Pierre13

Bonjour, Pardon pour le retard... Essayer sur ce lien pour SXCU. Hébergement provisoire limité à 4 jours. Ok pour le rapport . @++

Re, Alors, c'est un vrai mystère ce truc... Refaire un nouveau rapport ZHPDiag pour vérifier... Mais avant, faire ceci: Note: Re télécharger les outils pour avoir la dernière version. Télécharger ZHPCleaner sur le bureau. Lancer avec un clic droit sur le fichier et choisir Exécuter en tant qu'administrateur - 1 - Cliquer sur Scanner Patienter jusqu'à la fin (100%) - 2 - Cliquer sur Nettoyer (Obligatoire si détection..Sinon, faut recommencer) Patienter jusqu'à la fin - 3 - Cliquer sur Rapport -- Heberger le rapport sur Cjoint (le rapport est sur le bureau) -- Poster le lien vers ce rapport. La suite: Télécharge Junkware Removal Tool de Thisisu et enregistre le fichier sur ton Bureau Ferme toutes les applications, y compris ton navigateur Double-clique sur l'icône JRT.exe pour lancer l'installation /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur L'application se lance, appuyer sur une touche pour continuer Laisser l'outil analyser le système A la fin du scan, un rapport JRT.txt s'ouvre. Poste ce rapport dans ta prochaine réponse. Le rapport est enregistré sur le Bureau Tutoriel d'utilisation Junkware Removal Tool en images Suivant: Télécharger Malwarebytes Anti-Malware et enregistre le sur le Bureau. Double-cliquer sur le fichier mbam-setup.exe pour lancer l'installation pour vista/W7/W8/10 clique-droit > exécuter en tant qu'administrateur A la fin de l'installation, décocher l'option "Activer l'essai gratuit de Malwarebytes Anti-Malware Premium". La case Exécuter Malwarebytes Anti-Malware reste cochée. Cliquer sur Terminer. Malwarebyte's s'ouvre Changer la langue si elle est en anglais Sur le Tableau de bord, cliquer en haut sur Setting >> General Settings >> Language : Mettre Français Le changement est immédiat Faire un Scan personnalisé avec >> MalwareByte's Anti-Malware avec cette procédure Ouvrir MBAM, Sur le Tableau de bord, cliquer en haut sur Analyse Après, sélectionner Analyse Personnalisé.>> et Configurer Analyse Configurer et Cocher toutes les cases des lecteurs et des examens Lancer l'examen >> Analyse Maintenant Quand l'examen est terminé, si des éléments ont été détectés Cliquer sur Appliquer les actions pour laisser MBAM nettoyer ce qui a été détecté. Si besoin, Voir ce tuto de Chantal11. Si un redémarrage est demandé, clique sur OUI. Attendre l'affichage du message invitant à faire redémarrer le PC, puis cliquer sur Oui. Après le redémarrage, ouvrir de nouveau MBAM. Si besion, Voir ce tuto de Chantal11 Cliquer sur l'onglet Historique > Journaux de l'application. Faire un double clique sur le JOURNAL D'ANALYSE dont l'analyse qui vient d'être effectuée. Cliquer sur Exporter. Cliquer sur Fichier texte (*.txt) Dans la boîte de dialogue 'Enregistrer le fichier' qui s'est ouverte, cliquer sur le Bureau. Dans la zone Nom du fichier: saisir un nom pour le journal d'examen. Une boîte de message intitulée Fichier enregistré doit apparaître et annoncer que "Votre fichier a été exporté avec succès". Cliquer sur OK Héberger le contenu du rapport sur le site ce service de rapport en ligne Puis copier/coller le lien fourni dans la prochaine réponse. Ensuite, le rapport ZHPDiag: Comment lever la protection SmartScreen : Depuis la sortie de sa version 8, Microsoft intègre un système de protection contre les sites malveillants nommé « SmartScreen ». Mais il s’avère que ce filtre bloque le téléchargement de nombreux logiciels légitimes. Téléchargement ZHPDiag : Télécharger ZHPDiag sur le site officiel de Nicolas Coolman Une icône est créée sur le Bureau. Cliquer sur l’icône ZHPDiag pour démarrer le logiciel et faire apparaître l’interface. Démarrer la recherche : – Cliquer sur « Scanner » pour démarrer la recherche. – En cours de recherche, un compteur indique le nombre de détections. – Laisser s'effectuer la recherche jusqu’à ce que la barre de progression atteigne le 100% – Pour annuler la recherche, cliquer sur la touche « Echap ». -- Cliquer sur Rapport à la fin du scan. -- Héberger le rapport sur Cjoint (le rapport est sur le bureau) -- Poster le lien vers ce rapport. Jamais vu un truc pareil...Si ça résiste à ça...eh ben.. Note: Je ne serai pas présent demain avant le début de la soirée... Après tout ça, ressayer au re démarrage voir si ce truc est encore là ou pas.. Bon courage...@++

Bon...on va essayer (quand tu pourras) de faire ceci: Télécharger ZHPFix sur cette page. Sélectionner/copier ce code ci dessous : ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- Script ZHPFix FirewallRaz EmptyPrefetch EmptyTemp EmptyFlash ProxyFix ShortcutFix [MD5.00000000000000000000000000000000] [APT] [tBZO6rs5kVuX] (...) -- C:\Users\Famille\AppData\Roaming\tBZO6rs5kVuX.exe (.not file.) [0] =>PUP.Optional.CrossRider [MD5.00000000000000000000000000000000] [APT] [tcEop6Ekrc] (...) -- C:\Users\Famille\AppData\Roaming\tcEop6Ekrc.exe (.not file.) [0] =>PUP.Optional.CrossRider O39 - APT: tBZO6rs5kVuX - (...) -- C:\Windows\System32\Tasks\tBZO6rs5kVuX [4158] =>PUP.Optional.CrossRider O39 - APT: tcEop6Ekrc - (...) -- C:\Windows\System32\Tasks\tcEop6Ekrc [4150] =>PUP.Optional.CrossRider O39 - APT: tBZO6rs5kVuX - (...) -- C:\Windows\Tasks\tBZO6rs5kVuX.job [1026] =>PUP.Optional.CrossRider O39 - APT: tcEop6Ekrc - (...) -- C:\Windows\Tasks\tcEop6Ekrc.job [1022] =>PUP.Optional.CrossRider C:\Windows\Tasks\tBZO6rs5kVuX.job =>PUP.Optional.CrossRider C:\Windows\Tasks\tcEop6Ekrc.job =>PUP.Optional.CrossRider C:\Windows\System32\Tasks\tBZO6rs5kVuX =>PUP.Optional.CrossRider C:\Windows\System32\Tasks\tcEop6Ekrc =>PUP.Optional.CrossRider ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- Lancer ZHPFix avec un clic droit et choisir Exécuter en tant qu'administrateur. Cliquer sur « IMPORTER » , Le code doit apparaître Dans ZHPFix, cliquer sur GO. Laisser travailler l'outil. S'il demande à redémarrer le PC, accepter. Un rapport sera sur le bureau..Poster le contenu. Tu me diras après re démarrage du PC si ce formbuzz est encore là ou non...

ok...Bon courage. Rien dans le rapport non plus... Je continue les recherches.. @++

Il n'y a rien dans le rapport qui montre que formbuzz se lance avec Windows... Bon...on va regarder avec un autre outil: Désactiver l'anti virus avant ! Sous IE9, IE10 ou IE11, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même 1--> Où trouver la version 32 ou 64 bits de Windows ? 2--> Aller sur cette page 3--> Cliquer sur : Portable 32 bits si Windows est en 32 bits. Portable 64 bits si Windows est en 64 bits. Pendant le téléchargement, une page va s'ouvrir...fermer cette page. Placer (ou déplacer) le fichier téléchargé sur le bureau (Important!) Faire un clic droit sur le fichier et choisir Exécuter en tant qu'administrateur. Patienter le temps du Préscan Après le Préscan, cliquer sur Scan Le scan peut demander plusieurs minutes en fonction du nombre de fichiers à analyser...Patienter jusqu'à la fin. A la fin du scan, cliquer sur Rapport Une autre interface va s'ouvrir, cliquer sur Ouvrir TXT Le rapport va s'ouvrir...Sélectionner tout le contenu, le copier et le coller dans ta réponse. Je dois m'absenter 1/2 h...@++

Re, Et en faisant un clic droit sur le fichier d'installation =>> Propriétés =>> Compatibilité =>> Choisir un autre système (win 7 par exemple) ? Aucune idée si ça peut marcher...

Re, Oui, c'est sur...inutile en effet.

Ok.. Rien de formbuzz dans ces fichiers... Essayer cette méthode: Télécharge SEAF (de C_XX) sur ton bureau ! Lance SEAF, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista Coche la case "Informations supplémentaires (...)" Sélectionne "Chercher également dans le registre" Sélectionne MD5 Au dessous de Recherche, taper : FormBuzz Cliquer sur Lancer la recherche. Patienter le temps de la recherche... Une fois le scan terminé rends-toi sur le bureau, un rapport va s'ouvrir, copie/colle son contenu dans ta réponse

Ok... @++

Ok...mais attention... Il est possible qu'un des fichiers cryptés contienne le virus... Méfiance donc. Le mieux est de faire analyser le fichier avec MBAM (clic droit sur le fichier =>> analyser avec MBAM) ou avec l'anti virus. Une autre solution est de l'analyser sur Virus Total. Cette méthode est longue vu le nombre, mais ça peut éviter pas mal d'ennuis... @++ Bon courage...

Bon...Va falloir faire ceci: Voir sur cette page CCM comment lancer CMD en tant qu'administrateur. Ensuite, copier/coller cette commande dans la fenêtre noire de CMD: reg export HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run C:\Users\Famille\Documents\listeHKLM.reg Valider par Entrée. Faire ensuite ceci: Copier/coller cette 2ème commande: reg export HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run C:\Users\Famille\Documents\listeHKCU.reg Valider aussi par Entrée. Fermer la fenêtre CMD en tapant Exit et valider. Aller dans le dossier Mes Documents. Dans ce dossier, il y a 2 fichiers reg : listeHKLM.reg listeHKCU.reg Faire un clic droit dessus et choisir Modifier Le bloc notes va s'ouvrir Copier/coller le contenu dans la réponse. (a faire pour les 2 fichiers)

Re, Alors, comment il fait pour se lancer ??? Je regarde ça et je reviens...

Re, Voir sur cette page CCM comment faire pour désactiver formbuzz du démarrage. Il suffit de rechercher FormBuzz dans la liste et de le désactiver comme expliqué dans le tuto. Ok pour le rapport. Une fois formbuzz désactivé, redémarrer le Pc et voir si c'est Ok. Pour mon info, c'est quoi ce FormBuzz ? Un jeu ?

Bonjour Arnaud, Source info.

Alors, les fichiers cryptés sont définitivement perdus.. Sinon, je pense que l'infection a bien disparu. Pour s'en assurer, faut déjà supprimer tous les fichiers help_decrypt et ceux cryptés. Faire une recherche avec mon outil Recherche.exe Faudra alors choisir le lecteur du disque externe à la place de C: Entrer help_decrypt dans le nom de fichier comme la 1ère fois. Laisser le reste comme il est. Poster le rapport sur cjoint. Si souci, ne pas hésiter à le signaler. @++

Re, Mais si tu connais DISM...c'est ceci: Commande Vérification du magasin de composants: DISM.exe /Online /Cleanup-image /Scanhealth Commande Réparation du magasin de composants: DISM.exe /Online /Cleanup-image /Restorehealth Commandes à lancer dans CMD en tant qu'administrateur. Ces commandes peuvent demander 30 minutes pour s'exécuter...ne pas fermer la fenêtre noire CMD..Patienter... @++

Bonjour Wullfk, J'ai bien trouvé cette page d'un forum Microsoft..si ça peut te servir. Dans ce 1er post, voilà la traduction Google: Pour le système "Clean Boot", c'est le démarrage en mode sans échec et en mode minimal. D'après ce que j'ai pu comprendre, il serait question de faire un SFC /SCANNOW et DISM pour corriger certaines erreurs.. @++

Bonjour, Merci pour le retour d'info. Tant mieux que le souci est réglé. Penser à éditer le premier post pour ajouter [Résolu] devant le titre. Pour cela cliquer sur "Modifier" dans le premier post. On peut alors changer le titre. Utiliser pour ça, l'éditeur complet. @ Bientôt...

Bonjour, Merci pour le rapport en txt. Rien dedans... Tant mieux dans le sens où le PC est clean. Dommage dans le sens que le coupable reste inconnu.. La page du lien ne donne rien de suspect (à 1ère vue du moins) Possible que ce soit lors de la mise à jour de Java si le fichier ne vient pas du site officiel. Si ce fichier de mise à jour est encore sur le PC, faut le supprimer. Les fichiers cryptés ont une extension ou un nom particulier ? On peut faire une recherche pour en avoir la liste. Faudrait vérifier si dans les paramètres des points de restauration système c'est bien configuré comme ceci: Si c'est le cas, il y a peut être une chance de récupérer des fichiers cryptés.. Il faut qu'il y ait eu un point restauration créé avant le souci avec cette infection. Pour cela, il suffit de faire un clic droit sur le fichier ==>> Propriétés. Onglet Versions précédentes Attendre le temps de la recherche... Si une version précédente est disponible, elle va s'afficher. Cliquer dessus pour la sélectionner et cliquer sur Restaurer. A voir si c'est possible...

Bonjour, Ok pour le rapport Pense à éditer le premier post pour ajouter [Résolu] devant le titre. Pour cela cliquer sur "Modifier" dans le premier post. On peut alors changer le titre. Utiliser pour ça, l'éditeur complet. @++

Bonjour, Rien trouvé dans le rapport concernant formbuzz.dll... Ce serait bien si on pouvait avoir une capture de cette fenêtre. Il y a encore un truc pas net à supprimer: Si besoin, Télécharger ZHPFix sur cette page. Sélectionner/copier ce code en marron ci dessous : ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- Script ZHPFix FirewallRaz EmptyPrefetch EmptyTemp EmptyFlash HKLM\SOFTWARE\Wow6432Node\amazingtab ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- Lancer ZHPFix avec un clic droit et choisir Exécuter en tant qu'administrateur. Cliquer sur « IMPORTER » , Le code doit apparaître Dans ZHPFix, cliquer sur GO. Laisser travailler l'outil. S'il demande à redémarrer le PC, accepter. Un rapport sera sur le bureau..Poster le contenu.

Ok... Après l'analyse, j'aurais bien aimé avoir le rapport de MBAM en texte.. Cela peut servir pour identifier le coupable s'il le trouve... Bon courage... @ demain.

En regardant de plus près la capture, je vois que seul le disque C a été concerné... Le disque externe était connecté et allumé durant l'analyse ?

Oui, je me doute que c'est long... Bon...J'aurais préféré un fichier texte au lieu de la capture...Tant pis. Pour savoir si c'est Ok, pas simple vu que je ne connais pas le nom du fichier qui infecte le PC.. En tous cas, laisser l'outil de BitDefender en service, il va empêcher la propagation du virus. Faudrait maintenant passer MBAM en ayant fait la mise à jour avant. Je sais bien que c'est aussi très long...mais c'est le seul moyen pour le moment de vérifier si c'est Ok ou non. J'aurais voulu savoir si le PC se comporte normalement ou pas maintenant ? Note: Il y a un moyen possible sous réserves de la configuration des points de restauration de récupérer des fichiers cryptés. On verra cela une fois que l'on est certain que l'infection est éradiquée. Faire le scan avec MBAM et bien vider la quarantaine. Pour le scan avec MBAM, il faut laisser le DD externe connecté pour qu'il soit aussi analysé. Bon courage...et bon travail pour aujourd'hui !

J'ai oublié de faire la désinstallation des outils... Télécharger DelFix sur le bureau. Cliquer uniquement sur ce bouton pour lancer le téléchargement. Lancer l'outil avec un clic droit sur le fichier et choisir Exécuter en tant qu'administrateur. Cocher les cases comme dans cette capture Cliquer sur Exécuter. Laisser l'outil travailler. Il va supprimer les outils de désinfection et disparaître lui même. Ensuite, un rapport va s'ouvrir.(ne pas le fermer, sinon, il disparaît !) Copier/coller son contenu dans ta réponse. Faire un clic droit sur le bureau et choisir Actualiser pour faire disparaître les icônes des outils. Vider la corbeille si besoin. @++