Cortex Worms Fichiers Emdommagés

Résolu
Profil bloqué -  
 Supersephi70 -
Bonjour,

J'ai un gros problème avec mes fichiers, je m'explique.
Aujourd'hui j'ai téléchargé un exécutable, sur un site "connu" (de warez) je précise que ce n'était pas un fichier illégal. Je vais sur un scanner en ligne pour analyser mon fichiers (et oui il y a toujours des malins) aucun antivirus ne détecter ce fichiers comme étant dangereux.
Mon antivirus ne réagis pas lui non plus, je double clique donc sur l'exécutable. Au bout de quelques seconde je m'appercoi que certain documents qui se trouve sur mon ordinateur ne peuvent plus s'ouvrir et l'icon à changé.

J'aimerais qu'on m'aide svp car j'ai des fichiers important pour mon boulot ainsi que des souvenirs personnel que je veux absolument retrouver !!!!

Merci a+++

39 réponses

  • 1
  • 2
Résumé de la discussion

Un utilisateur a téléchargé un exécutable sur un site warez; après l’avoir exécuté, des documents deviennent inaccessibles et l’icône des fichiers change, tandis que l’antivirus et les analyses en ligne ne détectent rien. Plusieurs réponses recommandent d’investiguer une infection possible avec des outils spécialisés comme GMER, TDSSKiller ou Combofix, de sauvegarder les données et de lancer des scans en mode sans échec. D’autres interventions suggèrent de vérifier l’extension et de produire des captures et rapports pour évaluer la situation, tout en évitant des solutions douteuses et des sources non fiables. En complément, plusieurs échanges soulignent que certains éléments évoquant des outils et des tutoriels peuvent être controversés ou non fiables et qu’il convient de distinguer les conseils sûrs des arnaques.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    J'adore ton post qq jours et après et hop l'appli est en ligne !

    Kevin appli detected.

    Le super remover of the death écrit en VB :
    http://www.hostingpics.net/viewer.php?id=728567CortexProut2.png

    que quand on lui parle gentillement, il vous laisse passer : http://www.hostingpics.net/viewer.php?id=462547CortexProut.png

    ça fait bien ce que ça "dit", ça cherche un processus cortex.exe et ça le vire et ça renomme soit disant les fichiers textes.
    Genre le truc impossible à louper dans les rapports que je t'ai demandé.
    Bref t'as simulé l'infection.

    Sauf que ça cherche l'extension *WormsCortex
    => http://www.hostingpics.net/viewer.php?id=630635CortexProut4.png

    et toi dans ton infection "simulée" tu me parles de *.CortexWorms
    Tu t'es viandé sur ce coup...

    D'autre part, faudra que tu m'expliques si t'as un ransomware qui renomme les fichiers .texte (et surement les crypte) comment t'as pu générer et uploader des rapports OTL au format .txt alors que dans ton premier message, tu parles de quelques secondes.

    Bref michelrussia aka Morgan Belfort (parce que quand on post et qu'on fait les mêmes fautes, ça éveille aussi les soupçons).

    Arnaque à deux balles confirmée d'une infection qui existe mm pas.

    PS : Faudra corriger ça : http://www.hostingpics.net/viewer.php?id=510757CortexProut5.png

    Remember when you were young, you shone like the sun.
    Shine on you crazy diamond.
    Now there's a look in your eyes, like black holes in the sky.
    Shine on you crazy diamond.
    12
    1. Valuu Messages postés 2258 Statut Contributeur 201
       
      Élémentaire mon cher Watson !
      0
    2. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
       
      Salut,
      Bien vu Malekal_morte. (+1)
      ;)
      0
    3. astro
       
      Bien vu pour l'arnaque !
      Pourrais-tu m'aider à me débarrasser de cette saleté ?
      Et oui, je me suis fait avoir par je ne sais quel fichier qu'on m'a passé, et j'ai pleins de fichiers dont l'extension a changé en ".WormsCortex". J'ai bien essayé de les renommer manuellement, mais alors ils ne fonctionnent plus. Si t'as une solution, je suis suis preneur, car je n'ai pas envie de donner 10€ à ce genre d'enf... qui font ch... tout le monde avec leurs arnaques !
      0
    4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Astro, le fait que ce soit une arnaque, c'est aussi, parce que je pense que cette infection n'existe pas et que cette désinfection avec michelrussia est à mon sens une mascarade :)
      car le fix a l'air de faire ce dont il parle :)

      Ca reste au final une appréciation personnelle.
      0
    5. Astro
       
      Salut,
      Merci de me répondre, mais je suis réellement embêté par ce truc depuis ce matin. J'ai plus de 1000 fichiers (doc, xls, jpg, pdf, ...) dont l'extension a été modifiée. Si tu ne me crois pas, je peux t'en envoyer un exemple, et même le fichier que je pense être responsable de tout ce bordel. Antivir n'y a vu que du feu, et quand j'ai cherché dans Google, tout ce que je trouve, c'est cette discussion et ce fameux site louche qui veut me soutirer 10€, et rien d'autre.
      Alors comme t'avais l'air d'avoir décortiqué ce soi-disant programme de nettoyage, je me pensais que tu pourrais m'aider.
      Dans tous les cas, je t'assure que c'est pas une mascarade en ce qui me concerne, je suis vraiment emmer... par ce truc depuis ce matin.
      Merci d'avance si tu as une solution.
      0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    ho :)

    bha moi j'ai l'impression que ce topic entier est une fumisterie, et qu'il est au final là que pour faire la promotion de ce site :)
    9
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    ouaip vas y.

    et tu fais ça : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/
    et une capture de l'icone de ton fichier texte avec tout l'écran, pas juste un carré avec l'icone.

    Fais une capture d'Antivir.
    Pareil avec tout le bureau.

    Donne le message d'erreur (une capture pendant qu'on y est) de Malwarebyte quand tu le lances, si y en a une.

    et fais ça :

    Télécharge GMER à partir de ce lien : http://www.gmer.net#files - clic sur « Download EXE » et télécharge le fichier sur ton bureau.
    Voir le tutorial GMER, ça peut peut-être t'aider : https://www.malekal.com/tutorial-gmer/

    Désactive tes logiciels de protection (antivirus, antispyware etc) et ferme tous les programmes ouverts.
    Double-clic sur le fichier GMER téléchargé.
    Une fois lancé, fais un clic droit sur le fond blanc (comme ci-dessus) et clic sur « Only Non MS files »
    Clic en bas à droite sur le bouton « Scan » pour lancer le scan.

    https://www.malekal.com/fichiers/GMER/GMER_ScanType.png

    Lorsque le scan est terminé, clic sur « Copy »

    Ouvre le bloc-note et clic sur le Menu Edition / Coller
    Le rapport doit alors apparaître.
    Enregistre le fichier sur ton bureau et copie/colle le contenu ici.

    Remember when you were young, you shone like the sun.
    Shine on you crazy diamond.
    Now there's a look in your eyes, like black holes in the sky.
    Shine on you crazy diamond.
    2
  4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    zip le fichier texte et envoie le sur http://upload.malekal.com
    dis moi quand c'est fait ;

    Je pense que tu as fait un scan GMER rootkit et pas ce qui a été demandé.

    ~~

    Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
    Poste le rapport ici.

    ~~

    Sauvegarde tes documents importants.

    Désactive les logiciels de protection (Antivirus, Antispywares) puis :

    Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!

    Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.

    Eventuellement, installe la console de récupération comme cela est conseillé

    Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
    Si le rapport ne passe pas, envoie le sur ce site : http://www.cijoint.fr/
    et donne le lien ici :)

    Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

    Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

    ~~

    Remember when you were young, you shone like the sun.
    Shine on you crazy diamond.
    Now there's a look in your eyes, like black holes in the sky.
    Shine on you crazy diamond.
    2
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Un site Warez légal ?
    C'est nouveau ça...

    C'est quoi l'adresse du programme que tu as téléchargé ?
    1
  7. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Poste un rapport OTL personnalisé, comme c'est demandé...
    1
  8. Profil bloqué
     
    Les modérateurs l'on enlevé du forums mais le fichier n'était pas illégal c'était enhanced patch pour Ccleaner et je ne les pas dans l'historique le lien. Désolé
    Si tu veux + de précision dis le moi.
    0
  9. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    J'aurai bien voulu le fichier pour voir ce qu'il fait...
    Si tu l'as encore, envoie le sur http://upload.malekal.com

    Au bout de quelques seconde je m'appercoi que certain documents qui se trouve sur mon ordinateur ne peuvent plus s'ouvrir et l'icon à changé.

    Donne plus de précisions.
    Icone comment ?
    clic droit / propriétés dessus, tu as quoi comme type ?
    Tu peux fournir une capture ?

    Fais ça pour voir :

    Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    Mets le à jour, fais un scan, supprime tout et poste le rapport ici.

    puis :

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    * Lance OTL
    * Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    CREATERESTOREPOINT

    * Clique sur le bouton Analyse.
    * Quand le scan est fini, utilise le site http://www.cijoint.fr/ pour me donner les deux rapports : OTL.Txt et Extras.Txt.

    0
  10. Profil bloqué
     
    voila l'image l'icon qui a changé http://img4.hostingpics.net/pics/766909o.jpg

    Ton site pour hébergé ne marche pas par contre.
    0
  11. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    faut insister pour cijoint.com

    sinon y a : https://pastebin.com/
    0
  12. Profil bloqué
     
    http://imagik.fr/uploads/353825

    Voila

    Je n'arrive pas a me servir de ton site je suis peut être bête tu en a pas un autre =)?
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      tu copies colles les rapports et tu fais submit en bas.
      tu files les liens ici.
      0
  13. Profil bloqué
     
    http://pastebin.com/u57ATNQj

    http://pastebin.com/ERMYh5YN

    Voila
    0
  14. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    et le rapport malwarebyte ?
    et pourquoi tu n'as pas fait un scan avec les éléments personnalisés sur OTL comme cela a été demandé ? :/

    Le fichier dont tu as fait la capture a été modifié y a pas longtemps apparemment... scanne le sur virustotal pour voir : https://www.virustotal.com/gui/

    Tu as quoi comme antivirus ?

    0
  15. Profil bloqué
     
    J'ai avira, j'ai deja scanné sur virustotal aucun résultat tous était propre soit disant. mon malwarebyte ne marche plus avec ce virus. Pourtant j'ai fais comme tu ma dis :/
    0
  16. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Poste un rapport OTL personnalisé, comme c'est demandé...
    0
  17. Profil bloqué
     
    On dirais que le nom du virus s'appelle cortex worms ou worms cortex il n'y a pas de solution pour celui ci?
    0
  18. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Poste un rapport OTL personnalisé, comme c'est demandé...
    0
    1. Mstr Messages postés 12018 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 900
       
      pfiou..
      0
  19. Morgan Belfort
     
    le problème dans ce cas n'est pas l'infection elle même, le problème c'est que même après infections les fichiers qu'il a perdu resteront perdu ! pourrais tu me donner plus d'informations sur les fichiers qui sont infectés ou même m'envoyer une copie d'un fichier infecté.
    0
  20. Profil bloqué
     
    Bah le fichier a une icon blanche comme je les dis et l'extension du fichier a changer c'est devenu worms cortex mais j'ai cherché sur google et je n'est pas trouvé de solution.
    0
  21. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    @michelarussia :
    Ceci est la dernière fois que je demande le rapport OTL personnalisé (voir ce post).

    Si mon message est ignoré, le sujet sera fermé et t'iras demandé de l'aide sans écouter les gens qui t'aident ailleurs.
    Si tu es réellement venu pour cela.

    Remember when you were young, you shone like the sun.
    Shine on you crazy diamond.
    Now there's a look in your eyes, like black holes in the sky.
    Shine on you crazy diamond.
    0
  • 1
  • 2