infection RSA-4096

[ds20000]

Bonjour,
j'essaie d'aider un ami qui est infecté par RSA-4096.
J'ai parcouru differents site. Je dois poster les rapports de FRST sur un forum d'aide.
Je m'adresse donc à vous. J'ai noté que chaque réponse est personnelle, donc, je post ici mes rapports:

http://pjjoint.malekal.com/files.php..._e10z15b10v9d6

http://pjjoint.malekal.com/files.php...d15w14j13y12e5

Je vous remercie par avance, en esperant avoir posté au bon endroit.
-----

[xsun]

bonjour

désolé du délai

Des fichiers ont été crypté ? si oui par quelle extension ?



***

FRST - Correctif :


/!\ Ne passe l'outil qu'une seule fois afin de ne pas fausser le rapport /!\

• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe
  /!\ Sous Windows 7 , 8.1 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Appuie en même temps sur la touche Ctrl et y. Un fichier fixlist.txt s'ouvre
• Copie/colle la totalité du contenu de la zone Code ci-dessous dans ce fichier
  --> de start inclus dans le copié à end inclus dans le copié

Code:

start
CreateRestorePoint:
CloseProcesses:
Startup: C:\Users\Christelle\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+fnd.txt [2016-02-02] ()
Startup: C:\Users\Christelle\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+nrb.html [2016-01-26] ()
Startup: C:\Users\Christelle\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+nrb.txt [2016-01-26] ()
Startup: C:\Users\Christelle\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+ydh.html [2016-01-26] ()
Startup: C:\Users\Christelle\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+ydh.txt [2016-02-10] ()
2016-01-26 15:30 - 2016-01-26 15:30 - 0014535 _____ () C:\Users\Christelle\AppData\Roaming\help_recover_instructions+fnd.html
2016-01-26 15:30 - 2016-01-26 15:30 - 0002183 _____ () C:\Users\Christelle\AppData\Roaming\help_recover_instructions+fnd.txt
2016-01-26 16:35 - 2016-01-26 16:35 - 0014535 _____ () C:\Users\Christelle\AppData\Roaming\help_recover_instructions+nrb.html
2016-01-26 16:35 - 2016-01-26 16:35 - 0002183 _____ () C:\Users\Christelle\AppData\Roaming\help_recover_instructions+nrb.txt
2016-01-26 22:07 - 2016-01-26 22:45 - 0014535 _____ () C:\Users\Christelle\AppData\Roaming\help_recover_instructions+ydh.html
2016-01-26 22:07 - 2016-01-26 22:45 - 0002183 _____ () C:\Users\Christelle\AppData\Roaming\help_recover_instructions+ydh.txt
2016-01-26 15:30 - 2016-01-26 15:30 - 0014535 _____ () C:\Users\Christelle\AppData\Roaming\Microsoft\help_recover_instructions+fnd.html
2016-01-26 15:30 - 2016-01-26 15:30 - 0002183 _____ () C:\Users\Christelle\AppData\Roaming\Microsoft\help_recover_instructions+fnd.txt
2016-01-26 16:35 - 2016-01-26 16:35 - 0014535 _____ () C:\Users\Christelle\AppData\Roaming\Microsoft\help_recover_instructions+nrb.html
2016-01-26 16:35 - 2016-01-26 16:35 - 0002183 _____ () C:\Users\Christelle\AppData\Roaming\Microsoft\help_recover_instructions+nrb.txt
2016-01-26 22:07 - 2016-01-26 22:45 - 0014535 _____ () C:\Users\Christelle\AppData\Roaming\Microsoft\help_recover_instructions+ydh.html
2016-01-26 22:07 - 2016-01-26 22:45 - 0002183 _____ () C:\Users\Christelle\AppData\Roaming\Microsoft\help_recover_instructions+ydh.txt
2015-07-18 15:13 - 2017-05-24 11:22 - 0890807 _____ () C:\Users\Christelle\AppData\Local\BTServer.log
2016-01-26 15:29 - 2016-01-26 15:31 - 0014535 _____ () C:\Users\Christelle\AppData\Local\help_recover_instructions+fnd.html
2016-01-26 15:29 - 2016-01-26 15:31 - 0002183 _____ () C:\Users\Christelle\AppData\Local\help_recover_instructions+fnd.txt
2016-01-26 16:35 - 2016-01-26 16:35 - 0014535 _____ () C:\Users\Christelle\AppData\Local\help_recover_instructions+nrb.html
2016-01-26 16:35 - 2016-01-26 16:35 - 0002183 _____ () C:\Users\Christelle\AppData\Local\help_recover_instructions+nrb.txt
2016-01-26 22:06 - 2016-01-26 22:45 - 0014535 _____ () C:\Users\Christelle\AppData\Local\help_recover_instructions+ydh.html
2016-01-26 22:06 - 2016-01-26 22:45 - 0002183 _____ () C:\Users\Christelle\AppData\Local\help_recover_instructions+ydh.txt
2016-01-26 15:29 - 2016-01-26 15:29 - 0014535 _____ () C:\ProgramData\help_recover_instructions+fnd.html
2016-01-26 15:29 - 2016-01-26 15:29 - 0002183 _____ () C:\ProgramData\help_recover_instructions+fnd.txt
2016-01-26 16:35 - 2016-01-26 16:35 - 0014535 _____ () C:\ProgramData\help_recover_instructions+nrb.html
2016-01-26 16:35 - 2016-01-26 16:35 - 0002183 _____ () C:\ProgramData\help_recover_instructions+nrb.txt
2016-01-26 22:06 - 2016-01-26 22:06 - 0014535 _____ () C:\ProgramData\help_recover_instructions+ydh.html
2016-01-26 22:06 - 2016-01-26 22:06 - 0002183 _____ () C:\ProgramData\help_recover_instructions+ydh.txt
Task: {584D22B9-8F8E-4EFC-81EA-BF8AB8EF564D} - System32\Tasks\Programme de mise a jour PCKeeper => C:\ProgramData\Essentware\installer.exe  <==== ATTENTION
HKU\S-1-5-21-944180925-2587274939-1031127189-1002\...\StartupApproved\StartupFolder: => "help_recover_instructions+fnd.txt"
HKU\S-1-5-21-944180925-2587274939-1031127189-1002\...\StartupApproved\StartupFolder: => "help_recover_instructions+nrb.html"
HKU\S-1-5-21-944180925-2587274939-1031127189-1002\...\StartupApproved\StartupFolder: => "help_recover_instructions+ydh.html"
HKU\S-1-5-21-944180925-2587274939-1031127189-1002\...\StartupApproved\StartupFolder: => "help_recover_instructions+ydh.txt"
S3 TDEIO; \??\C:\Users\Administrator\Desktop\H90t\tdeio64.sys [X]
2017-05-24 11:37 - 2017-05-24 11:37 - 00000000 ____D C:\ProgramData\SWCUTemp
C:\ProgramData\Essentware
AccountService (Version: 1.1.69 - Essentware) Hidden
PCKAVLang.fr (Version: 1.0.0 - Essentware) Hidden
PCKLang.fr (Version: 1.0.0 - Essentware) Hidden
EmptyTemp:
end

• Appuie en même temps sur la touche Ctrl et s pour enregistrer, puis referme le fichier fixlist.txt via la croix, en haut à droite
• Sur le menu principal de FRST, clique une seule fois sur Corriger et patiente le temps de la correction
• Accepte le redémarrage du système si demandé
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

Redémarre ton ordinateur s'il ne le fait pas automatiquement



Dans un souci de confidentialité, les rapports doivent être postés en "pièce-jointe"



/!\ Ce script a été établi uniquement pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, cela ne sert à rien car chaque système est différent, et le risque de provoquer de graves dysfonctionnements et d'endommager Windows reste possible /!\