fichiers .CrYpTeD Résolu/Fermé

Question

Bonjour, j'ai récemment été infecté par levirus Crypt.ZPACK.Gen2., on m'a aidé à éradiquer les virus de mon ordinateur, cela dit, de nombreux fichiers .mp3 et .avi demeurent corrompus par l'extension .CrYpTeD après le nom du fichier (ex : rendu1.avi.CrYpTeD).
J'aimerais pouvoir restaurer mes fichiers étant donné que ce sont des rendus de montage vidéo et audio et qu'ils sont pour ainsi dire uniques.

Merci!

Excessimo · Answer

Tu as été désinfecté ici ?

Renommes les fichiers concernés en enlevant le ".Crypted"

Radiotete · Answer

Non, on m'a aidé sur SurLaToile car je n'arrivais pas à poster ici. Mais ils utilisent les mêmes marches à suivre que sur CCM.
Si je renomme mes fichiers, ils deviennent corrompus et je ne peux plus les lire.

Radiotete · Answer

Lorsque j'ai été infecté, tous mes fichiers audiovisuels se sont vus attribuer une nouvelle icone avec un petit alien vert en plus de l'extension .CrYpTeD. Après avoir été désinfecté, les .wma ont retrouvé leur icone et leur nom d'origine. Les .mp3 et .avi par contre ont toujours l'extension .CrYpTeD mais n'ont plus d'icone (feuille blanche).
Si je retire le .CrYpTeD à la fin du nom du fichier, alors le média est directement ré-associé au lecteur approprié (l'icone d'origine revient). Cela dit, lorsque je tente de lire le fichier, le lecteur s'ouvre avec le nom du fichier dans la liste de lecture mais rien ne sa passe et sa durée ne s'affiche plus.

Si ca peut renseigner davantage, lorsque Crypt.ZPACK.Gen2 s'est installé sur mon PC, lorsque j'essayais d'ouvrir un fichier avec l'icone d'alien on me demandait un mot de passe.

Autrement, apres avoir renommé certains fichiers .CrYpTeD, si je fais clic-droit dessus, en bas de l'onglet Général on m'informe que 'ce fichier provient peut etre d'un autre ordinateur' et il m'est possible de cliquer sur 'Débloquer', mais cela ne change rien et ne se présente pqs pour tous les fichiers que j'essaie de renommer.

J'espère rester clair ^^

Excessimo · Answer

===============ZHPDIAG====================

On va faire un diagnostic du PC :

[*]Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

[*]Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

[*]Clique sur l'icône représentant une loupe en haut à gauche (« Lancer le diagnostic »)
[*]Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
[*]Héberge le rapport ZHPDiag.txt (qui se trouve sur ton bureau) sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :

https://www.cjoint.com/

tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

Radiotete · Answer

Voilou :

https://www.cjoint.com/?3bswRLMquyc

Excessimo · Answer

mode sans échec :

redémarre ton pc et tapote la touche f8 avant l'apparition du logo de windows, ensuite sélectionne le mode sans échec avec prise en charge réseau.

############### Malwarebytes' Anti-Malware ###############

[x] Télécharge Malwarebytes' Anti-malware sur ton bureau.

https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

* NB : pour lancer le téléchargement, cliquer à doite sur "download now"

[x] Désactive ton Antivirus pour éviter les conflits

[x] Installe le en laissant les options par défaut ( Cocher seulement " Créer une icône sur le bureau " )

[x] A la fin de l'installation, laisse les 2 cases pour l"éxécution et la mise à jour cochées.

[x] Une fois lancé, clique sur " Exécuter un examen rapide" puis sur " Rechercher "

[x] Clique ensuite sur " Afficher les résultats " puis sur " SUPPRIMER LA SELECTION !!! ". Valide ensuite par " Ok ".

[x] MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.

[x] Note : Tu devra peut être redémarrer ton PC, accepte. Le rapport se trouve dans la partie " Rapports/Logs " du logiciel.

* (NB : S'il te manque"COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/

Radiotete · Answer

Apparement pas de virus... :

https://www.cjoint.com/?0btp98fIBgr

Excessimo · Answer

===============ZHPFIX====================

* Lance ZHPFix il se trouve sur le bureau (si tu es sous Windows Vista ou Windows 7, lance le par un clic-droit dessus --> exécuter en temps qu'administrateur).

    * Copie les lignes suivantes :

    ---------------------------------------------------

[MD5.36F12C38B33AAF1B72DD10B6D2FD883C] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\cacaoweb\cacaoweb.exe   [347888]
O4 - HKCU\..\Run: [cacaoweb] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\cacaoweb\cacaoweb.exe
O4 - HKUS\S-1-5-21-1060284298-630328440-1417001333-1001\..\Run: [cacaoweb] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\cacaoweb\cacaoweb.exe
[HKCU\Software\cacaoweb]
O43 - CFD: 2011-01-06 - 02:07:54 ----D- C:\Program Files\cacaoweb
O43 - CFD: 2011-01-18 - 16:35:00 ----D- C:\Documents and Settings\Radiotete\Application Data\cacaoweb
O47 - AAKE:Key Export SP - "C:\Program Files\cacaoweb\cacaoweb.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --

    ---------------------------------------------------

    * Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    * Les lignes se collent automatiquement dans ZHPFix.
    * Clique sur « Ok » puis sur « Tous », puis sur « Nettoyer »

postes le rapport

Radiotete · Answer

https://www.cjoint.com/?3btunUl4fqh 

=)

Radiotete · Answer

Je n'étais simplement pas certain du terme. Après avoir regardé de plus près, je vois cela :

.mp3 : ~45secondes supprimées en début. Le ré-encodage ne les prend donc pas en compte ; le fichier est tronqué.

.wav : ~10secondes de bruit sur le début du fichier. Le ré-encodage donne à nouveau du bruit ; le fichier est endommagé.

.avi : fichier illisible/endommagé.

Pour ré-encoder les fichiers musicaux je les ai importé sous Cubase pour les ré-exporter avec la même extension. Pour les vidéos, Première refuse des les ouvrir : extension inconnue ou fichier endommagé.
J'ai préalablement retiré l'extension .CrYpTeD évidemment.

Peut-être devrais-je t'envoyer un spécimen ?

Lyonnais92 · Answer

Bonjour,

je ne suis pas sûr de faire avancer mais quelques informations :

- il ne semble pas que ce soit directement Crypt.ZPACK.Gen2 qui ait crypté les fichiers (je n'ai pas trouvé de mention de cryptage des fichiers utilisateurs par ce malware), mais il a pu ouvrir une faille de sécurité.

- une recherche sur ThreatExpert sur avi.crypted renvoie ici :

https://www.symantec.com?md5=d59ad929640d7185bc929ceb87c700e7

- Trojan-Ransom.Win32.Xorist.ar permet de trouver :

http://support.kaspersky.com/fr/viruses/solutions?qid=208280933

===

Aucune garantie que ce soit exactement ce malware qui t'a infecté ni que l'outil de Kaspersky soit d'un grand secours.

Un essai sur une copie d'un fichier ne doit pas coûter grand chose.

Sauf que il faut probablement faire attention : l'outil semble fonctionner de la manière suivante :

- étape 1 recherche de la clé de cryptage

- étape 2 application de la clé à tous les fichiers

Donc copie de sauvegarde avant.

Et je te suggère 

1) de changer d'OS

2) de faire systématiquement des sauvegardes sur un autre support des fichiers importants.

===

Bonne suite à vous deux.

Radiotete · Answer

Coucou!
L'outil Kaspersky a fonctionné à merveilles! Tous mes fichiers ont été décryptés en un clin d'oeil! Pour les fichiers dont j'avais retiré le .CrYpTeD, il m'a suffit de le rajouter puis de relancer l'outil.
Merci énormément à tous les deux !

Fichiers .CrYpTeD

12 réponses

Discussions similaires

Newsletters