 févr. 2015 20:38
par hal68
1er rapport (FRST.txt) :
Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 21-02-2015
Ran by Sélune (administrator) on SÉLUNE-PC on 22-02-2015 15:50:03
Running from C:\Users\Sélune\Desktop
Loaded Profiles: Sélune (Available profiles: Sélune)
Platform: Windows 7 Home Premium (X64) OS Language: Français (France)
Internet Explorer Version 8 (Default browser: FF)
Boot Mode: Normal
Tutorial for Farbar Recovery Scan Tool: http://www.geekstogo.com/forum/topic/33 ... scan-tool/
==================== Processes (Whitelisted) =================
(If an entry is included in the fixlist, the process will be closed. The file will not be moved.)
(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(NVIDIA Corporation) C:\Windows\System32\nvvsvc.exe
(Adobe Systems Incorporated) C:\Program Files (x86)\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
(Acer Incorporated) C:\Program Files (x86)\Packard Bell\Registration\GregHSRW.exe
() C:\ProgramData\DatacardService\HWDeviceService64.exe
() C:\Program Files (x86)\Packard Bell GameZone\GameConsole\OberonGameConsoleService.exe
() C:\Windows\FrameworkUpdate\Update.exe
(Acer) C:\Program Files\Packard Bell\Packard Bell Updater\UpdaterService.exe
(VMware, Inc.) C:\Windows\SysWOW64\vmnat.exe
() C:\Program Files (x86)\NETGEAR\WNA3100M\WifiSvc.exe
() C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
() C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
(VMware, Inc.) D:\vmware\vmware-authd.exe
(VMware, Inc.) C:\Windows\SysWOW64\vmnetdhcp.exe
(Google Inc.) C:\Program Files (x86)\Google\Update\1.3.26.9\GoogleCrashHandler.exe
(Google Inc.) C:\Program Files (x86)\Google\Update\1.3.26.9\GoogleCrashHandler64.exe
(Realtek Semiconductor) C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
(BitTorrent Inc.) C:\Users\Sélune\AppData\Roaming\uTorrent\uTorrent.exe
() C:\Users\Sélune\AppData\Local\Ajworks\tmpEC17.exe
(Microsoft Corporation) C:\Windows\SysWOW64\regsvr32.exe
(Microsoft Corporation) C:\Windows\System32\rundll32.exe
(Piriform Ltd) C:\Program Files\CCleaner\CCleaner64.exe
(©Wyebugur) C:\Users\Sélune\AppData\Roaming\Microsoft\Windows\IEUpdate\getmac.exe
(Microsoft Corporation) C:\Windows\SysWOW64\rundll32.exe
(BitTorrent Inc.) C:\Users\Sélune\AppData\Roaming\uTorrent\uTorrent.exe
(Huawei Technologies Co., Ltd.) C:\ProgramData\DatacardService\DCSHelper.exe
() C:\Program Files (x86)\NETGEAR\WNA3100M\WNA3100M.exe
(Microsoft Corporation) C:\Windows\SysWOW64\svchost.exe
() C:\Program Files (x86)\Tiny Utilities\Vitrite\Vitrite.exe
(OpenOffice.org) C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe
(OpenOffice.org) C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin
(Sun Microsystems, Inc.) C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
(Elaborate Bytes AG) C:\Program Files (x86)\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
(VMware, Inc.) D:\vmware\vmware-tray.exe
(Sun Microsystems, Inc.) C:\Program Files (x86)\Common Files\Java\Java Update\jucheck.exe
(Mozilla Corporation) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
(AVAST Software) C:\Users\Sélune\Downloads\avast-antivirus-gratuit-2015_fr_11113.exe
(AVAST Software) C:\Users\SLUNE~1\AppData\Local\Temp\_av_iup.tm~a14124\instup.exe
(Adobe Systems, Inc.) C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_16_0_0_305.exe
(Adobe Systems, Inc.) C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_16_0_0_305.exe
(Twain Working Group) C:\Windows\twunk_32.exe
(Twain Working Group) C:\Windows\twunk_32.exe
(Twain Working Group) C:\Windows\twunk_32.exe
(©Wyebugur) C:\Users\Sélune\AppData\Roaming\Microsoft\Windows\IEUpdate\getmac.exe
(©Wyebugur) C:\Users\Sélune\AppData\Roaming\Microsoft\Windows\IEUpdate\getmac.exe
(©Wyebugur) C:\Users\Sélune\AppData\Roaming\Microsoft\Windows\IEUpdate\getmac.exe
==================== Registry (Whitelisted) ==================
(If an entry is included in the fixlist, the registry item will be restored to default or removed. The file will not be moved.)
HKLM\...\Run: [RtHDVCpl] => C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [7981088 2009-07-20] (Realtek Semiconductor)
HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe [35696 2009-10-03] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [246504 2010-01-11] (Sun Microsystems, Inc.)
HKLM-x32\...\Run: [tuto4pc_fr_53] => [X]
HKLM-x32\...\Run: [Adobe ARM] => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [935288 2009-09-04] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [VirtualCloneDrive] => C:\Program Files (x86)\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe [88984 2013-03-10] (Elaborate Bytes AG)
HKLM-x32\...\Run: [vmware-tray.exe] => D:\vmware\vmware-tray.exe [111696 2013-10-18] (VMware, Inc.)
Winlogon\Notify\aoyatim-x32: C:\Users\Sélune\AppData\Local\aoyatim.dll ()
HKLM\...\Policies\Explorer: [HideSCAHealth] 1
HKU\S-1-5-21-2529000320-1765950179-772847634-1000\...\Run: [Mobile Partner] => C:\Program Files (x86)\Parametres SFR 3G\Parametres SFR 3G
HKU\S-1-5-21-2529000320-1765950179-772847634-1000\...\Run: [uTorrent] => C:\Users\Sélune\AppData\Roaming\uTorrent\uTorrent.exe [1740880 2015-02-14] (BitTorrent Inc.)
HKU\S-1-5-21-2529000320-1765950179-772847634-1000\...\Run: [Ajworks] => C:\Users\Sélune\AppData\Local\Ajworks\tmpEC17.exe [141312 2015-02-04] ()
HKU\S-1-5-21-2529000320-1765950179-772847634-1000\...\Run: [Ezttion] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Sélune\AppData\Local\Ajworks\SharedGuestApps.dll
HKU\S-1-5-21-2529000320-1765950179-772847634-1000\...\Run: [aoyatim] => rundll32 "C:\Users\Sélune\AppData\Local\aoyatim.dll",aoyatim <===== ATTENTION
HKU\S-1-5-21-2529000320-1765950179-772847634-1000\...\Run: [BluetoothS] => rundll32.exe "%appdata%\BtvStack.dll",BTHF_Register
HKU\S-1-5-21-2529000320-1765950179-772847634-1000\...\Run: [CCleaner Monitoring] => C:\Program Files\CCleaner\CCleaner64.exe [7404312 2015-01-20] (Piriform Ltd)
HKU\S-1-5-21-2529000320-1765950179-772847634-1000\...\Run: [getmac] => C:\Users\Sélune\AppData\Roaming\Microsoft\Windows\IEUpdate\getmac.exe [290304 2009-07-14] (©Wyebugur)
HKU\S-1-5-21-2529000320-1765950179-772847634-1000\...\Policies\Explorer: [HideSCAHealth] 1
HKU\S-1-5-21-2529000320-1765950179-772847634-1000\...\Policies\Explorer: [Run] "C:\Users\Sélune\AppData\Roaming\Microsoft\Windows\IEUpdate\getmac.exe"
HKU\S-1-5-21-2529000320-1765950179-772847634-1000\...\MountPoints2: {1d6af88d-0a2d-11df-a56d-806e6f6e6963} - E:\autorun.exe
HKU\S-1-5-21-2529000320-1765950179-772847634-1000\...\MountPoints2: {db870314-f027-11e3-86b3-005056c00008} - K:\AutoRun.exe
HKU\S-1-5-21-2529000320-1765950179-772847634-1000\...\MountPoints2: {db87033c-f027-11e3-86b3-005056c00008} - K:\AutoRun.exe
HKU\S-1-5-21-2529000320-1765950179-772847634-1000\...\Command Processor: "C:\Users\Sélune\AppData\Roaming\Microsoft\Windows\IEUpdate\getmac.exe" <===== ATTENTION!
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\NETGEAR WNA3100M Genie.lnk
ShortcutTarget: NETGEAR WNA3100M Genie.lnk -> C:\Program Files (x86)\NETGEAR\WNA3100M\WNA3100M.exe ()
Startup: C:\Users\Sélune\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\getmac.lnk
ShortcutTarget: getmac.lnk -> C:\Users\Sélune\AppData\Roaming\Microsoft\Windows\IEUpdate\getmac.exe (©Wyebugur)
Startup: C:\Users\Sélune\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_DECRYPT.HTML ()
Startup: C:\Users\Sélune\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_DECRYPT.PNG ()
Startup: C:\Users\Sélune\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_DECRYPT.TXT ()
InternetURL: C:\Users\Sélune\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_DECRYPT.URL -> hxxp://paytoc4gtpn5czl2.torconnectpaycom/xdtk1b
Startup: C:\Users\Sélune\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\o-brother-where-art-thou-fre-4238381.lnk
ShortcutTarget: o-brother-where-art-thou-fre-4238381.lnk -> C:\ProgramData\{0a649589-34e6-22c2-0a64-4958934e5624}\o-brother-where-art-thou-fre-4238381.exe (No File)
Startup: C:\Users\Sélune\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.2.lnk
ShortcutTarget: OpenOffice.org 3.2.lnk -> C:\Program Files (x86)\OpenOffice.org 3\program\quickstart.exe ()
Startup: C:\Users\Sélune\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Vitrite.lnk
ShortcutTarget: Vitrite.lnk -> C:\Program Files (x86)\Tiny Utilities\Vitrite\Vitrite.exe ()
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
ShellIconOverlayIdentifiers: [1SecureIconsProvider] -> {FC9D8189-520A-4417-AED7-9EAC810C6FBA} => C:\ProgramData\Microsoft\Secure\Icons\SecureIconsProvider.dll ()
BootExecute: autocheck autochk * aswBoot.exe /M:dcd1949a47 /wow /dir:"C:\Program Files\AVAST Software\Avast"
==================== Internet (Whitelisted) ====================
(If an item is included in the fixlist, if it is a registry item it will be removed or restored to default.)
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.packardbell.com/rdr.asp ... 5y44n1066r
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.packardbell.com/rdr.asp ... 5y44n1066r
HKU\S-1-5-21-2529000320-1765950179-772847634-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
HKU\S-1-5-21-2529000320-1765950179-772847634-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.packardbell.com/rdr.asp ... 5y44n1066r
SearchScopes: HKLM-x32 -> {27D474FC-BEB8-B752-6718-2CA970C2AF0E} URL = http://www.google.com/search?sourceid=i ... lz=1I7ACPW
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-2529000320-1765950179-772847634-1000 -> {030ED2DF-8E02-D32D-E555-265417F50F56} URL = http://www.google.com/search?sourceid=i ... PW_frFR547
BHO: Google Toolbar Helper -> {AA58ED58-01DD-4d91-8333-CF10577473F7} -> C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.)
BHO: Google Toolbar Notifier BHO -> {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} -> C:\Program Files\Google\GoogleToolbarNotifier\5.7.9012.1008\swg64.dll (Google Inc.)
BHO-x32: Adobe PDF Link Helper -> {18DF081C-E8AD-4283-A596-FA578C2EBDC3} -> C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
BHO-x32: No Name -> {5C255C8A-E604-49b4-9D64-90988571CECB} -> No File
BHO-x32: Programme d'aide de l'Assistant de connexion Windows Live -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
BHO-x32: Google Toolbar Helper -> {AA58ED58-01DD-4d91-8333-CF10577473F7} -> C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
BHO-x32: Google Toolbar Notifier BHO -> {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} -> C:\Program Files (x86)\Google\GoogleToolbarNotifier\5.7.9012.1008\swg.dll (Google Inc.)
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.)
Toolbar: HKLM - Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.)
Toolbar: HKLM-x32 - Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
Toolbar: HKU\S-1-5-21-2529000320-1765950179-772847634-1000 -> Google Toolbar - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll (Google Inc.)
Handler-x32: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files (x86)\Windows Live\Messenger\msgrapp.14.0.8089.0726.dll (Microsoft Corporation)
Handler-x32: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files (x86)\Windows Live\Messenger\msgrapp.14.0.8089.0726.dll (Microsoft Corporation)
Handler: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - No File
Hosts: There are more than one entry in Hosts. See Hosts section of Addition.txt
Tcpip\Parameters: [DhcpNameServer] 192.198.0.1
Tcpip\..\Interfaces\{0B26813D-A8B4-406C-A11B-07C8904FCFFF}: [NameServer] 192.198.0.1
Tcpip\..\Interfaces\{333E7DD6-90E8-42A0-AF79-E560F93BEAB0}: [NameServer] 8.8.8.8,8.8.8.8
Tcpip\..\Interfaces\{46093138-7C24-49DA-AE00-835210A21051}: [NameServer] 8.8.8.8,8.8.8.8
Tcpip\..\Interfaces\{4F3A9D04-32B2-4262-9E64-DDD2BA7A7CFC}: [NameServer] 8.8.8.8,8.8.8.8
Tcpip\..\Interfaces\{809BF9E3-485C-487D-A1C6-E9A41DCB7D37}: [NameServer] 8.8.8.8,8.8.8.8
Tcpip\..\Interfaces\{8F9C7D8F-846E-46D6-BCCD-8A8613DD3189}: [NameServer] 8.8.8.8,8.8.8.8
Tcpip\..\Interfaces\{BDC008CE-1AED-4C7C-890F-BF2280174486}: [NameServer] 8.8.8.8,8.8.8.8
Tcpip\..\Interfaces\{EEF1F13C-D2A5-4953-829C-731B4BC916C7}: [NameServer] 8.8.8.8,8.8.8.8
Tcpip\..\Interfaces\{F98EDDF8-5FDA-4AC8-9C2C-ABD8459B0C94}: [NameServer] 8.8.8.8,8.8.8.8
FireFox:
========
FF ProfilePath: C:\Users\Sélune\AppData\Roaming\Mozilla\Firefox\Profiles\a5u71fiv.default
FF Homepage: http://www.laposte.net
FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF64_16_0_0_305.dll ()
FF Plugin-x32: @adobe.com/FlashPlayer -> C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_16_0_0_305.dll ()
FF Plugin-x32: @Google.com/GoogleEarthPlugin -> C:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files (x86)\Microsoft Silverlight\3.0.40624.0\npctrl.dll ( Microsoft Corporation)
FF Plugin-x32: @microsoft.com/WLPG,version=14.0.8081.0709 -> C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.26.9\npGoogleUpdate3.dll (Google Inc.)
FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.26.9\npGoogleUpdate3.dll (Google Inc.)
FF Plugin HKU\S-1-5-21-2529000320-1765950179-772847634-1000: @lightspark.github.com/Lightspark;version=1 -> C:\Program Files (x86)\Lightspark 0.5.3-git\nplightsparkplugin.dll No File
FF Extension: MSASR Locale Handler Class (2052) - C:\Users\Sélune\AppData\Roaming\Mozilla\Firefox\Profiles\a5u71fiv.default\Extensions\{B5964360-6230-C82A-0CBD-55198AE99CDB} [2015-02-04]
FF Extension: DownloadHelper - C:\Users\Sélune\AppData\Roaming\Mozilla\Firefox\Profiles\a5u71fiv.default\Extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d} [2015-02-04]
FF Extension: Hola Unblocker - C:\Users\Sélune\AppData\Roaming\Mozilla\Firefox\Profiles\a5u71fiv.default\Extensions\jid1-4P0kohSJxU1qGg@jetpack.xpi [2014-05-07]
FF HKLM-x32\...\Firefox\Extensions: [{ABDE892B-13A8-4d1b-88E6-365A6E755758}] - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext
Chrome:
=======
CHR StartupUrls: Default -> "hxxp://www1.delta-search.com/?babsrc=HP_ss&mntrId=D87B6CFDB98A49D1&affID=123702&tt=070813_wt3&tsp=4969"
CHR Profile: C:\Users\Sélune\AppData\Local\Google\Chrome\User Data\Default
CHR Extension: (RealPlayer Downloader) - C:\Users\Sélune\AppData\Local\Google\Chrome\User Data\Default\Extensions\idhngdhcfkoamngbedgpaokgjbnpdiji [2015-02-14]
CHR Extension: (Google Wallet) - C:\Users\Sélune\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-02-14]
==================== Services (Whitelisted) =================
(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)
S3 FLEXnet Licensing Service; C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [651720 2010-01-26] (Macrovision Europe Ltd.) [File not signed]
R2 ForceWare Intelligent Application Manager (IAM); C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe [625184 2009-05-29] ()
R2 Greg_Service; C:\Program Files (x86)\Packard Bell\Registration\GregHSRW.exe [1150496 2009-08-28] (Acer Incorporated)
R2 HWDeviceService64.exe; C:\ProgramData\DatacardService\HWDeviceService64.exe [351824 2013-02-06] ()
R2 nSvcIp; C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe [207904 2009-05-29] ()
R2 OberonGameConsoleService; C:\Program Files (x86)\Packard Bell GameZone\GameConsole\OberonGameConsoleService.exe [44312 2009-08-29] ()
R2 SystemUpdate; C:\Windows\FrameworkUpdate\Update.exe [120320 2015-02-21] () [File not signed]
R2 Updater Service; C:\Program Files\Packard Bell\Packard Bell Updater\UpdaterService.exe [240160 2009-07-04] (Acer)
R2 VMAuthdService; D:\vmware\vmware-authd.exe [86096 2013-10-18] (VMware, Inc.)
S4 VMwareHostd; D:\vmware\vmware-hostd.exe [14405200 2013-10-18] ()
S4 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2009-07-14] (Microsoft Corporation)
R2 WSWNA3100M; C:\Program Files (x86)\NETGEAR\WNA3100M\WifiSvc.exe [307488 2012-08-16] ()
==================== Drivers (Whitelisted) ====================
(If an entry is included in the fixlist, the service will be removed from the registry. The file will not be moved unless listed separately.)
U4 aswSP; No ImagePath
U5 ew_hwusbdev; C:\Windows\System32\Drivers\ew_hwusbdev.sys [109568 2013-01-25] (Huawei Technologies Co., Ltd.)
R3 RTL8192cu; C:\Windows\System32\DRIVERS\RTL8192cu.sys [854632 2012-06-12] (Realtek Semiconductor Corporation )
R0 vsock; C:\Windows\System32\drivers\vsock.sys [73296 2013-10-08] (VMware, Inc.)
R2 vstor2-mntapi20-shared; C:\Windows\SysWow64\drivers\vstor2-mntapi20-shared.sys [33872 2013-02-22] (VMware, Inc.)
S3 ZD1211U(ZyDAS); C:\Windows\System32\DRIVERS\zd1211u.sys [365568 2006-03-01] (ZyDAS Technology Corporation) [File not signed]
==================== NetSvcs (Whitelisted) ===================
(If an item is included in the fixlist, it will be removed from the registry. Any associated file could be listed separately to be moved.)
==================== One Month Created Files and Folders ========
(If an entry is included in the fixlist, the file\folder will be moved.)
2015-02-22 15:50 - 2015-02-22 15:53 - 00019167 _____ () C:\Users\Sélune\Desktop\FRST.txt
2015-02-22 15:50 - 2015-02-22 15:50 - 00000000 _____ () C:\Windows\SysWOW64\FAPFBA1.tmp
2015-02-22 15:50 - 2015-02-22 15:50 - 00000000 _____ () C:\Windows\SysWOW64\FAPFB02.tmp
2015-02-22 15:50 - 2015-02-22 15:50 - 00000000 _____ () C:\Windows\SysWOW64\FAPFA15.tmp
2015-02-22 15:50 - 2015-02-22 15:50 - 00000000 _____ () C:\Windows\SysWOW64\FAPF947.tmp
2015-02-22 15:50 - 2015-02-22 15:50 - 00000000 _____ () C:\Windows\SysWOW64\FAPF8B8.tmp
2015-02-22 15:50 - 2015-02-22 15:50 - 00000000 _____ () C:\Windows\SysWOW64\FAPF339.tmp
2015-02-22 15:50 - 2015-02-22 15:50 - 00000000 _____ () C:\Windows\SysWOW64\FAPE7A2.tmp
2015-02-22 15:50 - 2015-02-22 15:50 - 00000000 _____ () C:\Windows\SysWOW64\FAP109A.tmp
2015-02-22 15:49 - 2015-02-22 15:49 - 00000000 _____ () C:\Windows\SysWOW64\FAP5A3F.tmp
2015-02-22 15:49 - 2015-02-22 15:49 - 00000000 _____ () C:\Windows\SysWOW64\FAP55E8.tmp
2015-02-22 15:49 - 2015-02-22 15:49 - 00000000 _____ () C:\Windows\SysWOW64\FAP4F41.tmp
2015-02-22 15:49 - 2015-02-22 15:49 - 00000000 _____ () C:\Windows\SysWOW64\FAP393E.tmp
2015-02-22 15:49 - 2015-02-22 15:49 - 00000000 _____ () C:\Windows\SysWOW64\FAP3535.tmp
2015-02-22 15:48 - 2015-02-22 15:48 - 00000000 _____ () C:\Windows\SysWOW64\FAP5946.tmp
2015-02-22 15:48 - 2015-02-22 15:48 - 00000000 _____ () C:\Windows\SysWOW64\FAP4EC7.tmp
2015-02-22 15:48 - 2015-02-22 15:48 - 00000000 _____ () C:\Windows\SysWOW64\FAP42C3.tmp
2015-02-22 15:48 - 2015-02-22 15:48 - 00000000 _____ () C:\Windows\SysWOW64\FAP406F.tmp
2015-02-22 15:48 - 2015-02-22 15:48 - 00000000 _____ () C:\Windows\SysWOW64\FAP2B47.tmp
2015-02-22 15:46 - 2015-02-22 15:50 - 00000000 ____D () C:\FRST
2015-02-22 15:46 - 2015-02-22 15:46 - 00000000 _____ () C:\Windows\SysWOW64\FAP15B2.tmp
2015-02-22 15:45 - 2015-02-22 15:45 - 02086912 _____ (Farbar) C:\Users\Sélune\Desktop\FRST64.exe
2015-02-22 15:45 - 2015-02-22 15:45 - 00000000 _____ () C:\Windows\SysWOW64\FAP5138.tmp
2015-02-22 15:44 - 2015-02-22 15:44 - 00000000 _____ () C:\Windows\SysWOW64\FAPAD29.tmp
2015-02-22 15:43 - 2015-02-22 15:43 - 00000000 _____ () C:\Windows\SysWOW64\FAP58EF.tmp
2015-02-22 15:42 - 2015-02-22 15:42 - 00000000 _____ () C:\Windows\SysWOW64\FAPC516.tmp
2015-02-22 15:42 - 2015-02-22 15:42 - 00000000 _____ () C:\Windows\SysWOW64\FAPC4B6.tmp
2015-02-22 15:42 - 2015-02-22 15:42 - 00000000 _____ () C:\Windows\SysWOW64\FAPC474.tmp
2015-02-22 15:42 - 2015-02-22 15:42 - 00000000 _____ () C:\Windows\SysWOW64\FAPC3E5.tmp
2015-02-22 15:41 - 2015-02-22 15:41 - 00000000 _____ () C:\Windows\SysWOW64\FAPFDAF.tmp
2015-02-22 15:41 - 2015-02-22 15:41 - 00000000 _____ () C:\Windows\SysWOW64\FAPBE4.tmp
2015-02-22 15:41 - 2015-02-22 15:41 - 00000000 _____ () C:\Windows\SysWOW64\FAPB16.tmp
2015-02-22 15:41 - 2015-02-22 15:41 - 00000000 _____ () C:\Windows\SysWOW64\FAPAE.tmp
2015-02-22 15:41 - 2015-02-22 15:41 - 00000000 _____ () C:\Windows\SysWOW64\FAPAA6.tmp
2015-02-22 15:41 - 2015-02-22 15:41 - 00000000 _____ () C:\Windows\SysWOW64\FAPA45.tmp
2015-02-22 15:41 - 2015-02-22 15:41 - 00000000 _____ () C:\Windows\SysWOW64\FAP9E4.tmp
2015-02-22 15:41 - 2015-02-22 15:41 - 00000000 _____ () C:\Windows\SysWOW64\FAP485.tmp
2015-02-22 15:41 - 2015-02-22 15:41 - 00000000 _____ () C:\Windows\SysWOW64\FAP31B.tmp
2015-02-22 15:41 - 2015-02-22 15:41 - 00000000 _____ () C:\Windows\SysWOW64\FAP2CA2.tmp
2015-02-22 15:41 - 2015-02-22 15:41 - 00000000 _____ () C:\Windows\SysWOW64\FAP2CA.tmp
2015-02-22 15:41 - 2015-02-22 15:41 - 00000000 _____ () C:\Windows\SysWOW64\FAP2C51.tmp
2015-02-22 15:41 - 2015-02-22 15:41 - 00000000 _____ () C:\Windows\SysWOW64\FAP2BD2.tmp
2015-02-22 15:41 - 2015-02-22 15:41 - 00000000 _____ () C:\Windows\SysWOW64\FAP2B42.tmp
2015-02-22 15:41 - 2015-02-22 15:41 - 00000000 _____ () C:\Windows\SysWOW64\FAP2A65.tmp
2015-02-22 15:41 - 2015-02-22 15:41 - 00000000 _____ () C:\Windows\SysWOW64\FAP29F5.tmp
2015-02-22 15:41 - 2015-02-22 15:41 - 00000000 _____ () C:\Windows\SysWOW64\FAP298.tmp
2015-02-22 15:41 - 2015-02-22 15:41 - 00000000 _____ () C:\Windows\SysWOW64\FAP257.tmp
2015-02-22 15:41 - 2015-02-22 15:41 - 00000000 _____ () C:\Windows\SysWOW64\FAP2512.tmp
2015-02-22 15:37 - 2015-02-22 15:37 - 00000000 _____ () C:\Windows\SysWOW64\FAPF222.tmp
2015-02-22 15:37 - 2015-02-22 15:37 - 00000000 _____ () C:\Windows\SysWOW64\FAP7C7.tmp
2015-02-22 15:37 - 2015-02-22 15:37 - 00000000 _____ () C:\Windows\SysWOW64\FAP766.tmp
2015-02-22 15:37 - 2015-02-22 15:37 - 00000000 _____ () C:\Windows\SysWOW64\FAP6C7.tmp
2015-02-22 15:37 - 2015-02-22 15:37 - 00000000 _____ () C:\Windows\SysWOW64\FAP628.tmp
2015-02-22 15:37 - 2015-02-22 15:37 - 00000000 _____ () C:\Windows\SysWOW64\FAP50C.tmp
2015-02-22 15:37 - 2015-02-22 15:37 - 00000000 _____ () C:\Windows\SysWOW64\FAP44E.tmp
2015-02-22 15:37 - 2015-02-22 15:37 - 00000000 _____ () C:\Windows\SysWOW64\FAP40E3.tmp
2015-02-22 15:36 - 2015-02-22 15:36 - 00000000 _____ () C:\Windows\SysWOW64\FAP787D.tmp
2015-02-22 15:36 - 2015-02-22 15:36 - 00000000 _____ () C:\Windows\SysWOW64\FAP758E.tmp
2015-02-22 15:36 - 2015-02-22 15:36 - 00000000 _____ () C:\Windows\SysWOW64\FAP7240.tmp
2015-02-22 15:36 - 2015-02-22 15:36 - 00000000 _____ () C:\Windows\SysWOW64\FAP71EF.tmp
2015-02-22 15:36 - 2015-02-22 15:36 - 00000000 _____ () C:\Windows\SysWOW64\FAP717F.tmp
2015-02-22 15:36 - 2015-02-22 15:36 - 00000000 _____ () C:\Windows\SysWOW64\FAP712E.tmp
2015-02-22 15:36 - 2015-02-22 15:36 - 00000000 _____ () C:\Windows\SysWOW64\FAP69FA.tmp
2015-02-22 15:36 - 2015-02-22 15:36 - 00000000 _____ () C:\Windows\SysWOW64\FAP68B0.tmp
2015-02-22 15:36 - 2015-02-22 15:36 - 00000000 _____ () C:\Windows\SysWOW64\FAP683F.tmp
2015-02-22 15:36 - 2015-02-22 15:36 - 00000000 _____ () C:\Windows\SysWOW64\FAP67A0.tmp
2015-02-22 15:36 - 2015-02-22 15:36 - 00000000 _____ () C:\Windows\SysWOW64\FAP6694.tmp
2015-02-22 15:36 - 2015-02-22 15:36 - 00000000 _____ () C:\Windows\SysWOW64\FAP6347.tmp
2015-02-22 15:36 - 2015-02-22 15:36 - 00000000 _____ () C:\Windows\SysWOW64\FAP62E6.tmp
2015-02-22 15:36 - 2015-02-22 15:36 - 00000000 _____ () C:\Windows\SysWOW64\FAP6286.tmp
2015-02-22 15:36 - 2015-02-22 15:36 - 00000000 _____ () C:\Windows\SysWOW64\FAP61F6.tmp
2015-02-22 15:36 - 2015-02-22 15:36 - 00000000 _____ () C:\Windows\SysWOW64\FAP5E2C.tmp
2015-02-22 15:36 - 2015-02-22 15:36 - 00000000 _____ () C:\Windows\SysWOW64\FAP4701.tmp
2015-02-22 15:35 - 2015-02-22 15:35 - 00000000 _____ () C:\Windows\SysWOW64\FAPEE8C.tmp
2015-02-22 15:35 - 2015-02-22 15:35 - 00000000 _____ () C:\Windows\SysWOW64\FAPEDFD.tmp
2015-02-22 15:35 - 2015-02-22 15:35 - 00000000 _____ () C:\Windows\SysWOW64\FAP9D09.tmp
2015-02-22 15:35 - 2015-02-22 15:35 - 00000000 _____ () C:\Windows\SysWOW64\FAP9A29.tmp
2015-02-22 15:34 - 2015-02-22 15:34 - 00000000 _____ () C:\Windows\SysWOW64\FAP428F.tmp
2015-02-22 15:33 - 2015-02-22 15:33 - 00000000 _____ () C:\Windows\SysWOW64\FAP9F99.tmp
2015-02-22 15:33 - 2015-02-22 15:33 - 00000000 _____ () C:\Windows\SysWOW64\FAP9BA0.tmp
2015-02-22 15:31 - 2015-02-22 15:31 - 00000000 _____ () C:\Windows\SysWOW64\FAP923B.tmp
2015-02-22 15:31 - 2015-02-22 15:31 - 00000000 _____ () C:\Windows\SysWOW64\FAP796A.tmp
2015-02-22 15:07 - 2015-02-22 15:07 - 00000000 _____ () C:\Windows\SysWOW64\FAP6673.tmp
2015-02-22 15:07 - 2015-02-22 15:07 - 00000000 _____ () C:\Windows\SysWOW64\FAP5B0B.tmp
2015-02-22 15:07 - 2015-02-22 15:07 - 00000000 _____ () C:\Windows\SysWOW64\FAP4814.tmp
2015-02-22 15:07 - 2015-02-22 15:07 - 00000000 _____ () C:\Windows\SysWOW64\FAP47A4.tmp
2015-02-22 15:07 - 2015-02-22 15:07 - 00000000 _____ () C:\Windows\SysWOW64\FAP4763.tmp
2015-02-22 15:07 - 2015-02-22 15:07 - 00000000 _____ () C:\Windows\SysWOW64\FAP4712.tmp
2015-02-22 15:07 - 2015-02-22 15:07 - 00000000 _____ () C:\Windows\SysWOW64\FAP46A2.tmp
2015-02-22 15:07 - 2015-02-22 15:07 - 00000000 _____ () C:\Windows\SysWOW64\FAP4670.tmp
2015-02-22 15:07 - 2015-02-22 15:07 - 00000000 _____ () C:\Windows\SysWOW64\FAP45F0.tmp
2015-02-22 15:07 - 2015-02-22 15:07 - 00000000 _____ () C:\Windows\SysWOW64\FAP4561.tmp
2015-02-22 15:07 - 2015-02-22 15:07 - 00000000 _____ () C:\Windows\SysWOW64\FAP452F.tmp
2015-02-22 15:07 - 2015-02-22 15:07 - 00000000 _____ () C:\Windows\SysWOW64\FAP44CE.tmp
2015-02-22 15:07 - 2015-02-22 15:07 - 00000000 _____ () C:\Windows\SysWOW64\FAP449C.tmp
2015-02-22 15:07 - 2015-02-22 15:07 - 00000000 _____ () C:\Windows\SysWOW64\FAP43DE.tmp
2015-02-22 15:07 - 2015-02-22 15:07 - 00000000 _____ () C:\Windows\SysWOW64\FAP435E.tmp
2015-02-22 15:07 - 2015-02-22 15:07 - 00000000 _____ () C:\Windows\SysWOW64\FAP42CF.tmp
2015-02-22 15:07 - 2015-02-22 15:07 - 00000000 _____ () C:\Windows\SysWOW64\FAP364E.tmp
2015-02-22 15:07 - 2015-02-22 15:07 - 00000000 _____ () C:\Windows\SysWOW64\FAP2A69.tmp
2015-02-22 15:07 - 2015-02-22 15:07 - 00000000 _____ () C:\Windows\SysWOW64\FAP2289.tmp
2015-02-22 08:44 - 2015-02-22 08:44 - 00009064 _____ () C:\Users\Sélune\HELP_DECRYPT.HTML
2015-02-22 08:44 - 2015-02-22 08:44 - 00009064 _____ () C:\Users\Sélune\Desktop\HELP_DECRYPT.HTML
2015-02-22 08:44 - 2015-02-22 08:44 - 00009064 _____ () C:\Users\HELP_DECRYPT.HTML
2015-02-22 08:44 - 2015-02-22 08:44 - 00009064 _____ () C:\HELP_DECRYPT.HTML
2015-02-22 08:44 - 2015-02-22 08:44 - 00004720 _____ () C:\Users\Sélune\HELP_DECRYPT.TXT
2015-02-22 08:44 - 2015-02-22 08:44 - 00004720 _____ () C:\Users\Sélune\Desktop\HELP_DECRYPT.TXT
2015-02-22 08:44 - 2015-02-22 08:44 - 00004720 _____ () C:\Users\HELP_DECRYPT.TXT
2015-02-22 08:44 - 2015-02-22 08:44 - 00004720 _____ () C:\HELP_DECRYPT.TXT
2015-02-22 08:44 - 2015-02-22 08:44 - 00000288 _____ () C:\Users\Sélune\HELP_DECRYPT.URL
2015-02-22 08:44 - 2015-02-22 08:44 - 00000288 _____ () C:\Users\Sélune\Desktop\HELP_DECRYPT.URL
2015-02-22 08:44 - 2015-02-22 08:44 - 00000288 _____ () C:\Users\HELP_DECRYPT.URL
2015-02-22 08:44 - 2015-02-22 08:44 - 00000288 _____ () C:\HELP_DECRYPT.URL
2015-02-22 08:38 - 2015-02-22 08:38 - 00009064 _____ () C:\Users\Sélune\Downloads\HELP_DECRYPT.HTML
2015-02-22 08:38 - 2015-02-22 08:38 - 00004720 _____ () C:\Users\Sélune\Downloads\HELP_DECRYPT.TXT
2015-02-22 08:38 - 2015-02-22 08:38 - 00000288 _____ () C:\Users\Sélune\Downloads\HELP_DECRYPT.URL
2015-02-22 06:30 - 2015-02-22 06:30 - 00009064 _____ () C:\Users\Sélune\Documents\HELP_DECRYPT.HTML
2015-02-22 06:30 - 2015-02-22 06:30 - 00004720 _____ () C:\Users\Sélune\Documents\HELP_DECRYPT.TXT
2015-02-22 06:30 - 2015-02-22 06:30 - 00000288 _____ () C:\Users\Sélune\Documents\HELP_DECRYPT.URL
2015-02-22 01:01 - 2015-02-22 06:55 - 00000000 ____D () C:\Users\Sélune\Downloads\Kingsman The Secret Service 2015 CAM XviD AC3 MURD3R
2015-02-22 00:58 - 2015-02-22 00:58 - 00000000 ____D () C:\Users\Sélune\Downloads\The Angels Share 2012 BluRay 720p DTS AC3
2015-02-22 00:46 - 2015-02-22 00:46 - 00000100 ____H () C:\Users\Sélune\Desktop\.~lock.code fjt hdb.odt#
2015-02-21 20:04 - 2015-02-21 20:04 - 00001744 _____ () C:\Windows\PFRO.log
2015-02-21 20:04 - 2015-02-21 20:04 - 00000056 _____ () C:\Windows\setupact.log
2015-02-21 20:04 - 2015-02-21 20:04 - 00000000 _____ () C:\Windows\setuperr.log
2015-02-21 12:04 - 2015-02-21 12:04 - 00009064 _____ () C:\Users\Sélune\AppData\Roaming\HELP_DECRYPT.HTML
2015-02-21 12:04 - 2015-02-21 12:04 - 00009064 _____ () C:\Users\Sélune\AppData\HELP_DECRYPT.HTML
2015-02-21 12:04 - 2015-02-21 12:04 - 00004720 _____ () C:\Users\Sélune\AppData\Roaming\HELP_DECRYPT.TXT
2015-02-21 12:04 - 2015-02-21 12:04 - 00004720 _____ () C:\Users\Sélune\AppData\HELP_DECRYPT.TXT
2015-02-21 12:04 - 2015-02-21 12:04 - 00000288 _____ () C:\Users\Sélune\AppData\Roaming\HELP_DECRYPT.URL
2015-02-21 12:04 - 2015-02-21 12:04 - 00000288 _____ () C:\Users\Sélune\AppData\HELP_DECRYPT.URL
2015-02-21 11:59 - 2015-02-21 11:59 - 00009064 _____ () C:\Users\Sélune\AppData\Local\HELP_DECRYPT.HTML
2015-02-21 11:59 - 2015-02-21 11:59 - 00009064 _____ () C:\ProgramData\HELP_DECRYPT.HTML
2015-02-21 11:59 - 2015-02-21 11:59 - 00004720 _____ () C:\Users\Sélune\AppData\Local\HELP_DECRYPT.TXT
2015-02-21 11:59 - 2015-02-21 11:59 - 00004720 _____ () C:\ProgramData\HELP_DECRYPT.TXT
2015-02-21 11:59 - 2015-02-21 11:59 - 00000288 _____ () C:\Users\Sélune\AppData\Local\HELP_DECRYPT.URL
2015-02-21 11:59 - 2015-02-21 11:59 - 00000288 _____ () C:\ProgramData\HELP_DECRYPT.URL
2015-02-21 11:28 - 2015-02-21 11:28 - 00000000 ____D () C:\Windows\FrameworkUpdate
2015-02-21 01:02 - 2015-02-08 02:13 - 735252768 ____R () C:\Users\Sélune\Downloads\O'Brother - Frères Cohen Fr.avi
2015-02-21 00:59 - 2015-02-22 15:54 - 00003648 _____ () C:\Windows\System32\Tasks\getmac
2015-02-21 00:58 - 2015-02-21 00:58 - 00002774 _____ () C:\Windows\System32\Tasks\CCleanerSkipUAC
2015-02-21 00:58 - 2015-02-21 00:58 - 00000794 _____ () C:\Users\Public\Desktop\CCleaner.lnk
2015-02-21 00:58 - 2015-02-21 00:58 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CCleaner
2015-02-21 00:58 - 2015-02-21 00:58 - 00000000 ____D () C:\Program Files\CCleaner
2015-02-21 00:57 - 2015-02-21 00:57 - 00720520 _____ (Program software ) C:\Users\Sélune\Downloads\ccleaner_5-02_fr_14492.exe
2015-02-21 00:57 - 2015-02-21 00:57 - 00001141 _____ () C:\Users\Sélune\Desktop\Continuer Installation de CCleaner.lnk
2015-02-21 00:55 - 2015-02-21 00:55 - 05325208 _____ (Piriform Ltd) C:\Users\Sélune\Downloads\ccsetup502.exe
2015-02-21 00:30 - 2015-02-21 10:58 - 00000000 ____D () C:\Users\Sélune\AppData\Roaming\Local Store
2015-02-21 00:27 - 2015-02-21 00:59 - 00003674 _____ () C:\Windows\System32\Tasks\whoami
2015-02-14 21:59 - 2015-02-14 21:59 - 00000247 _____ () C:\Windows\system32\2015-02-14-20-59-49.099-aswFe.exe-18268.log
2015-02-14 21:58 - 2015-02-14 21:58 - 00000197 _____ () C:\Windows\system32\2015-02-14-20-58-35.000-AvastVBoxSVC.exe-17308.log
2015-02-14 21:48 - 2015-02-14 21:48 - 00000000 ____D () C:\Windows\SysWOW64\vbox
2015-02-14 21:48 - 2015-02-14 21:48 - 00000000 ____D () C:\Windows\system32\vbox
2015-02-14 14:58 - 2015-02-14 14:58 - 00053765 _____ () C:\Users\Sélune\AppData\Local\aoyatim.dll
2015-02-14 14:58 - 2015-02-14 14:58 - 00049253 _____ (Awesomium Technologies LLC) C:\Users\Sélune\AppData\Roaming\IVFQ3xOTLq.exe
2015-02-13 18:13 - 2015-02-13 18:13 - 00032768 _____ () C:\Users\Sélune\AppData\Roaming\update_patch.reg
2015-02-12 23:54 - 2015-02-13 00:34 - 131078000 _____ (AVAST Software) C:\Users\Sélune\Downloads\avast-antivirus-gratuit-2015_fr_11113.exe
2015-02-12 13:37 - 2015-02-12 13:37 - 00029248 _____ () C:\Users\Sélune\Downloads\Corrigé bac blanc obli 2015.odt
2015-02-10 13:00 - 2015-02-22 08:38 - 00000000 ____D () C:\Users\Sélune\Downloads\[www.OMGTORRENT.com] Marco.Polo.2014.S01.FRENCH.WEBRip.XviD-RNT
2015-02-10 12:40 - 2015-02-22 08:14 - 00000000 ____D () C:\Users\Sélune\Downloads\The Shawshank Redemption,1994,BRRip,Sub Eng-Arabic-French-Swedish-ToZoon
2015-02-10 12:35 - 2015-02-22 07:10 - 00000000 ____D () C:\Users\Sélune\Downloads\Les.Evades.1995.FRENCH.BDRIP.XVID.AC3-HuSh
2015-02-10 12:34 - 2015-02-10 12:34 - 00071904 _____ () C:\Users\Sélune\Downloads\American.Gangster.2007.Z2.UNRATEDMARS.zip
2015-02-10 12:33 - 2015-02-22 06:30 - 00000000 ____D () C:\Users\Sélune\Downloads\American Gangster 2007 FR DTS HDRIP 1080P x264-SubZero
2015-02-10 10:08 - 2015-02-10 10:08 - 00071024 _____ () C:\Users\Sélune\Downloads\The.Promise.S01.DVDRip.Z2.FR.zip
2015-02-10 10:05 - 2015-02-22 08:02 - 00000000 ____D () C:\Users\Sélune\Downloads\The Promise S01E3 HDTV nl subs DutchReleaseTeam
2015-02-08 23:43 - 2015-02-21 11:32 - 00000000 ____D () C:\AdwCleaner
2015-02-08 23:41 - 2015-02-08 23:42 - 02112512 _____ () C:\Users\Sélune\Downloads\adwcleaner_4.110.exe
2015-02-08 22:49 - 2015-02-08 22:49 - 00024704 _____ () C:\Users\Sélune\Downloads\taken.2.(2012).fre.1cd.(4820935).zip
2015-02-08 21:17 - 2015-02-08 21:17 - 00022944 _____ () C:\Users\Sélune\Downloads\taken.(2008).fre.1cd.(6017239).zip
2015-02-08 13:14 - 2015-02-08 15:14 - 607334241 _____ () C:\Users\Sélune\Downloads\JEABuch.TVRIP.X264.WwW.DDLFRENCH.ORG-DAKOR(1).mkv
2015-02-07 00:18 - 2015-02-07 01:23 - 153640560 _____ () C:\Users\Sélune\Downloads\JEABuch.TVRIP.X264.WwW.DDLFRENCH.ORG-DAKOR.mkv
2015-02-07 00:09 - 2015-02-22 07:42 - 00000000 ____D () C:\Users\Sélune\Downloads\O.Brother.Where.Art.Thou.2000.1080p.BluRay.x264.anoXmous
2015-02-07 00:08 - 2015-02-22 08:22 - 00000000 ____D () C:\Users\Sélune\Downloads\The.Big.Lebowski.1998.FRENCH.BRRiP.XViD.AC3-HuSh
2015-02-07 00:07 - 2015-02-22 07:59 - 00000000 ____D () C:\Users\Sélune\Downloads\The Big Lebowski 1998.1080p.BluRay.x264.anoXmous
2015-02-06 09:51 - 2015-02-06 09:51 - 00000761 _____ () C:\Windows\system32\Drivers\etc\hosts.txt
2015-02-05 23:55 - 2015-02-22 06:49 - 00000000 ____D () C:\Users\Sélune\Downloads\DAVID BOWIE - STUDIO DISCOGRAPHY [CHANNEL NEO]
2015-02-05 23:51 - 2015-02-22 07:22 - 00000000 ____D () C:\Users\Sélune\Downloads\MJ
2015-02-04 12:02 - 2015-02-04 12:02 - 00003386 _____ () C:\Windows\System32\Tasks\RealDownloaderDownloaderScheduledTaskS-1-5-21-2529000320-1765950179-772847634-1000
2015-02-04 11:25 - 2015-02-22 07:04 - 00000000 ____D () C:\Users\Sélune\Downloads\Le.Hobbit.la.Bataille.des.Cinq.Armées.2014.Movie.FRENCH.1080p.BrRip.x264-FANTA
2015-02-04 11:18 - 2015-02-22 06:59 - 00000000 ____D () C:\Users\Sélune\Downloads\L.Armee.Du.Crime.2009.FRENCH.BDRip.XviD.HORiZON-ArtSubs
2015-02-04 09:41 - 2015-02-22 07:33 - 00000000 ____D () C:\Users\Sélune\Downloads\Mr.Turner.2014.DVDScr.XviD.AC3-OSCARS2014
2015-02-04 09:35 - 2015-02-14 21:47 - 00000000 ____D () C:\Users\Sélune\AppData\Local\Adbworks
2015-02-04 09:34 - 2015-02-21 00:55 - 00000000 ____D () C:\Users\Sélune\AppData\Local\Ajworks
2015-02-03 19:24 - 2015-02-04 20:11 - 00000000 ____D () C:\Users\Sélune\Downloads\The.Army.Of.Crime.2009.720p.BluRay.x264-CiNEFiLE
2015-02-03 14:31 - 2015-02-03 16:44 - 00000000 ____D () C:\Users\Sélune\Downloads\[www.Cpasbien.pe] Guardians.of.the.Galaxy.2014.FRENCH.720p.BluRay.x264-VENUM
2015-02-03 01:15 - 2015-02-22 06:49 - 00000000 ____D () C:\Users\Sélune\Downloads\Game.of.Thrones.S01-S04.720p.BluRay.nSD.x264-NhaNc3- [MUMBAI-TPB]
2015-02-03 01:12 - 2015-02-22 06:49 - 00000000 ____D () C:\Users\Sélune\Downloads\Game.of.Thrones.S04.1080p.BluRay.x264-ROVERS[rartv]
2015-02-03 01:09 - 2015-02-03 12:16 - 00000000 ____D () C:\Users\Sélune\Downloads\Guardians.Of.The.Galaxy.2014.MULTi.TRUEFRENCH.HD.zone-telechargement.com
2015-02-03 01:08 - 2015-02-03 01:09 - 00000000 ____D () C:\Users\Sélune\Downloads\Taken 1, 2 (2008, 2012) Unrated BDRip 1080p DTS SPA-aac HighCode
2015-02-03 01:06 - 2015-02-22 07:52 - 00000000 ____D () C:\Users\Sélune\Downloads\Taken (2008) [1080p]
2015-02-03 00:39 - 2015-02-22 07:25 - 00000000 ____D () C:\Users\Sélune\Downloads\Mr. Turner 2014
2015-02-02 19:04 - 2015-02-02 19:04 - 00017501 _____ () C:\Users\Sélune\Downloads\[kickass.so]a.hard.day.2014.hdtv.720p.cinemania.mkv.torrent
2015-02-02 18:38 - 2015-02-08 21:57 - 00000112 _____ () C:\ProgramData\24c1h4.dat
2015-02-02 18:37 - 2015-02-02 18:37 - 00000000 ____D () C:\Users\Default\AppData\Roaming\Macromedia
2015-02-02 18:37 - 2015-02-02 18:37 - 00000000 ____D () C:\Users\Default\AppData\Roaming\Adobe
2015-02-02 18:37 - 2015-02-02 18:37 - 00000000 ____D () C:\Users\Default User\AppData\Roaming\Macromedia
2015-02-02 18:37 - 2015-02-02 18:37 - 00000000 ____D () C:\Users\Default User\AppData\Roaming\Adobe
2015-02-02 18:36 - 2015-02-02 18:36 - 00000000 ____D () C:\ProgramData\Package Cache
2015-02-02 18:05 - 2015-02-22 08:02 - 00000000 ____D () C:\Users\Sélune\Downloads\The Imitation Game (2014) 720p BrRip x264 YIFY
2015-02-02 17:49 - 2015-02-02 17:49 - 00243680 _____ () C:\Users\Sélune\Downloads\Firefox Setup Stub 35.0.1.exe
2015-02-02 17:45 - 2015-02-22 15:53 - 00000000 ____D () C:\Users\Sélune\AppData\Roaming\uTorrent
2015-02-02 17:45 - 2015-02-14 19:06 - 00000826 _____ () C:\Users\Sélune\Desktop\µTorrent.lnk
2015-02-02 17:45 - 2015-02-14 19:06 - 00000806 _____ () C:\Users\Sélune\AppData\Roaming\Microsoft\Windows\Start Menu\µTorrent.lnk
2015-02-02 17:44 - 2015-02-02 17:44 - 01740880 _____ (BitTorrent Inc.) C:\Users\Sélune\Downloads\uTorrent.exe
2015-02-02 08:48 - 2015-02-02 17:02 - 00009872 _____ () C:\Users\Sélune\Desktop\code fjt hdb 2.odt
2015-01-24 17:38 - 2015-01-24 17:38 - 00003102 _____ () C:\Windows\System32\Tasks\RealCreateProcessScheduledTask1987038882S-1-5-21-2529000320-1765950179-772847634-1000
==================== One Month Modified Files and Folders =======
(If an entry is included in the fixlist, the file\folder will be moved.)
2015-02-22 15:48 - 2013-07-29 21:07 - 00001070 _____ () C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2015-02-22 15:33 - 2013-07-29 22:15 - 00001002 _____ () C:\Windows\Tasks\Adobe Flash Player Updater.job
2015-02-22 13:39 - 2013-03-15 01:43 - 00004312 _____ () C:\Windows\System32\Tasks\User_Feed_Synchronization-{0E9B7247-2A25-49E3-96CB-1291E2D50CF8}
2015-02-22 08:44 - 2010-05-11 13:19 - 00000000 ____D () C:\Users\Sélune
2015-02-22 08:42 - 2013-10-22 13:53 - 00000000 ____D () C:\Users\Sélune\dwhelper
2015-02-22 06:49 - 2013-08-09 09:37 - 00000000 ____D () C:\Users\Sélune\Downloads\Déconnexion intempestive du wifi free_fichiers
2015-02-22 06:30 - 2014-11-29 12:01 - 00000000 ____D () C:\Users\Sélune\Desktop\téléchargements portable à trier
2015-02-22 06:30 - 2014-03-05 15:07 - 00000000 ____D () C:\Users\Sélune\Downloads\Cartes téléchargées (fichiers jpg)
2015-02-22 06:30 - 2014-03-05 15:05 - 00000000 ____D () C:\Users\Sélune\Downloads\Cartes téléchargées (fichiers scam)
2015-02-22 06:30 - 2014-02-25 10:19 - 00000000 ____D () C:\Users\Sélune\Documents\SimCity 4
2015-02-22 06:30 - 2010-05-11 19:03 - 00000000 ____D () C:\Users\Sélune\Documents\My Games
2015-02-22 06:29 - 2014-08-26 09:18 - 00000000 ____D () C:\Users\Sélune\Desktop\recettes
2015-02-22 06:29 - 2014-08-26 09:17 - 00000000 ____D () C:\Users\Sélune\Desktop\préparation 2014-2015
2015-02-22 06:22 - 2014-08-26 09:19 - 00000000 ____D () C:\Users\Sélune\Desktop\manuels (à fusionner)
2015-02-22 06:17 - 2015-01-11 21:24 - 00000000 ____D () C:\Users\Sélune\Desktop\clé 4
2015-02-22 05:32 - 2014-04-12 23:49 - 00000000 ____D () C:\Users\Sélune\Desktop\clé 3
2015-02-22 01:46 - 2013-07-29 21:07 - 00001066 _____ () C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2015-02-22 00:57 - 2014-05-10 17:26 - 00000000 ____D () C:\Program Files (x86)\Mozilla Firefox
2015-02-21 20:12 - 2009-07-14 05:45 - 00009696 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2015-02-21 20:12 - 2009-07-14 05:45 - 00009696 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2015-02-21 20:05 - 2014-04-29 11:27 - 00000000 ____D () C:\ProgramData\VMware
2015-02-21 20:04 - 2009-07-14 06:08 - 00000006 ____H () C:\Windows\Tasks\SA.DAT
2015-02-21 19:23 - 2013-11-05 22:29 - 00000000 ____D () C:\Users\Sélune\Desktop\clé 2
2015-02-21 15:24 - 2013-05-06 19:20 - 00000000 ____D () C:\Users\Sélune\Desktop\clé
2015-02-21 13:42 - 2014-07-06 01:02 - 00000000 ____D () C:\Users\Sélune\Desktop\autres
2015-02-21 12:04 - 2014-05-07 16:47 - 00000000 ____D () C:\Users\Sélune\AppData\Roaming\Real
2015-02-21 12:00 - 2011-05-17 19:20 - 00000000 ____D () C:\Users\Sélune\AppData\Roaming\Mozilla
2015-02-21 12:00 - 2010-09-26 18:09 - 00000000 ____D () C:\Users\Sélune\AppData\Roaming\OpenOffice.org
2015-02-21 12:00 - 2010-05-11 14:31 - 00000000 ____D () C:\Users\Sélune\AppData\Roaming\Nero
2015-02-21 11:59 - 2014-05-07 16:43 - 00000000 ____D () C:\ProgramData\Real
2015-02-21 11:59 - 2013-11-17 18:48 - 00000000 ____D () C:\UsbFix
2015-02-21 11:59 - 2013-08-08 11:36 - 00000000 ____D () C:\Users\Sélune\AppData\Local\eMule
2015-02-21 11:59 - 2013-07-29 20:56 - 00000000 ____D () C:\Users\Sélune\AppData\Local\Mozilla
2015-02-21 11:59 - 2011-05-17 19:20 - 00000000 ____D () C:\Users\Sélune\AppData\Roaming\kompozer.net
2015-02-21 11:59 - 2010-10-11 12:36 - 00000000 ____D () C:\Users\Sélune\AppData\Local\Adobe
2015-02-21 11:59 - 2010-05-11 16:19 - 00000000 ____D () C:\Users\Sélune\AppData\Roaming\Adobe
2015-02-21 11:59 - 2010-05-11 14:32 - 00000000 ____D () C:\Users\Sélune\AppData\Local\Google
2015-02-21 11:59 - 2010-05-11 14:00 - 00000000 ____D () C:\Users\Sélune\AppData\Local\Microsoft Games
2015-02-21 11:59 - 2009-10-28 21:03 - 00000000 ____D () C:\ProgramData\Nero
2015-02-21 11:59 - 2009-10-28 20:59 - 00000000 ____D () C:\ProgramData\Packard Bell
2015-02-21 11:58 - 2014-09-21 12:28 - 00000000 ____D () C:\ProgramData\Arcade Lab
2015-02-21 11:58 - 2009-10-28 21:08 - 00000000 ____D () C:\ProgramData\Adobe
2015-02-21 11:32 - 2009-10-28 21:19 - 00000000 ____D () C:\OEM
2015-02-21 11:28 - 2010-01-26 04:47 - 01774472 _____ () C:\Windows\WindowsUpdate.log
2015-02-21 01:04 - 2013-07-29 22:07 - 00002153 _____ () C:\Users\Public\Desktop\Google Chrome.lnk
2015-02-21 01:04 - 2010-05-11 14:44 - 00000000 ____D () C:\Users\Sélune\Tracing
2015-02-21 01:03 - 2013-10-08 10:46 - 00000000 ____D () C:\Windows\Minidump
2015-02-21 01:03 - 2007-07-12 02:49 - 00000000 ____D () C:\Windows\Panther
2015-02-21 00:50 - 2014-05-07 16:47 - 00000000 ____D () C:\Program Files (x86)\Real
2015-02-14 22:02 - 2013-07-29 21:32 - 00000000 ____D () C:\ProgramData\AVAST Software
2015-02-14 21:56 - 2009-07-14 04:20 - 00000000 ____D () C:\Windows\system32\NDF
2015-02-11 12:12 - 2014-05-07 16:49 - 00003366 _____ () C:\Windows\System32\Tasks\RealDownloaderRealUpgradeScheduledTaskS-1-5-21-2529000320-1765950179-772847634-1000
2015-02-11 12:12 - 2014-05-07 16:49 - 00003234 _____ () C:\Windows\System32\Tasks\RealDownloaderRealUpgradeLogonTaskS-1-5-21-2529000320-1765950179-772847634-1000
2015-02-08 15:54 - 2009-12-18 14:41 - 00736898 _____ () C:\Windows\system32\perfh00C.dat
2015-02-08 15:54 - 2009-12-18 14:41 - 00146528 _____ () C:\Windows\system32\perfc00C.dat
2015-02-08 15:54 - 2009-07-14 06:13 - 01648338 _____ () C:\Windows\system32\PerfStringBackup.INI
2015-02-08 00:33 - 2010-08-17 20:08 - 00000000 ____D () C:\Users\Sélune\AppData\Roaming\vlc
2015-02-06 17:16 - 2010-05-11 19:09 - 01668046 _____ () C:\Windows\SysWOW64\PerfStringBackup.INI
2015-02-05 01:41 - 2013-07-29 21:07 - 00004066 _____ () C:\Windows\System32\Tasks\GoogleUpdateTaskMachineUA
2015-02-05 01:41 - 2013-07-29 21:07 - 00003814 _____ () C:\Windows\System32\Tasks\GoogleUpdateTaskMachineCore
2015-02-05 00:34 - 2013-07-29 22:15 - 00701616 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2015-02-05 00:34 - 2013-07-29 22:15 - 00071344 _____ (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2015-02-05 00:34 - 2013-07-29 22:15 - 00003940 _____ () C:\Windows\System32\Tasks\Adobe Flash Player Updater
2015-02-03 00:30 - 2013-07-29 20:56 - 00000000 ____D () C:\Program Files (x86)\Mozilla Maintenance Service
2015-02-02 17:51 - 2013-07-29 20:56 - 00001131 _____ () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
2015-02-02 17:51 - 2013-07-29 20:56 - 00001119 _____ () C:\Users\Public\Desktop\Mozilla Firefox.lnk
==================== Files in the root of some directories =======
2009-10-28 20:44 - 2008-06-11 16:12 - 0776614 _____ () C:\Program Files (x86)\Common Files\packardbell.ico
2012-05-21 00:25 - 2012-05-21 00:25 - 0333648 _____ (Microsoft Corporation) C:\Users\Sélune\AppData\Roaming\BtvStack.dll
2015-02-21 12:04 - 2015-02-21 12:04 - 0009064 _____ () C:\Users\Sélune\AppData\Roaming\HELP_DECRYPT.HTML
2015-02-21 12:04 - 2015-02-21 12:04 - 0047536 _____ () C:\Users\Sélune\AppData\Roaming\HELP_DECRYPT.PNG
2015-02-21 12:04 - 2015-02-21 12:04 - 0004720 _____ () C:\Users\Sélune\AppData\Roaming\HELP_DECRYPT.TXT
2015-02-21 12:04 - 2015-02-21 12:04 - 0000288 _____ () C:\Users\Sélune\AppData\Roaming\HELP_DECRYPT.URL
2015-02-14 14:58 - 2015-02-14 14:58 - 0049253 _____ (Awesomium Technologies LLC) C:\Users\Sélune\AppData\Roaming\IVFQ3xOTLq.exe
2014-05-23 14:18 - 2014-03-30 16:57 - 0000043 _____ () C:\Users\Sélune\AppData\Roaming\pdfdrawcodec.dll
2015-02-13 18:13 - 2015-02-13 18:13 - 0032768 _____ () C:\Users\Sélune\AppData\Roaming\update_patch.reg
2013-09-13 05:49 - 2014-03-30 23:34 - 0000193 _____ () C:\Users\Sélune\AppData\Roaming\WB.CFG
2010-09-26 17:46 - 2010-09-26 17:46 - 0000000 _____ () C:\Users\Sélune\AppData\Roaming\wklnhst.dat
2015-02-14 14:58 - 2015-02-14 14:58 - 0053765 _____ () C:\Users\Sélune\AppData\Local\aoyatim.dll
2010-05-25 16:54 - 2010-05-25 16:54 - 0000094 _____ () C:\Users\Sélune\AppData\Local\fusioncache.dat
2015-02-21 11:59 - 2015-02-21 11:59 - 0009064 _____ () C:\Users\Sélune\AppData\Local\HELP_DECRYPT.HTML
2015-02-21 11:59 - 2015-02-21 11:59 - 0047536 _____ () C:\Users\Sélune\AppData\Local\HELP_DECRYPT.PNG
2015-02-21 11:59 - 2015-02-21 11:59 - 0004720 _____ () C:\Users\Sélune\AppData\Local\HELP_DECRYPT.TXT
2015-02-21 11:59 - 2015-02-21 11:59 - 0000288 _____ () C:\Users\Sélune\AppData\Local\HELP_DECRYPT.URL
2014-02-25 10:01 - 2014-02-25 10:01 - 0000085 ___SH () C:\ProgramData\.zreglib
2015-02-02 18:38 - 2015-02-08 21:57 - 0000112 _____ () C:\ProgramData\24c1h4.dat
2009-10-28 20:45 - 2009-08-24 13:06 - 0131368 _____ () C:\ProgramData\FullRemove.exe
2015-02-21 11:59 - 2015-02-21 11:59 - 0009064 _____ () C:\ProgramData\HELP_DECRYPT.HTML
2015-02-21 11:59 - 2015-02-21 11:59 - 0047536 _____ () C:\ProgramData\HELP_DECRYPT.PNG
2015-02-21 11:59 - 2015-02-21 11:59 - 0004720 _____ () C:\ProgramData\HELP_DECRYPT.TXT
2015-02-21 11:59 - 2015-02-21 11:59 - 0000288 _____ () C:\ProgramData\HELP_DECRYPT.URL
Files to move or delete:
====================
C:\ProgramData\24c1h4.dat
==================== Bamital & volsnap Check =================
(There is no automatic fix for files that do not pass verification.)
C:\Windows\System32\winlogon.exe => File is digitally signed
C:\Windows\System32\wininit.exe => File is digitally signed
C:\Windows\SysWOW64\wininit.exe => File is digitally signed
C:\Windows\explorer.exe => File is digitally signed
C:\Windows\SysWOW64\explorer.exe => File is digitally signed
C:\Windows\System32\svchost.exe => File is digitally signed
C:\Windows\SysWOW64\svchost.exe => File is digitally signed
C:\Windows\System32\services.exe => File is digitally signed
C:\Windows\System32\User32.dll => File is digitally signed
C:\Windows\SysWOW64\User32.dll => File is digitally signed
C:\Windows\System32\userinit.exe => File is digitally signed
C:\Windows\SysWOW64\userinit.exe => File is digitally signed
C:\Windows\System32\rpcss.dll => File is digitally signed
C:\Windows\System32\Drivers\volsnap.sys => File is digitally signed
LastRegBack: 2015-02-13 16:59
==================== End Of Log ============================
Re: infection par cryptowall
Posté : dim. 22 févr. 2015 20:40
par hal68
2e rapport (addition.txt) :
Additional scan result of Farbar Recovery Scan Tool (x64) Version: 21-02-2015
Ran by Sélune at 2015-02-22 15:55:13
Running from C:\Users\Sélune\Desktop
Boot Mode: Normal
==========================================================
==================== Security Center ========================
(If an entry is included in the fixlist, it will be removed.)
AS: Windows Defender (Enabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
==================== Installed Programs ======================
(Only the adware programs with "hidden" flag could be added to the fixlist to unhide them. The adware programs should be uninstalled manually.)
µTorrent (HKU\S-1-5-21-2529000320-1765950179-772847634-1000\...\uTorrent) (Version: 3.4.2.38656 - BitTorrent Inc.)
Acrobat.com (HKLM-x32\...\{287ECFA4-719A-2143-A09B-D6A12DE54E40}) (Version: 1.6.65 - Adobe Systems Incorporated)
Adobe AIR (HKLM-x32\...\Adobe AIR) (Version: 1.5.0.7220 - Adobe Systems Inc.)
Adobe Flash Player 16 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 16.0.0.305 - Adobe Systems Incorporated)
Adobe Flash Player 16 NPAPI (HKLM-x32\...\Adobe Flash Player NPAPI) (Version: 16.0.0.305 - Adobe Systems Incorporated)
Adobe Photoshop Elements 7.0 (HKLM-x32\...\Adobe Photoshop Elements 7) (Version: 7.0.1 - Adobe Systems Incorporated)
Adobe Reader 9.2 MUI (HKLM-x32\...\{AC76BA86-7AD7-FFFF-7B44-A91000000001}) (Version: 9.2.0 - Adobe Systems Incorporated)
Advertising Center (x32 Version: 0.0.0.2 - Nero AG) Hidden
Alice Greenfingers (HKLM-x32\...\{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-112920767}) (Version: - Oberon Media)
Amazonia (HKLM-x32\...\{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-11273477}) (Version: - Oberon Media)
Anagène 2 (HKLM-x32\...\{6E83FF05-B414-4AA8-A782-927CB7D516EC}) (Version: 2.00.00 - CNDP)
Assistant de connexion Windows Live (HKLM-x32\...\{DCE8CD14-FBF5-4464-B9A4-E18E473546C7}) (Version: 5.000.818.5 - Microsoft Corporation)
Audacity 2.0.3 (HKLM-x32\...\Audacity_is1) (Version: 2.0.3 - Audacity Team)
Battlefield 1942 (HKLM-x32\...\{698D7E61-E4BF-4CA6-8A09-CF6BDBFDEF65}) (Version: - )
Battlefield 1942: Secret Weapons of WWII (HKLM-x32\...\{B73B4A99-4173-4747-BBEC-0F05E966F9D2}) (Version: - )
Battlefield 1942: The Road To Rome (HKLM-x32\...\{D057AA08-8CBF-42E3-9EAB-23B8FED1C279}) (Version: - )
CCleaner (HKLM\...\CCleaner) (Version: 5.02 - Piriform)
Chicken Invaders 2 (HKLM-x32\...\{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-110209593}) (Version: - Oberon Media)
Cisco EAP-FAST Module (HKLM-x32\...\{64BF0187-F3D2-498B-99EA-163AF9AE6EC9}) (Version: 2.2.14 - Cisco Systems, Inc.)
Cisco LEAP Module (HKLM-x32\...\{51C7AD07-C3F6-4635-8E8A-231306D810FE}) (Version: 1.0.19 - Cisco Systems, Inc.)
Cisco PEAP Module (HKLM-x32\...\{ED5776D5-59B4-46B7-AF81-5F2D94D7C640}) (Version: 1.1.6 - Cisco Systems, Inc.)
Clé USB Wifi Essentiel B (HKLM-x32\...\{35AE8B4E-A0F5-4F80-9136-4056E6E26238}) (Version: - Essentiel B)
Dairy Dash (HKLM-x32\...\{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-115053100}) (Version: - Oberon Media)
Dream Day First Home (HKLM-x32\...\{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-113832110}) (Version: - Oberon Media)
DVD Decrypter (Remove Only) (HKLM-x32\...\DVD Decrypter) (Version: - )
Easy Video to Audio Converter 3.4.0311 (HKLM-x32\...\Easy Video to Audio Converter_is1) (Version: - Aone Software)
eBay Worldwide (HKLM-x32\...\{E0B19DF7-B1C7-4937-82C4-0E4B1E346965}) (Version: 2.1.0901 - OEM)
EduAnatomist version 1.1.3 (HKLM-x32\...\{E2D7784B-C904-4DD8-8644-685C091CD2B7}_is1) (Version: 1.1.3 - Ecole Normale Supérieur de Lyon, INRP, Pentila)
eMule (HKLM-x32\...\eMule) (Version: - )
Farm Frenzy 2 (HKLM-x32\...\{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-11531173}) (Version: - Oberon Media)
Field of Strategy 2.7.0 (HKLM-x32\...\FoS2_AppId_is1) (Version: - T. Pannérec)
First Class Flurry (HKLM-x32\...\{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-115208410}) (Version: - Oberon Media)
Galerie de photos Windows Live (x32 Version: 14.0.8081.709 - Microsoft Corporation) Hidden
GameSpy Comrade (HKLM-x32\...\{176B3593-72F1-459C-829C-5E9671E2CB35}) (Version: 1.4.3.154 - Nom de votre société)
GeoGebra (HKLM-x32\...\GeoGebra) (Version: 4.0.41.0 - International GeoGebra Institute)
Google Chrome (HKLM-x32\...\Google Chrome) (Version: 40.0.2214.115 - Google Inc.)
Google Toolbar for Internet Explorer (HKLM-x32\...\{2318C2B1-4965-11d4-9B18-009027A5CD4F}) (Version: 7.5.5111.1712 - Google Inc.)
Google Toolbar for Internet Explorer (x32 Version: 1.0.0 - Google Inc.) Hidden
Google Update Helper (x32 Version: 1.3.25.11 - Google Inc.) Hidden
Google Update Helper (x32 Version: 1.3.26.9 - Google Inc.) Hidden
Google Earth (HKLM-x32\...\{4D2A6330-2F8B-11E3-9C40-B8AC6F97B88E}) (Version: 7.1.2.2041 - Google)
Granny In Paradise (HKLM-x32\...\{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-110551697}) (Version: - Oberon Media)
Heroes of Hellas (HKLM-x32\...\{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-113786380}) (Version: - Oberon Media)
Identity Card (HKLM-x32\...\Identity Card) (Version: 1.00.3002 - Packard Bell)
ImagXpress (x32 Version: 7.0.74.0 - Nero AG) Hidden
ImgBurn (HKLM-x32\...\ImgBurn) (Version: 2.5.8.0 - LIGHTNING UK!)
Installation Windows Live (HKLM-x32\...\WinLiveSuite_Wave3) (Version: 14.0.8089.0726 - Microsoft Corporation)
Installation Windows Live (x32 Version: 14.0.8089.726 - Microsoft Corporation) Hidden
Java(TM) 6 Update 18 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83216018FF}) (Version: 6.0.180 - Sun Microsystems, Inc.)
JDownloader 0.9 (HKLM-x32\...\5513-1208-7298-9440) (Version: 0.9 - AppWork GmbH)
Junk Mail filter update (x32 Version: 14.0.8089.726 - Microsoft Corporation) Hidden
Merriam Websters Spell Jam (HKLM-x32\...\{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-112662477}) (Version: - Oberon Media)
Microsoft .NET Framework 1.1 (HKLM-x32\...\{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}) (Version: 1.1.4322 - Microsoft)
Microsoft Office Professional 2007 (HKLM-x32\...\PROR) (Version: 12.0.4518.1014 - Microsoft Corporation)
Microsoft Office Professional Edition 2003 (HKLM-x32\...\{9011040C-6000-11D3-8CFE-0150048383C9}) (Version: 11.0.5614.0 - Microsoft Corporation)
Microsoft Office Suite Activation Assistant (HKLM-x32\...\{E50AE784-FABE-46DA-A1F8-7B6B56DCB22E}) (Version: 2.9 - Microsoft Corporation)
Microsoft Silverlight (HKLM-x32\...\{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}) (Version: 3.0.40624.0 - Microsoft Corporation)
Microsoft SQL Server 2005 Compact Edition [ENU] (HKLM-x32\...\{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}) (Version: 3.1.0000 - Microsoft Corporation)
Microsoft Visual C++ 2005 Redistributable (HKLM-x32\...\{837b34e3-7c30-493c-8f6a-2b0f04e2912c}) (Version: 8.0.59193 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.21022 (HKLM\...\{350AA351-21FA-3270-8B7A-835434E766AD}) (Version: 9.0.21022 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.4148 (HKLM\...\{4B6C7001-C7D6-3710-913E-5BC23FCE91E6}) (Version: 9.0.30729.4148 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022 (HKLM-x32\...\{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}) (Version: 9.0.21022 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 (HKLM-x32\...\{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}) (Version: 9.0.30729.4148 - Microsoft Corporation)
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (HKLM-x32\...\{9BE518E6-ECC6-35A9-88E4-87755C07200F}) (Version: 9.0.30729.6161 - Microsoft Corporation)
Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.21005 (HKLM-x32\...\{ce085a78-074e-4823-8dc1-8a721b94b76d}) (Version: 12.0.21005.1 - Microsoft Corporation)
Microsoft Works (HKLM-x32\...\{0214A441-A4AB-43A8-8DEF-2F73C5364673}) (Version: 9.7.0621 - Microsoft Corporation)
Modifier PDF V2.0.5 (HKLM-x32\...\Modifier PDF_is1) (Version: - http://www.ModifierPDF.net)
Mozilla Firefox 35.0.1 (x86 fr) (HKLM-x32\...\Mozilla Firefox 35.0.1 (x86 fr)) (Version: 35.0.1 - Mozilla)
Mozilla Maintenance Service (HKLM-x32\...\MozillaMaintenanceService) (Version: 35.0.1 - Mozilla)
Nero 9 Essentials (HKLM-x32\...\{47208028-9ae2-4f5b-a898-655e0dee96b0}) (Version: - Nero AG)
NETGEAR WNA3100M N300 Wireless USB Adapter (HKLM-x32\...\{D3580358-0F78-402A-BE53-2E9D06383E04}) (Version: 1.0.0.17 - NETGEAR)
NVIDIA Drivers (HKLM\...\NVIDIA Drivers) (Version: 1.9 - NVIDIA Corporation)
NVIDIA ForceWare Network Access Manager (HKLM-x32\...\InstallShield_{7CFA46E3-CC2F-4355-82AE-6012DC3633FD}) (Version: - )
OpenOffice.org 3.2 (HKLM-x32\...\{4EE2EF4B-25D3-4D44-8384-A2B96F811F55}) (Version: 3.2.9483 - OpenOffice.org)
Outil de téléchargement Windows Live (HKLM-x32\...\{205C6BDD-7B73-42DE-8505-9A093F35A238}) (Version: 14.0.8014.1029 - Microsoft Corporation)
Oxygène18/ Oxygène16 version 2.0.0.a (HKLM-x32\...\Oxygène18/ Oxygène16_is1) (Version: - )
Packard Bell GameZone Console (HKLM-x32\...\{117E3AE2-10D1-41C1-9FA6-F4C382F767A8}_is1) (Version: 5.1.2.5 - Oberon Media, Inc.)
Packard Bell InfoCentre (HKLM-x32\...\Packard Bell InfoCentre) (Version: 3.02.3000 - Packard Bell)
Packard Bell Recovery Management (HKLM-x32\...\{7F811A54-5A09-4579-90E1-C93498E230D9}) (Version: 4.05.3005 - Packard Bell)
Packard Bell Registration (HKLM-x32\...\Packard Bell Registration) (Version: 1.02.3006 - Packard Bell)
Packard Bell ScreenSaver (HKLM-x32\...\Packard Bell Screensaver) (Version: 1.1.0812 - Packard Bell Incorporated)
Packard Bell Software Suite SE (HKLM-x32\...\Packard Bell Software Suite SE) (Version: 2.01.3001 - Packard Bell)
Parametres SFR 3G (HKLM-x32\...\Parametres SFR 3G) (Version: 1.11.02.287 - Huawei Technologies Co.,Ltd)
PunkBuster pour Battlefield 1942 (HKLM-x32\...\{127B684B-A002-44C8-99A7-6CF8F1E26873}) (Version: - )
Realtek High Definition Audio Driver (HKLM-x32\...\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}) (Version: 6.0.1.5898 - Realtek Semiconductor Corp.)
SC4 Mapper 2013 (HKU\S-1-5-21-2529000320-1765950179-772847634-1000\...\SC4 Mapper 2013) (Version: - )
Sid Meier's Civilization 4 - Beyond the Sword (HKLM-x32\...\{32E4F0D2-C135-475E-A841-1D59A0D22989}) (Version: 3.01 - Firaxis Games)
Sid Meier's Civilization 4 (HKLM-x32\...\{CFBCE791-2D53-4FCE-B3FB-D6E01F4112E8}) (Version: 1.74 - Firaxis Games)
Sid Meier's Civilization 4 (x32 Version: 1.00.0000 - Firaxis Games) Hidden
SimCity 4 Deluxe (HKLM-x32\...\{A7A34FC9-DF24-4A36-00AD-D4EFE94CC116}) (Version: - )
UsbFix By El Desaparecido (HKLM-x32\...\Usbfix) (Version: - El Desaparecido - http://www.usbfix.net)
VirtualCloneDrive (HKLM-x32\...\VirtualCloneDrive) (Version: 5.4.7.0 - Elaborate Bytes)
Vitrite (remove only) (HKLM-x32\...\Vitrite) (Version: - )
VLC media player 1.1.2 (HKLM-x32\...\VLC media player) (Version: 1.1.2 - VideoLAN)
VMware Workstation (HKLM-x32\...\VMware_Workstation) (Version: 10.0.1 - VMware, Inc)
VMware Workstation (Version: 10.0.1 - VMware, Inc.) Hidden
Welcome Center (HKLM-x32\...\Packard Bell Welcome Center) (Version: 1.00.3008 - Packard Bell)
Windows Live FolderShare (HKLM-x32\...\{2075CB0A-D26F-4DAA-B424-5079296B43BA}) (Version: 14.0.8089.726 - Microsoft Corporation)
WinRAR archiver (HKLM-x32\...\WinRAR archiver) (Version: - )
==================== Custom CLSID (selected items): ==========================
(If an entry is included in the fixlist, it will be removed from registry. Any eventual file will not be moved.)
==================== Restore Points =========================
13-02-2015 17:06:46 Point de contrôle planifié
14-02-2015 21:44:39 avast! antivirus system restore point
14-02-2015 21:58:51 avast! antivirus system restore point
22-02-2015 00:00:01 Point de contrôle planifié
==================== Hosts content: ==========================
(If needed Hosts: directive could be included in the fixlist to reset Hosts.)
2009-07-14 03:34 - 2015-02-06 09:51 - 00001512 _RASH C:\Windows\system32\Drivers\etc\hosts
127.0.0.1 localhost
89.163.213.139 http://www.google-analytics.com.
89.163.213.139 google-analytics.com.
89.163.213.139 connect.facebook.net.
195.162.68.59 http://www.google-analytics.com.
195.162.68.59 google-analytics.com.
195.162.68.59 connect.facebook.net.
89.163.213.172 http://www.google-analytics.com.
89.163.213.172 google-analytics.com.
89.163.213.172 connect.facebook.net.
==================== Scheduled Tasks (whitelisted) =============
(If an entry is included in the fixlist, it will be removed from registry. Any associated file could be listed separately to be moved.)
Task: {03119CFE-9B36-440D-9ACD-D8710275329E} - System32\Tasks\RealCreateProcessScheduledTask28433023S-1-5-21-2529000320-1765950179-772847634-1000 => C:\Program Files (x86)\Real\RealPlayer\update\realsched.exe
Task: {0C90A152-94A1-4B3A-AECA-D5B520A3499A} - System32\Tasks\Recovery Management\Burn Notification => C:\Program Files\Packard Bell\Packard Bell Recovery Management\NotificationCenter\Notification.exe [2009-10-01] (Acer)
Task: {0E572099-08E5-47C0-A423-58DBB34FE726} - System32\Tasks\RealCreateProcessScheduledTask7855321S-1-5-21-2529000320-1765950179-772847634-1000 => C:\Program Files (x86)\Real\RealPlayer\update\realsched.exe
Task: {1C6EBD50-4D20-4BCD-BE78-02AF83572EDA} - System32\Tasks\{1B46F98A-EA61-4825-87E1-A926CE395F63} => pcalua.exe -a K:\XYY\fran-ang.exe -d K:\XYY
Task: {1C9720B9-226C-46D8-BD70-C9E54AF7BA48} - System32\Tasks\RealCreateProcessScheduledTask851870962S-1-5-21-2529000320-1765950179-772847634-1000 => C:\Program Files (x86)\Real\RealPlayer\update\realsched.exe
Task: {204FC289-2243-4933-858D-0B43FA89D273} - System32\Tasks\RealCreateProcessScheduledTask1987038882S-1-5-21-2529000320-1765950179-772847634-1000 => C:\Program Files (x86)\Real\RealPlayer\update\realsched.exe
Task: {30D7D3D9-94BE-46F9-BA6E-3B7608EE8AC8} - System32\Tasks\RealCreateProcessScheduledTask261414276S-1-5-21-2529000320-1765950179-772847634-1000 => C:\Program Files (x86)\Real\RealPlayer\update\realsched.exe
Task: {3C1D6E00-91A6-4677-8A58-B891FEBFFAC5} - System32\Tasks\{D2C732C6-3AFE-43A5-9370-25BF4BBDC072} => J:\Axel\VMware Workstation 10.0.1 Build 1379776-Nabil@Batna\VMware-workstation-full-10.0.1-1379776.exe
Task: {4C1E0138-E2AE-4013-816E-6B4221E54320} - System32\Tasks\RealCreateProcessScheduledTask352052432S-1-5-21-2529000320-1765950179-772847634-1000 => C:\Program Files (x86)\Real\RealPlayer\update\realsched.exe
Task: {515BEAF3-9F6D-4E73-8A1A-56AE84CBC155} - System32\Tasks\RealDownloaderRealUpgradeScheduledTaskS-1-5-21-2529000320-1765950179-772847634-1000 => C:\Program Files (x86)\RealNetworks\RealDownloader\realupgrade.exe
Task: {52A315B5-3983-4AD3-8E97-05676BC9D813} - System32\Tasks\{51CD185B-4C9E-412D-805C-20339F5151F6} => J:\Axel\VMware Workstation 10.0.1 Build 1379776-Nabil@Batna\VMware-workstation-full-10.0.1-1379776.exe
Task: {56FFDA5F-8678-4214-89E7-C90B8B1AF292} - System32\Tasks\{B60A38F5-DBFF-4F9E-BF4A-9A29B17C7E33} => pcalua.exe -a L:\AutoRun.exe -d L:\
Task: {75143D84-812C-4BDE-A9EC-DB27CF85ED2E} - System32\Tasks\RealCreateProcessScheduledTask906610184S-1-5-21-2529000320-1765950179-772847634-1000 => C:\Program Files (x86)\Real\RealPlayer\update\realsched.exe
Task: {75619F1B-0E48-4194-8722-F39CAC7CF29B} - System32\Tasks\getmac => C:\Users\Sélune\AppData\Roaming\Microsoft\Windows\IEUpdate\getmac.exe [2009-07-14] (©Wyebugur)
Task: {80D197BD-985E-46C2-9532-FA202B3B5728} - System32\Tasks\{DF8BAC6C-7383-4CA8-991A-9098FDECAC63} => pcalua.exe -a C:\Users\Sélune\Desktop\VMware-player-6.0.2-1744117.exe -d C:\Users\Sélune\Desktop
Task: {827CDDDA-F4B2-46B5-9A27-0B555BD28FB9} - System32\Tasks\RealCreateProcessScheduledTask711216592S-1-5-21-2529000320-1765950179-772847634-1000 => C:\Program Files (x86)\Real\RealPlayer\update\realsched.exe
Task: {8334728B-60D7-4CFD-A9AE-695C7C45E157} - System32\Tasks\RealDownloaderRealUpgradeLogonTaskS-1-5-21-2529000320-1765950179-772847634-1000 => C:\Program Files (x86)\RealNetworks\RealDownloader\realupgrade.exe
Task: {85F6D763-A974-43C5-B657-6D51BACA0632} - System32\Tasks\RealCreateProcessScheduledTask376613854S-1-5-21-2529000320-1765950179-772847634-1000 => C:\Program Files (x86)\Real\RealPlayer\update\realsched.exe
Task: {8EB8C39A-FE56-44C9-B3B9-BF2A6F9D9B3B} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [2015-01-20] (Piriform Ltd)
Task: {90357FAE-BB5B-47DB-972A-F5DDDA1E5C28} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2015-02-05] (Adobe Systems Incorporated)
Task: {9097AFBB-914E-424B-9B41-603964A91126} - System32\Tasks\RealCreateProcessScheduledTask1883596507S-1-5-21-2529000320-1765950179-772847634-1000 => C:\Program Files (x86)\Real\RealPlayer\update\realsched.exe
Task: {951BDDCB-630A-47DE-8229-A9F04B564919} - System32\Tasks\{EEF46B63-0F21-4909-AE40-EC96B794AB23} => pcalua.exe -a E:\setup.exe -d E:\
Task: {9A50897D-5066-40D7-956A-61EFD06D59C7} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-02-02] (Google Inc.)
Task: {A48842DE-55B9-4791-A296-7931DB3E740C} - System32\Tasks\{FC1B0448-746B-4247-948A-F07788218FDC} => pcalua.exe -a "D:\sid meier's civilization v\DirectX\D3D11Install.exe" -d "D:\sid meier's civilization v\DirectX"
Task: {A987C221-93D9-455C-BECF-583C7D766438} - System32\Tasks\RealCreateProcessScheduledTask247769289S-1-5-21-2529000320-1765950179-772847634-1000 => C:\Program Files (x86)\Real\RealPlayer\update\realsched.exe
Task: {AA457744-CA97-4702-8EA6-A20B1C78C740} - System32\Tasks\RealCreateProcessScheduledTask11462079S-1-5-21-2529000320-1765950179-772847634-1000 => C:\Program Files (x86)\Real\RealPlayer\update\realsched.exe
Task: {B03722E4-FB1C-4AB6-98FA-07894D0AB9D1} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-02-02] (Google Inc.)
Task: {B13E29F8-0DFC-4378-9AD1-A077D8F6A259} - System32\Tasks\RealCreateProcessScheduledTask94996434S-1-5-21-2529000320-1765950179-772847634-1000 => C:\Program Files (x86)\Real\RealPlayer\update\realsched.exe
Task: {DDF7B962-6C9C-4409-8C38-E8AF25CEA3C0} - System32\Tasks\{C4E69232-BFAC-414F-9CFE-E95BB4EDDA2B} => J:\Axel\VMware Workstation 10.0.1 Build 1379776-Nabil@Batna\VMware-workstation-full-10.0.1-1379776.exe
Task: {E1E392E6-2C79-43A8-A8FA-4C57316851E3} - System32\Tasks\RealDownloaderDownloaderScheduledTaskS-1-5-21-2529000320-1765950179-772847634-1000 => C:\Program Files (x86)\RealNetworks\RealDownloader\recordingmanager.exe
Task: {E79AA450-038B-4928-A30B-8B8EECD8142F} - System32\Tasks\RealCreateProcessScheduledTask705557811S-1-5-21-2529000320-1765950179-772847634-1000 => C:\Program Files (x86)\Real\RealPlayer\update\realsched.exe
Task: {EF661039-6FCA-4781-AB22-5CE2A828AEC9} - System32\Tasks\RealCreateProcessScheduledTask860997208S-1-5-21-2529000320-1765950179-772847634-1000 => C:\Program Files (x86)\Real\RealPlayer\update\realsched.exe
Task: {F55DA5C9-EDE8-4EE7-8F80-4EF0AE8BE098} - System32\Tasks\whoami => C:\Users\Sélune\AppData\Roaming\Microsoft\Windows\IEUpdate\whoami.exe
Task: {FC2D2BB8-1BA4-4EFB-B946-E62BF3348C96} - System32\Tasks\{C6C4959D-03DC-4431-9F16-F211CE18D059} => pcalua.exe -a E:\autorun.exe -d E:\
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
==================== Loaded Modules (whitelisted) ==============
2013-02-06 07:10 - 2013-02-06 07:10 - 00351824 _____ () C:\ProgramData\DatacardService\HWDeviceService64.exe
2009-10-28 20:51 - 2009-08-29 01:05 - 00044312 _____ () C:\Program Files (x86)\Packard Bell GameZone\GameConsole\OberonGameConsoleService.exe
2015-02-21 11:28 - 2015-02-21 11:28 - 00120320 _____ () C:\Windows\FrameworkUpdate\Update.exe
2013-04-03 16:16 - 2012-08-16 10:48 - 00307488 _____ () C:\Program Files (x86)\NETGEAR\WNA3100M\WifiSvc.exe
2009-05-29 21:22 - 2009-05-29 21:22 - 00625184 _____ () C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
2009-05-29 21:21 - 2009-05-29 21:21 - 00070176 _____ () C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nv_common.dll
2009-05-29 21:22 - 2009-05-29 21:22 - 00578080 _____ () C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\SpecialCase.dll
2009-05-29 21:22 - 2009-05-29 21:22 - 00207904 _____ () C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
2015-02-04 09:34 - 2015-02-04 09:34 - 02779648 _____ () C:\ProgramData\Microsoft\Secure\Icons\SecureIconsProvider.dll
2015-02-04 09:34 - 2015-02-04 09:34 - 02264064 _____ () C:\ProgramData\Microsoft\Secure\Icons\IconsCacheHelper.dll
2010-09-26 16:35 - 2010-03-15 10:28 - 00052224 _____ () C:\Program Files (x86)\WinRAR\rarext64.dll
2015-02-04 09:34 - 2015-02-04 09:34 - 00141312 _____ () C:\Users\Sélune\AppData\Local\Ajworks\tmpEC17.exe
2015-01-21 03:06 - 2015-01-21 03:06 - 00061440 _____ () C:\Program Files\CCleaner\lang\lang-1036.dll
2013-04-16 10:04 - 2012-05-02 09:02 - 08253696 _____ () C:\Program Files (x86)\NETGEAR\WNA3100M\WNA3100M.exe
2002-06-14 17:20 - 2002-06-14 17:20 - 00026624 _____ () C:\Program Files (x86)\Tiny Utilities\Vitrite\Vitrite.exe
2013-04-03 16:16 - 2012-08-22 15:57 - 00303104 _____ () C:\Program Files (x86)\NETGEAR\WNA3100M\WifiLib.dll
2013-04-03 16:16 - 2007-07-12 10:11 - 01163264 _____ () C:\Program Files (x86)\NETGEAR\WNA3100M\acAuth.dll
2013-10-18 11:46 - 2013-10-18 11:46 - 01260624 _____ () D:\vmware\libxml2.dll
2015-02-21 00:55 - 2015-02-21 00:55 - 01291264 _____ () C:\Users\Sélune\AppData\Local\Ajworks\SharedGuestApps.dll
2015-02-14 14:58 - 2015-02-14 14:58 - 00053765 _____ () C:\Users\Sélune\AppData\Local\aoyatim.dll
2013-04-03 16:16 - 2012-08-07 18:00 - 00278528 _____ () C:\Program Files (x86)\NETGEAR\WNA3100M\WifiSvcLib.dll
2002-06-14 17:17 - 2002-06-14 17:17 - 00053248 _____ () C:\Program Files (x86)\Tiny Utilities\Vitrite\VitriDLL.dll
2009-10-20 20:02 - 2010-09-26 17:50 - 00970752 _____ () C:\Program Files (x86)\OpenOffice.org 3\program\libxml2.dll
2009-09-28 12:09 - 2010-09-26 17:50 - 00166400 _____ () C:\Program Files (x86)\OpenOffice.org 3\program\libxslt.dll
2014-05-10 17:26 - 2015-01-23 11:37 - 03925104 _____ () C:\Program Files (x86)\Mozilla Firefox\mozjs.dll
2015-02-05 00:34 - 2015-02-05 00:34 - 16852144 _____ () C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_16_0_0_305.dll
2015-02-21 10:58 - 2015-02-21 10:58 - 38714368 _____ () C:\Users\Sélune\AppData\Roaming\Local Store\libcef.dll
2015-02-21 10:58 - 2015-02-21 10:58 - 00873472 _____ () C:\Users\Sélune\AppData\Roaming\Local Store\ffmpegsumo.dll
2015-02-21 10:58 - 2015-02-21 10:58 - 16840880 _____ () C:\Users\Sélune\AppData\Roaming\Local Store\NPSWF32.dll
==================== Alternate Data Streams (whitelisted) =========
(If an entry is included in the fixlist, only the Alternate Data Streams will be removed.)
AlternateDataStreams: C:\ProgramData\TEMP:0B9176C0
AlternateDataStreams: C:\ProgramData\TEMP:444C53BA
AlternateDataStreams: C:\ProgramData\TEMP:4CF61E54
AlternateDataStreams: C:\ProgramData\TEMP:4D066AD2
AlternateDataStreams: C:\ProgramData\TEMP:5D7E5A8F
AlternateDataStreams: C:\ProgramData\TEMP:93DE1838
AlternateDataStreams: C:\ProgramData\TEMP:AB689DEA
AlternateDataStreams: C:\ProgramData\TEMP:ABE89FFE
AlternateDataStreams: C:\ProgramData\TEMP:E1F04E8D
AlternateDataStreams: C:\ProgramData\TEMP:E3C56885
==================== Safe Mode (whitelisted) ===================
(If an item is included in the fixlist, it will be removed from the registry. The "AlternateShell" will be restored.)
==================== EXE Association (whitelisted) ===============
(If an entry is included in the fixlist, the default will be restored. None default entries will be removed.)
==================== Other Areas ============================
(Currently there is no automatic fix for this section.)
HKU\S-1-5-21-2529000320-1765950179-772847634-1000\Control Panel\Desktop\\Wallpaper -> C:\Users\Sélune\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg
DNS Servers: 8.8.8.8
==================== MSCONFIG/TASK MANAGER disabled items ==
(Currently there is no automatic fix for this section.)
==================== Accounts: =============================
Administrateur (S-1-5-21-2529000320-1765950179-772847634-500 - Administrator - Disabled)
ASPNET (S-1-5-21-2529000320-1765950179-772847634-1002 - Limited - Enabled)
Invité (S-1-5-21-2529000320-1765950179-772847634-501 - Limited - Disabled)
Sélune (S-1-5-21-2529000320-1765950179-772847634-1000 - Administrator - Enabled) => C:\Users\Sélune
==================== Faulty Device Manager Devices =============
==================== Event log errors: =========================
Application errors:
==================
Error: (02/22/2015 00:45:38 AM) (Source: VSS) (EventID: 22) (User: )
Description: Erreur du service de cliché instantané des volumes : un composant critique requis par le service de cliché instantané des volumes n’est pas inscrit.
Cela peut se produire si une erreur s’est produite lors de l’installation de Windows ou d’un fournisseur de cliché instantané.
L’erreur renvoyée de CoCreateInstance sur la classe avec CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} et Nom Coordinator est [0x80040154, Classe non enregistrée
].
Error: (02/22/2015 00:45:38 AM) (Source: VSS) (EventID: 22) (User: )
Description: Erreur du service de cliché instantané des volumes : un composant critique requis par le service de cliché instantané des volumes n’est pas inscrit.
Cela peut se produire si une erreur s’est produite lors de l’installation de Windows ou d’un fournisseur de cliché instantané.
L’erreur renvoyée de CoCreateInstance sur la classe avec CLSID {e579ab5f-1cc4-44b4-bed9-de0991ff0623} et Nom Coordinator est [0x80040154, Classe non enregistrée
].
Error: (02/21/2015 08:24:07 PM) (Source: SideBySide) (EventID: 33) (User: )
Description: La création du contexte d’activation a échoué pour « msadctls,processorArchitecture="x86",type="win32",version="1.0.1801.0"1 ».
Assembly dépendant msadctls,processorArchitecture="x86",type="win32",version="1.0.1801.0" introuvable.
Utilisez sxstrace.exe pour un diagnostic détaillé.
Error: (02/21/2015 08:24:07 PM) (Source: SideBySide) (EventID: 33) (User: )
Description: La création du contexte d’activation a échoué pour « msadctls,processorArchitecture="x86",type="win32",version="1.0.1801.0"1 ».
Assembly dépendant msadctls,processorArchitecture="x86",type="win32",version="1.0.1801.0" introuvable.
Utilisez sxstrace.exe pour un diagnostic détaillé.
Error: (02/21/2015 08:24:07 PM) (Source: SideBySide) (EventID: 33) (User: )
Description: La création du contexte d’activation a échoué pour « msadctls,processorArchitecture="x86",type="win32",version="1.0.1801.0"1 ».
Assembly dépendant msadctls,processorArchitecture="x86",type="win32",version="1.0.1801.0" introuvable.
Utilisez sxstrace.exe pour un diagnostic détaillé.
Error: (02/21/2015 08:24:07 PM) (Source: SideBySide) (EventID: 33) (User: )
Description: La création du contexte d’activation a échoué pour « msadctls,processorArchitecture="x86",type="win32",version="1.0.1801.0"1 ».
Assembly dépendant msadctls,processorArchitecture="x86",type="win32",version="1.0.1801.0" introuvable.
Utilisez sxstrace.exe pour un diagnostic détaillé.
Error: (02/21/2015 08:23:42 PM) (Source: SideBySide) (EventID: 35) (User: )
Description: La création du contexte d’activation a échoué pour « WLMFDS,processorArchitecture="AMD64",type="win32",version="1.0.0.1"1 ». Erreur dans le fichier de manifeste ou de stratégie « WLMFDS,processorArchitecture="AMD64",type="win32",version="1.0.0.1"2 » à la ligne WLMFDS,processorArchitecture="AMD64",type="win32",version="1.0.0.1"3.
L’identité de composant trouvé dans le manifeste ne correspond pas à celle du composant demandé.
La référence est WLMFDS,processorArchitecture="AMD64",type="win32",version="1.0.0.1".
La définition est WLMFDS,processorArchitecture="x86",type="win32",version="1.0.0.1".
Utilisez sxstrace.exe pour un diagnostic détaillé.
Error: (02/21/2015 08:23:08 PM) (Source: SideBySide) (EventID: 63) (User: )
Description: La création du contexte d’activation a échoué pour « assemblyIdentity1 ». Erreur dans le fichier de manifeste ou de stratégie « assemblyIdentity2 » à la ligne assemblyIdentity3.
La valeur « MAJOR_VERSION.MINOR_VERSION.BUILD_NUMBER_MAJOR.BUILD_NUMBER_MINOR » de l’attribut « version » de l’élément « assemblyIdentity » n’est pas valide.
Error: (02/21/2015 08:03:38 PM) (Source: RasClient) (EventID: 20227) (User: )
Description: CoID={02FC6192-8C3C-4AC2-AC6F-5E448BF0E08A} : L’utilisateur Sélune-PC\Sélune a composé le numéro de la connexion SynCommunity2. La connexion a échoué. Code d’erreur retourné : 0.
Error: (02/21/2015 08:03:38 PM) (Source: RasClient) (EventID: 20227) (User: )
Description: CoID={02FC6192-8C3C-4AC2-AC6F-5E448BF0E08A} : L’utilisateur Sélune-PC\Sélune a composé le numéro de la connexion SynCommunity2. La connexion a échoué. Code d’erreur retourné : 800.
System errors:
=============
Error: (02/21/2015 09:16:39 PM) (Source: Disk) (EventID: 7) (User: )
Description: Le périphérique \Device\Harddisk0\DR0 comporte un bloc défectueux.
Error: (02/21/2015 09:16:39 PM) (Source: Disk) (EventID: 7) (User: )
Description: Le périphérique \Device\Harddisk0\DR0 comporte un bloc défectueux.
Error: (02/21/2015 09:16:39 PM) (Source: Disk) (EventID: 7) (User: )
Description: Le périphérique \Device\Harddisk0\DR0 comporte un bloc défectueux.
Error: (02/21/2015 09:16:39 PM) (Source: nvstor64) (EventID: 3) (User: )
Description: Erreur de données sur le périphérique.
Périphérique : \Device\RaidPort0
Modèle : WDC WD10EADS-22M2B0
Version du microprogramme : 01.0
Numéro de série : WD-WCAV57258695
Port : 0
Error: (02/21/2015 09:16:39 PM) (Source: nvstor64) (EventID: 3) (User: )
Description: Erreur de données sur le périphérique.
Périphérique : \Device\RaidPort0
Modèle : WDC WD10EADS-22M2B0
Version du microprogramme : 01.0
Numéro de série : WD-WCAV57258695
Port : 0
Error: (02/21/2015 09:16:39 PM) (Source: nvstor64) (EventID: 3) (User: )
Description: Erreur de données sur le périphérique.
Périphérique : \Device\RaidPort0
Modèle : WDC WD10EADS-22M2B0
Version du microprogramme : 01.0
Numéro de série : WD-WCAV57258695
Port : 0
Error: (02/21/2015 09:16:37 PM) (Source: Disk) (EventID: 7) (User: )
Description: Le périphérique \Device\Harddisk0\DR0 comporte un bloc défectueux.
Error: (02/21/2015 09:16:37 PM) (Source: Disk) (EventID: 7) (User: )
Description: Le périphérique \Device\Harddisk0\DR0 comporte un bloc défectueux.
Error: (02/21/2015 09:16:37 PM) (Source: Disk) (EventID: 7) (User: )
Description: Le périphérique \Device\Harddisk0\DR0 comporte un bloc défectueux.
Error: (02/21/2015 09:16:37 PM) (Source: Disk) (EventID: 7) (User: )
Description: Le périphérique \Device\Harddisk0\DR0 comporte un bloc défectueux.
Microsoft Office Sessions:
=========================
CodeIntegrity Errors:
===================================
Date: 2013-01-20 10:16:16.730
Description: Windows ne peut pas vérifier l’intégrité d’image du fichier \Device\HarddiskVolume3\Windows\System32\drivers\ZD1211U.sys, car le fichier à hacher est introuvable sur le système. Une modification matérielle ou logicielle récente a peut-être installé un fichier incorrectement signé ou endommagé ou il s’agit éventuellement d’un logiciel malveillant d’une source inconnue.
Date: 2013-01-20 10:16:16.715
Description: Windows ne peut pas vérifier l’intégrité d’image du fichier \Device\HarddiskVolume3\Windows\System32\drivers\ZD1211U.sys, car le fichier à hacher est introuvable sur le système. Une modification matérielle ou logicielle récente a peut-être installé un fichier incorrectement signé ou endommagé ou il s’agit éventuellement d’un logiciel malveillant d’une source inconnue.
Date: 2013-01-20 10:13:16.947
Description: Windows ne peut pas vérifier l’intégrité d’image du fichier \Device\HarddiskVolume3\Windows\System32\drivers\ZD1211U.sys, car le fichier à hacher est introuvable sur le système. Une modification matérielle ou logicielle récente a peut-être installé un fichier incorrectement signé ou endommagé ou il s’agit éventuellement d’un logiciel malveillant d’une source inconnue.
Date: 2013-01-20 10:13:16.931
Description: Windows ne peut pas vérifier l’intégrité d’image du fichier \Device\HarddiskVolume3\Windows\System32\drivers\ZD1211U.sys, car le fichier à hacher est introuvable sur le système. Une modification matérielle ou logicielle récente a peut-être installé un fichier incorrectement signé ou endommagé ou il s’agit éventuellement d’un logiciel malveillant d’une source inconnue.
Date: 2013-01-20 10:10:12.888
Description: Windows ne peut pas vérifier l’intégrité d’image du fichier \Device\HarddiskVolume3\Windows\System32\drivers\ZD1211U.sys, car le fichier à hacher est introuvable sur le système. Une modification matérielle ou logicielle récente a peut-être installé un fichier incorrectement signé ou endommagé ou il s’agit éventuellement d’un logiciel malveillant d’une source inconnue.
Date: 2013-01-20 10:10:12.872
Description: Windows ne peut pas vérifier l’intégrité d’image du fichier \Device\HarddiskVolume3\Windows\System32\drivers\ZD1211U.sys, car le fichier à hacher est introuvable sur le système. Une modification matérielle ou logicielle récente a peut-être installé un fichier incorrectement signé ou endommagé ou il s’agit éventuellement d’un logiciel malveillant d’une source inconnue.
Date: 2013-01-19 15:08:03.874
Description: Windows ne peut pas vérifier l’intégrité d’image du fichier \Device\HarddiskVolume3\Windows\System32\drivers\ZD1211U.sys, car le fichier à hacher est introuvable sur le système. Une modification matérielle ou logicielle récente a peut-être installé un fichier incorrectement signé ou endommagé ou il s’agit éventuellement d’un logiciel malveillant d’une source inconnue.
Date: 2013-01-19 15:08:03.874
Description: Windows ne peut pas vérifier l’intégrité d’image du fichier \Device\HarddiskVolume3\Windows\System32\drivers\ZD1211U.sys, car le fichier à hacher est introuvable sur le système. Une modification matérielle ou logicielle récente a peut-être installé un fichier incorrectement signé ou endommagé ou il s’agit éventuellement d’un logiciel malveillant d’une source inconnue.
Date: 2013-01-19 15:01:16.632
Description: Windows ne peut pas vérifier l’intégrité d’image du fichier \Device\HarddiskVolume3\Windows\System32\drivers\ZD1211U.sys, car le fichier à hacher est introuvable sur le système. Une modification matérielle ou logicielle récente a peut-être installé un fichier incorrectement signé ou endommagé ou il s’agit éventuellement d’un logiciel malveillant d’une source inconnue.
Date: 2013-01-19 15:01:16.629
Description: Windows ne peut pas vérifier l’intégrité d’image du fichier \Device\HarddiskVolume3\Windows\System32\drivers\ZD1211U.sys, car le fichier à hacher est introuvable sur le système. Une modification matérielle ou logicielle récente a peut-être installé un fichier incorrectement signé ou endommagé ou il s’agit éventuellement d’un logiciel malveillant d’une source inconnue.
==================== Memory info ===========================
Processor: Pentium(R) Dual-Core CPU E5400 @ 2.70GHz
Percentage of memory in use: 58%
Total physical RAM: 4095.24 MB
Available physical RAM: 1682.02 MB
Total Pagefile: 8188.63 MB
Available Pagefile: 5738.23 MB
Total Virtual: 8192 MB
Available Virtual: 8191.8 MB
==================== Drives ================================
Drive c: (Packard Bell) (Fixed) (Total:458.95 GB) (Free:118 GB) NTFS
Drive d: (DATA) (Fixed) (Total:459.46 GB) (Free:442.33 GB) NTFS
Drive e: (CIV4BTSEU) (CDROM) (Total:1.18 GB) (Free:0 GB) UDF
==================== MBR & Partition Table ==================
========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 931.5 GB) (Disk ID: D97E815B)
Partition 1: (Not Active) - (Size=13 GB) - (Type=27)
Partition 2: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=459 GB) - (Type=07 NTFS)
Partition 4: (Not Active) - (Size=459.5 GB) - (Type=07 NTFS)
==================== End Of Log ============================
Re: infection par cryptowall
Posté : dim. 22 févr. 2015 20:41
par hal68
Le 3e rapport (Shortcut.txt) dépasse la taille autorisée.
Re: infection par cryptowall
Posté : dim. 22 févr. 2015 20:45
par hal68
et voilà le rapport de MalwareBytes :
Malwarebytes Anti-Malware
http://www.malwarebytes.org
Scan Date: 22/02/2015
Scan Time: 16:52:11
Logfile: rapport MalwareBytes.txt
Administrator: Yes
Version: 2.00.4.1028
Malware Database: v2015.02.22.04
Rootkit Database: v2015.02.20.01
License: Trial
Malware Protection: Enabled
Malicious Website Protection: Enabled
Self-protection: Disabled
OS: Windows 7
CPU: x64
File System: NTFS
User: Sélune
Scan Type: Threat Scan
Result: Completed
Objects Scanned: 346148
Time Elapsed: 12 min, 31 sec
Memory: Enabled
Startup: Enabled
Filesystem: Enabled
Archives: Enabled
Rootkits: Disabled
Heuristics: Enabled
PUP: Enabled
PUM: Enabled
Processes: 4
Trojan.Agent.ED, C:\Windows\FrameworkUpdate\Update.exe, 1948, Delete-on-Reboot, [4933849d0882df576749c060a95912ee]
Trojan.FCLSID.ED, C:\Users\Sélune\AppData\Local\Ajworks\tmpEC17.exe, 2216, Delete-on-Reboot, [205ce8399ded84b209370908b54dd62a]
Trojan.Passwords.Papras, C:\Users\Sélune\AppData\Roaming\Microsoft\Windows\IEUpdate\getmac.exe, 2336, Delete-on-Reboot, [b6c6e1409eec52e43f44e388e917a15f]
Trojan.Passwords.Papras, C:\Users\Sélune\AppData\Roaming\Microsoft\Windows\IEUpdate\getmac.exe, 5492, Delete-on-Reboot, [b6c6e1409eec52e43f44e388e917a15f]
Modules: 5
Trojan.Agent.SPEGen, C:\Users\Sélune\AppData\Local\Ajworks\SharedGuestApps.dll, Delete-on-Reboot, [84f879a81d6d152132e456ced52dc040],
Trojan.Agent.ED, C:\Users\Sélune\AppData\Local\aoyatim.dll, Delete-on-Reboot, [3f3da081f199142281eec6a540c0e41c],
Trojan.FakeMS.ED, C:\Users\Sélune\AppData\Roaming\BtvStack.dll, Delete-on-Reboot, [106ca87964262610f7552ff78f73728e],
Trojan.FakeMS.ED, C:\Users\Sélune\AppData\Roaming\BtvStack.dll, Delete-on-Reboot, [106ca87964262610f7552ff78f73728e],
Trojan.FakeMS.ED, C:\Users\Sélune\AppData\Roaming\BtvStack.dll, Delete-on-Reboot, [106ca87964262610f7552ff78f73728e],
Registry Keys: 2
Trojan.Agent.ED, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\SystemUpdate, Quarantined, [4933849d0882df576749c060a95912ee],
Trojan.Agent.ED, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY\aoyatim, Quarantined, [3f3da081f199142281eec6a540c0e41c],
Registry Values: 8
Trojan.FCLSID.ED, HKU\S-1-5-21-2529000320-1765950179-772847634-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Ajworks, C:\Users\Sélune\AppData\Local\Ajworks\tmpEC17.exe, Quarantined, [205ce8399ded84b209370908b54dd62a]
Trojan.Agent.ED, HKU\S-1-5-21-2529000320-1765950179-772847634-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|aoyatim, rundll32 "C:\Users\Sélune\AppData\Local\aoyatim.dll",aoyatim, Quarantined, [3f3da081f199142281eec6a540c0e41c]
Trojan.Passwords.Papras, HKU\S-1-5-21-2529000320-1765950179-772847634-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|getmac, "C:\Users\Sélune\AppData\Roaming\Microsoft\Windows\IEUpdate\getmac.exe", Quarantined, [b6c6e1409eec52e43f44e388e917a15f]
Trojan.Passwords.Papras, HKU\S-1-5-21-2529000320-1765950179-772847634-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE|getmac, "C:\Users\Sélune\AppData\Roaming\Microsoft\Windows\IEUpdate\getmac.exe", Quarantined, [b6c6e1409eec52e43f44e388e917a15f]
Trojan.Agent.EV, HKU\S-1-5-21-2529000320-1765950179-772847634-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\CONTROL PANEL\DESKTOP|SCRNSAVE.EXE, "C:\Users\Sélune\AppData\Roaming\Microsoft\Windows\IEUpdate\getmac.exe", Quarantined, [ceae051ccfbbdb5bbedd9c17b54e6d93]
Hijack.Autorun, HKU\S-1-5-21-2529000320-1765950179-772847634-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\COMMAND PROCESSOR|AutoRun, "C:\Users\Sélune\AppData\Roaming\Microsoft\Windows\IEUpdate\getmac.exe", Quarantined, [ee8e919066241620281a3da455aea060]
PUM.LowRiskFileTypes, HKU\S-1-5-21-2529000320-1765950179-772847634-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ASSOCIATIONS|LowRiskFileTypes, .zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.log;, Quarantined, [6d0f61c0ed9d3ff71cd5b4f89172827e]
Trojan.Agent, HKU\S-1-5-21-2529000320-1765950179-772847634-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER|Run, "C:\Users\Sélune\AppData\Roaming\Microsoft\Windows\IEUpdate\getmac.exe", Quarantined, [7ffd57ca06844ee800010d9f2fd4aa56]
Registry Data: 0
(No malicious items detected)
Folders: 0
(No malicious items detected)
Files: 17
Trojan.Agent.ED, C:\Windows\FrameworkUpdate\Update.exe, Delete-on-Reboot, [4933849d0882df576749c060a95912ee],
Trojan.FCLSID.ED, C:\Users\Sélune\AppData\Local\Ajworks\tmpEC17.exe, Delete-on-Reboot, [205ce8399ded84b209370908b54dd62a],
Trojan.Agent.SPEGen, C:\Users\Sélune\AppData\Local\Ajworks\SharedGuestApps.dll, Delete-on-Reboot, [84f879a81d6d152132e456ced52dc040],
Trojan.Agent.ED, C:\Users\Sélune\AppData\Local\aoyatim.dll, Delete-on-Reboot, [3f3da081f199142281eec6a540c0e41c],
Trojan.Passwords.Papras, C:\Users\Sélune\AppData\Roaming\Microsoft\Windows\IEUpdate\getmac.exe, Delete-on-Reboot, [b6c6e1409eec52e43f44e388e917a15f],
Trojan.FakeMS.ED, C:\Users\Sélune\AppData\Roaming\BtvStack.dll, Delete-on-Reboot, [106ca87964262610f7552ff78f73728e],
Trojan.Dropper, C:\Users\Sélune\AppData\Roaming\IVFQ3xOTLq.exe, Quarantined, [6a123be697f31026e69d9e89fc069e62],
PUP.Optional.AdPeak.A, C:\temp\InstallFilter64.msi, Quarantined, [5a22849dee9c82b4cb1ff14cec1407f9],
PUP.Optional.SupraSavings.A, C:\temp\t.msi, Quarantined, [0a72dd4484069c9ae34a7816bf46c937],
PUP.Optional.OpenCandy, C:\Users\Sélune\Downloads\imgburn_2-5-8-0_fr_25151.exe, Quarantined, [94e8ee33c9c187af91d3ed044abb3cc4],
PUP.Optional.OptimumInstaller.A, C:\Users\Sélune\Downloads\Player-Firefox.exe, Quarantined, [126a1b060c7e280e7cb80a6ce12017e9],
PUP.Optional.Domalq, C:\Users\Sélune\Downloads\Player.exe, Quarantined, [cfadd150eaa058deadaaa88c40c5fd03],
PUP.Optional.InstallCore.A, C:\Users\Sélune\Downloads\FLVPlayerSetup.exe, Quarantined, [df9d79a8eb9f191db361d561e120c63a],
PUP.Optional.Domalq, C:\Users\Sélune\Downloads\Setup.exe, Quarantined, [daa270b199f1191da8af4de7966f837d],
PUP.Optional.InstallCore.A, C:\Users\Sélune\Downloads\SetupDVDDecrypter_3.5.4.0.exe, Quarantined, [3646af72404ad264f482e595f1143dc3],
PUP.Optional.Softonic, C:\Users\Sélune\Downloads\SoftonicDownloader_pour_switch-audio-file-converter.exe, Quarantined, [4b3143dee3a7d75f71e6bf6e07fa08f8],
PUP.Optional.01Net.A, C:\Users\Sélune\Downloads\videotoaudio.exe, Quarantined, [0b71130e2664da5cf39b1f5a71946799],
Physical Sectors: 0
(No malicious items detected)
(end)
Re: infection par cryptowall
Posté : dim. 22 févr. 2015 21:27
par g3n-h@ckm@n
salut
- Seuls ces liens sont officiels ne pas télécharger l'outil sur d'autres liens !
Note : Pendant le scan le bureau peut disparaître à plusieurs reprises
- Désactive toutes tes protections si possible, antivirus, sandbox, pare-feux ... ( >> Aide << )
- Télécharge Pre_Scan sur ton bureau !
- Si le lien n'est pas fonctionnel :
- Si l'outil est bloqué par l'infection essaye avec d'autres extensions :
- Si des Proxy sont détectés et que tu n'en as pas installé :
- Clique sur Supprimer le Proxy
- Le scan ne dure généralement pas plus de 10 mn
- A la fin du scan, rends toi à la racine de ton disque dur ( C:\ )
- Héberge le rapport Pre_Scan¤¤¤¤¤¤¤¤¤.txt sur http://cjoint.com puis donne le lien
==========================
- Désactive ton antivirus le temps du téléchargement et de l'utilisation, le mieux étant jusqu'au prochain redémarrage.
- Télécharge AdsFix sur ton bureau.
Note : Enregistrer votre travail avant de continuer !
- Lance AdsFix ( clic droit "executer en tant qu'administrateur" pour Vista/7/8/8.1 )
- Pour un pc assez infecté , il peut mettre plusieurs secondes à se charger
- Inscrit ton pays
- Clique sur Nettoyer , après l'avoir débloqué dans les options
Note : Patiente le temps du scan
- Laisse travailler l'outil même s'il te parait bloqué
- Si l'outil détecte un proxy que tu ne connais pas clic sur : "Supprimer le proxy"
- Héberge le rapport C:\AdsFix_date_heure.txt sur SOSUpload puis donne le lien obtenu.
Aide:
Re: infection par cryptowall
Posté : dim. 22 févr. 2015 21:45
par hal68
Salut,
Merci pour ta réponse, avant de suivre tes instructions je joins le rapport que m'a fait avast à la fin de son scan au cas où ça apporterait des informations utiles.
Ayant redémarré mon PC pour qu'avast supprime les deux fichiers restants (ce qu'il semble avoir fait), je constate que les messages du virus s'ouvrent de nouveau sous tous les formats au redémarrage.
Re: infection par cryptowall
Posté : dim. 22 févr. 2015 22:38
par g3n-h@ckm@n
tu peux faire quand même ^^
Re: infection par cryptowall
Posté : dim. 22 févr. 2015 23:23
par hal68
J'ai essayé les 4 version du logiciel Pre_Scan.
Aucune ne fonctionne : à chaque fois, je dois redémarrer car le scan bute sur un fichier apparaissant ainsi :
C:\PROGRA~2\MOZILL~1\FAPFFFC.tmp
J'ai trouvé ce fichier, il fait 0 ko est ne contient aucune menace selon Avast, par contre, il se trouve dans un dossier (Program files (x86)\Mozilla Firefox) où les fichiers ne sont apparemment pas crypté mais où un d'autres fichiers (pas celui-ci) ont d'après Windows été modifié récemment, pendant la période où le virus a créé ses fichiers texte partout.
Dois-je tenter de le supprimer et réessayer ?
edit : Précisons qu'à chaque redémarrage, j'ai toujours le fichier texte et les pages web du virus, donc je suppose que je suis toujours infecté. J'ai aussi des messages d'erreur de Windows se plaignant de ne pas pouvoir accéder à certains fichiers.
Re: infection par cryptowall
Posté : lun. 23 févr. 2015 03:08
par g3n-h@ckm@n
laisse tourner meme s il te parait bloqué
Re: infection par cryptowall
Posté : lun. 23 févr. 2015 06:26
par hal68
Etant assez pressé car je dois m'absenter quelques jours, j'ai lancé hier soir Adsfix, qui a modifié et supprimé plusieurs dizaines de fichiers, mais pas fait de rapport.
Jai toujours les mêmes messages au démarrage.
Je relance Pre_Scan et je reviens vers vous dans quelques jours.
Re: infection par cryptowall
Posté : lun. 23 févr. 2015 19:06
par g3n-h@ckm@n
le rapport d'adsfix , il y en a deux !
un sur le bureau dans tes icones et un dnas C:
Re: infection par cryptowall
Posté : mer. 25 févr. 2015 20:37
par hal68
Voilà donc le rapport de Pre_Scan :
http://cjoint.com/?0BzuOVmuOL3
et le rapport d'ADsFix (sur le même site car l'autre ne marche pas) :
http://cjoint.com/?0BzuTMnZmPq
Du coup, les deux analyses ont été faites dans l'ordre inverse de celui indiqué.
Re: infection par cryptowall
Posté : jeu. 26 févr. 2015 19:52
par g3n-h@ckm@n
hello on a du mieux ?
Re: infection par cryptowall
Posté : jeu. 26 févr. 2015 19:53
par g3n-h@ckm@n
salut
note : le rapport sera sur le bureau au nom de QuickDiag_date_heure.txt, et une copie du même nom sera disponible dans ton disque système ( logiquement C: )
Re: infection par cryptowall
Posté : jeu. 26 févr. 2015 21:44
par hal68
Non... J'ai toujours les mêmes messages au démarrage, et les mêmes déconnexions intempestives d'internet.
Par ailleurs, j'ai plusieurs messages d'erreur de windows également au démarrage me disant qu'il manque certains fichiers. VLC fonctionne mal, comme sans doute d'autres logiciels, et la résolution d'écran maximale n'est plus disponible, j'ai deux bandes noires sur les côtés de l'écran. Je suppose que la suppresion de fichiers par les différents antivirus a touché des fichiers assez "internes" de l'ordinateur.
edit : copie d'écran des messages windows :
http://cjoint.com/?0BAwcKIFGPC
J'ai vraiment besoin de me débarrasser de façon certaine de toute trace du virus pour pouvoir reconnecter les périphériques où sont stockés mes fichiers les plus importants.
Re: infection par cryptowall
Posté : jeu. 26 févr. 2015 23:34
par hal68
Juste une petite précision sans doute peu utile : en mode sans échec, je n'ai pas d'ouverture au démarrage des fichiers du virus.
Re: infection par cryptowall
Posté : ven. 27 févr. 2015 11:35
par g3n-h@ckm@n
hello pour commencer , je relisais les rapports et me suis paercu que tu n'as pas executé selon les demandes , on demande de désactiver les protections :
Pre_Scan : AS : Windows Defender Enabled
AdsFix : AS : Windows Defender Enabled