Cortex Worms Fichiers Emdommagés Résolu

Question

Bonjour,   

J'ai un gros problème avec mes fichiers, je m'explique.  
Aujourd'hui j'ai téléchargé un exécutable, sur un site "connu" (de warez) je précise que ce n'était pas un fichier illégal. Je vais sur un scanner en ligne pour analyser mon fichiers (et oui il y a toujours des malins) aucun antivirus ne détecter ce fichiers comme étant dangereux.  
Mon antivirus ne réagis pas lui non plus, je double clique donc sur l'exécutable. Au bout de quelques seconde je m'appercoi que certain documents qui se trouve sur mon ordinateur ne peuvent plus s'ouvrir et l'icon à changé.  

J'aimerais qu'on m'aide svp car j'ai des fichiers important pour mon boulot ainsi que des souvenirs personnel que je veux absolument retrouver !!!!  



Merci a+++

Malekal_morte- · Accepted Answer

J'adore ton post qq jours et après et hop l'appli est en ligne !       

Kevin appli detected.       

Le super remover of the death écrit en VB :       
http://www.hostingpics.net/viewer.php?id=728567CortexProut2.png       

que quand on lui parle gentillement, il vous laisse passer : http://www.hostingpics.net/viewer.php?id=462547CortexProut.png       

ça fait bien ce que ça "dit", ça cherche un processus cortex.exe et ça le vire et ça renomme soit disant les fichiers textes.       
Genre le truc impossible à louper dans les rapports que je t'ai demandé.       
Bref t'as simulé l'infection.       

Sauf que ça cherche l'extension *WormsCortex       
=> http://www.hostingpics.net/viewer.php?id=630635CortexProut4.png       

et toi dans ton infection "simulée" tu me parles de *.CortexWorms       
Tu t'es viandé sur ce coup...      

D'autre part, faudra que tu m'expliques si t'as un ransomware qui renomme les fichiers .texte (et surement les crypte) comment t'as pu générer et uploader des rapports OTL au format .txt alors que dans ton premier message, tu parles de quelques secondes.   

Bref michelrussia aka Morgan Belfort (parce que quand on post et qu'on fait les mêmes fautes, ça éveille aussi les soupçons).       

Arnaque à deux balles confirmée d'une infection qui existe mm pas.       

PS : Faudra corriger ça : http://www.hostingpics.net/viewer.php?id=510757CortexProut5.png  

Remember when you were young, you shone like the sun.       
Shine on you crazy diamond.       
Now there's a look in your eyes, like black holes in the sky.       
Shine on you crazy diamond.

Malekal_morte- · Answer

Salut,

Un site Warez légal ?
C'est nouveau ça...

C'est quoi l'adresse du programme que tu as téléchargé ?

michelarussia · Answer

Les modérateurs l'on enlevé du forums mais le fichier n'était pas illégal c'était enhanced patch pour Ccleaner et je ne les pas dans l'historique le lien. Désolé
Si tu veux + de précision dis le moi.

Malekal_morte- · Answer

J'aurai bien voulu le fichier pour voir ce qu'il fait...
Si tu l'as encore, envoie le sur http://upload.malekal.com


Au bout de quelques seconde je m'appercoi que certain documents qui se trouve sur mon ordinateur ne peuvent plus s'ouvrir et l'icon à changé.

Donne plus de précisions.
Icone comment ?
clic droit / propriétés dessus, tu as quoi comme type ?
Tu peux fournir une capture ?



Fais ça pour voir :

Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan, supprime tout et poste le rapport ici.

puis :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://www.cijoint.fr/ pour me donner les deux rapports : OTL.Txt et Extras.Txt.

michelarussia · Answer

voila l'image l'icon qui a changé http://img4.hostingpics.net/pics/766909o.jpg

Ton site pour hébergé ne marche pas par contre.

Malekal_morte- · Answer

faut insister pour cijoint.com

sinon y a : https://pastebin.com/

michelarussia · Answer

http://imagik.fr/uploads/353825

Voila

Je n'arrive pas a me servir de ton site je suis peut être bête tu en a pas un autre =)?

michelarussia · Answer

http://pastebin.com/u57ATNQj

http://pastebin.com/ERMYh5YN

Voila

Malekal_morte- · Answer

et le rapport malwarebyte ?
et pourquoi tu n'as pas fait un scan avec les éléments personnalisés sur OTL comme cela a été demandé ? :/

Le fichier dont tu as fait la capture a été modifié y a pas longtemps apparemment... scanne le sur virustotal pour voir : https://www.virustotal.com/gui/


Tu as quoi comme antivirus ?

michelarussia · Answer

J'ai avira, j'ai deja scanné sur virustotal aucun résultat tous était propre soit disant. mon malwarebyte ne marche plus avec ce virus. Pourtant j'ai fais comme tu ma dis :/

Malekal_morte- · Answer

Poste un rapport OTL personnalisé, comme c'est demandé...

michelarussia · Answer

On dirais que le nom du virus s'appelle cortex worms ou worms cortex il n'y a pas de solution pour celui ci?

Malekal_morte- · Answer

Poste un rapport OTL personnalisé, comme c'est demandé...

Morgan Belfort · Answer

le problème dans ce cas n'est pas l'infection elle même, le problème c'est que même après infections les fichiers qu'il a perdu resteront perdu ! pourrais tu me donner plus d'informations sur les fichiers qui sont infectés ou même m'envoyer une copie d'un fichier infecté.

michelarussia · Answer

Bah le fichier a une icon blanche comme je les dis et l'extension du fichier a changer c'est devenu worms cortex mais j'ai cherché sur google et je n'est pas trouvé de solution.

michelarussia · Answer

Merci je regarde sa tous de suite merci. Le logiciel est payant à ce que je vois. C'est vraiment rentable?? je n'est pas envi de gâcher de l'argent pour un truc qui ne marche pas.

Malekal_morte- · Answer

Poste un rapport OTL personnalisé, comme c'est demandé...

Malekal_morte- · Answer

@michelarussia :    
Ceci est la dernière fois que je demande le rapport OTL personnalisé (voir ce post).    

Si mon message est ignoré, le sujet sera fermé et t'iras demandé de l'aide sans écouter les gens qui t'aident ailleurs.    
Si tu es réellement venu pour cela.    

Remember when you were young, you shone like the sun.    
Shine on you crazy diamond.    
Now there's a look in your eyes, like black holes in the sky.    
Shine on you crazy diamond.

michelarussia · Answer

Oui excuse moi je voila le rapport. http://pastebin.com/uYreQUyN

Malekal_morte- · Answer

Je me demande comment tu peux avoir Antivir alors qu'il y a 0 trace d'Antivir.....
(et non ton infection l'a pas supprimé).

Ton rapport est OK...
Pas de signe d'infection.

Fais un scan en ligne NOD32 : https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32
Poste le rapport de scan ici.

michelarussia · Answer

Si pourtant j'ai avira il est actif. je vais faire une analyse merci de tes conseils

michelarussia · Answer

Aucune infection n'a été trouvé par nod32. Par contre quand je créer un fichier texte par exemple il est infecté lui aussi je peux t'envoyer le fichiers si tu veux.

Malekal_morte- · Answer

ouaip vas y.  

et tu fais ça : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/  
et une capture de l'icone de ton fichier texte avec tout l'écran, pas juste un carré avec l'icone.  

Fais une capture d'Antivir.
Pareil avec tout le bureau.

Donne le message d'erreur (une capture pendant qu'on y est) de Malwarebyte quand tu le lances, si y en a une.  

et fais ça :  

Télécharge GMER à partir de ce lien : http://www.gmer.net#files - clic sur « Download EXE » et télécharge le fichier sur ton bureau.  
Voir le tutorial GMER, ça peut peut-être t'aider : https://www.malekal.com/tutorial-gmer/  

Désactive tes logiciels de protection (antivirus, antispyware etc) et ferme tous les programmes ouverts.  
Double-clic sur le fichier GMER téléchargé.  
Une fois lancé, fais un clic droit sur le fond blanc (comme ci-dessus) et clic sur « Only Non MS files »  
Clic en bas à droite sur le bouton « Scan » pour lancer le scan.  

https://www.malekal.com/fichiers/GMER/GMER_ScanType.png 

Lorsque le scan est terminé, clic sur « Copy »  

Ouvre le bloc-note et clic sur le Menu Edition / Coller  
Le rapport doit alors apparaître.  
Enregistre le fichier sur ton bureau et copie/colle le contenu ici.  


Remember when you were young, you shone like the sun.  
Shine on you crazy diamond.  
Now there's a look in your eyes, like black holes in the sky.  
Shine on you crazy diamond.

michelarussia · Answer

http://www.hostingpics.net/viewer.php?id=70043655.jpg

http://img4.hostingpics.net/pics/56069854.jpg

http://img4.hostingpics.net/pics/95780456.jpg

Pas de message d'erreur pour malwareByte's il démarre puis s'éteint seul.

Tu veux que je t'envoie le fichier infecté ou?

Malekal_morte- · Answer

zip le fichier texte et envoie le sur http://upload.malekal.com 
dis moi quand c'est fait ; 

Je pense que tu as fait un scan GMER rootkit et pas ce qui a été demandé.


~~

Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start= 
Poste le rapport ici. 


~~ 



Sauvegarde tes documents importants. 


Désactive les logiciels de protection (Antivirus, Antispywares) puis :        

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!        

Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.        

Eventuellement, installe la console de récupération comme cela est conseillé        

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport. 
Si le rapport ne passe pas, envoie le sur ce site : http://www.cijoint.fr/ 
et donne le lien ici :)      

Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix        

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.        

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.     


~~ 





Remember when you were young, you shone like the sun. 
Shine on you crazy diamond. 
Now there's a look in your eyes, like black holes in the sky. 
Shine on you crazy diamond.

Malekal_morte- · Answer

ho :)

bha moi j'ai l'impression que ce topic entier est une fumisterie, et qu'il est au final là que pour faire la promotion de ce site :)

astrop · Answer

Bonsoir, c'est encore moi, je me suis inscrit, je sais pas trop à quoi ça sert, mais si ça peut m'aider à résoudre mon problème...
Je viens de refaire un scan complet de mes disques avec antivir, mais rien du tout.
Je crois qu'en plus de l'extension qui a été modifiée, les fichiers aussi ont été altérés. Parmi eux, j'avais des trucs assez importants, c'est vraiment gênant. En plus, j'ai aucun moyen de savoir si je cours le risque de le propager sur un autre ordi via une clé USB ou autre. Si t'as une idée, ce serait vraiment sympa de m'en faire part.
merci.

Malekal_morte- · Answer

Salut,

OK.
Fais une capture de ton bureau avec les fichiers renommés et poste là ici.


Ensuite :

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :    
netsvcs 
msconfig 
safebootminimal 
safebootnetwork 
activex 
drivers32 
%ALLUSERSPROFILE\%Application Data\*. 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%APPDATA%\*. 
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe 
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles 
%systemroot%\System32\config\*.sav 
/md5start 
explorer.exe 
winlogon.exe 
wininit.exe 
/md5stop
nslookup www.google.fr /c
CREATERESTOREPOINT    
* Clique sur le bouton Quick Scan.    
* Quand le scan est fini, utilise le site http://www.cijoint.fr/ pour me donner les deux rapports : OTL.Txt et Extras.Txt.

astrop · Answer

Salut,
voilà ce que tu m'as demandé :
http://www.cijoint.fr/cjlink.php?file=cj201101/cijIfChmNV.png
http://www.cijoint.fr/cjlink.php?file=cj201101/cijzBxHBp9.txt
http://www.cijoint.fr/cjlink.php?file=cj201101/cijStROL3l.txt
Pour info, j'ai analysé mon pc avec malwarebytes, il m'a trouvé 7 trucs infectés, dont un processus qui plante l'ordi (écran bleu, vidage de la mémoire, ...) et qui s'appelle "smvrs.exe". Donc comme le plantage a eu lieu pendant que malwarebytes nettoyait, pas de log associé. Mais au redémarrage, j'ai pu fermer une console qui s'ouvrait (smvrs.exe) et donc empêcher le processus de se lancer, et j'ai supprimer ce fichier qui se trouvait dans "application data". D'après antivir et malwarebytes, je n'ai plus aucune infection, mais ce n'est que leurs avis, et surtout, mes fichiers endommagés le sont toujours, et d'autres ont même disparus (plus aucun espoir pour ceux-là).
Je sais pas si "smvrs.exe" et ".WormsCortex" ont un rapport entre eux, tu pourras peut-être m'éclairer. Et si tu connais un moyen de réparer mes fichiers, je suis preneur.
Merci d'avance.

Malekal_morte- · Answer

scanne C:\WINDOWS\System32\acaptuser32.dll 
sur https://www.virustotal.com/gui/ 
Poste le lien de scan ici.

Remember when you were young, you shone like the sun. 
Shine on you crazy diamond. 
Now there's a look in your eyes, like black holes in the sky. 
Shine on you crazy diamond.

astrop · Answer

voila pour le scan de "acaptuser32.dll" :

http://www.virustotal.com/file-scan/report.html?id=fb19e20ea559b9ffd23967c9e0d8ce605b051aab54f378f29c8805a526ab1616-1296407419

pour malwarebytes, j'ai pas de log comme je le disais, parce que j'ai eu l'erreur fatale justement au moment où il désinfectait et coupait le processus "smvrs.exe".

Malekal_morte- · Answer

vu que t'as du buter le malware.... ça va pas être simple pour tes docs.
Zip ceux méga important et je vais voir ce que je peux faire, envoie les sur http://upload.malekal.com

mais je te garanti rien.

astrop · Answer

Je comprends pas, j'ai besoin du malware pour réparer mes fichiers ?

Malekal_morte- · Answer

Non pas toi.
Mais si j'avais le malware, je pourrai savoir comment il modifie les fichiers documents pour mieux les réparer !

Un peu comme pour en vrai pour faire un vaccin faut le virus !
Sinon c'est pas facile pour faire des tests etc !

astrop · Answer

Je viens de t'envoyer un échantillon pour que tu voies ce qui est possible de faire. Le problème c'est aussi que j'ai des trucs confidentiels du boulot, et donc je pourrai pas te les envoyer. Donc si tu trouves un moyen de réparer, il faudra que je le fasse moi-même pour les autres...
Merci du temps que tu passes la-dessus.
ps : le fichier qui m'a infecté (enfin je pense) a été supprimé du site où je l'avais eu, donc pas moyen de l'avoir de nouveau pour l'étudier...

Malekal_morte- · Answer

*SOUPIR*

Malekal_morte- · Answer

Bon J'arrive à en réparer 1 sur 3 :/ 

Donc pour tes docs importants, faut que tu me les envoies, je vois pas comment on peux faire autrement.

et je suis pas certains d'y arriver...

Remember when you were young, you shone like the sun. 
Shine on you crazy diamond. 
Now there's a look in your eyes, like black holes in the sky. 
Shine on you crazy diamond.

astrop · Answer

salut,
@malekal : merci beaucoup pour le temps que tu passes là-dessus. malheureusement je vois que je ne suis pas le seul à m'être fait avoir par cette merde. pour la plainte, c'est une bonne idée, je pense que je vais prendre le temps de le faire. sinon pour mes fichiers endommagés, il faut que fasse le tri de ce qui est vraiment important ou pas, parce que y en a beaucoup. je te recontacterai peut-être alors si besoin.
merci encore.

Supersephi70 · Answer

http://img265.imageshack.us/img265/2650/cortexthenoob1.png Moi aussi j'ai eu un problème avec lui !

Cortex Worms Fichiers Emdommagés - Page 2

Newsletters