Comment décrypter des fichiers?
bfbaudo
Messages postés
14
Statut
Membre
-
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
J'ai été infectée hier par un trojan qui crypte les fichiers. Je m'en suis rendue compte parceque mon ordinateur "ramait" et j'ai vu les icônes changer: j'ai arrêté le processus mais j'ai quand même une bonne partie de mes fichiers cryptés...
Quand on ouvre ses derniers, il est écrit:
All your files are encrypted!
To decrypt them you need to
send a voucher code or Paysafecard Ukash at email: tenagliamirella@gmail.com
In return you get a code to decrypt files.
You can find more information here https://www.paysafecard.com/en-gb/lp-products/ukash-welcome/
or https://www.paysafecard.com/fr-fr/
PLEASE READ CAREFULLY!
To avoid problems, TURN OFF YOUR ANTI-VIRUS!
AKA restore your files WILL NOT!
================================================================================
Todos os seus arquivos sao criptografados!
Para decifra-los voce precisa
enviar um codigo de voucher Ukash Paysafecard ou no e-mail: tenagliamirella@gmail.com
Em troca, voce recebera um codigo para decifrar arquivos.
Voce pode encontrar mais informacao aqui https://www.paysafecard.com/en-gb/lp-products/ukash-welcome/
ou https://www.paysafecard.com/fr-fr/
LEIA COM ATENCAO!
Para evitar problemas, DESLIGUE seu anti-virus!
AKA restaurar seus arquivos nao serao!
Dans les propriétés de fichiers, il y a écrit s'ouvre avec: Matura contai scarso rasa
J'ai fait tourner Spybot qui n'a rien trouvé, CCleaner qui a nettoyé plein de choses et surtout avast qui a trouvé:
win32:downloader-NRY
win32kryptik-IJJ
J'ai mis les deux en quarantaine. Mais mintenant comment puis-je ouvrir les fichiers cryptés?
Merci d'avance pour votre aide: je ne trouve rien sur la toile à ce sujet.
Bfbaudo
J'ai été infectée hier par un trojan qui crypte les fichiers. Je m'en suis rendue compte parceque mon ordinateur "ramait" et j'ai vu les icônes changer: j'ai arrêté le processus mais j'ai quand même une bonne partie de mes fichiers cryptés...
Quand on ouvre ses derniers, il est écrit:
All your files are encrypted!
To decrypt them you need to
send a voucher code or Paysafecard Ukash at email: tenagliamirella@gmail.com
In return you get a code to decrypt files.
You can find more information here https://www.paysafecard.com/en-gb/lp-products/ukash-welcome/
or https://www.paysafecard.com/fr-fr/
PLEASE READ CAREFULLY!
To avoid problems, TURN OFF YOUR ANTI-VIRUS!
AKA restore your files WILL NOT!
================================================================================
Todos os seus arquivos sao criptografados!
Para decifra-los voce precisa
enviar um codigo de voucher Ukash Paysafecard ou no e-mail: tenagliamirella@gmail.com
Em troca, voce recebera um codigo para decifrar arquivos.
Voce pode encontrar mais informacao aqui https://www.paysafecard.com/en-gb/lp-products/ukash-welcome/
ou https://www.paysafecard.com/fr-fr/
LEIA COM ATENCAO!
Para evitar problemas, DESLIGUE seu anti-virus!
AKA restaurar seus arquivos nao serao!
Dans les propriétés de fichiers, il y a écrit s'ouvre avec: Matura contai scarso rasa
J'ai fait tourner Spybot qui n'a rien trouvé, CCleaner qui a nettoyé plein de choses et surtout avast qui a trouvé:
win32:downloader-NRY
win32kryptik-IJJ
J'ai mis les deux en quarantaine. Mais mintenant comment puis-je ouvrir les fichiers cryptés?
Merci d'avance pour votre aide: je ne trouve rien sur la toile à ce sujet.
Bfbaudo
A voir également:
- Comment décrypter des fichiers?
- Comment ouvrir un fichier epub ? - Guide
- Renommer des fichiers en masse - Guide
- Comment ouvrir des fichiers .docx - Guide
- Comment ouvrir un fichier bin ? - Guide
- Dvd decrypter - Télécharger - Copie & Extraction
28 réponses
- 1
- 2
Suivant
Résumé de la discussion
Une infection par un ransomware crypte les fichiers et affiche un message indiquant que tous les fichiers sont chiffrés, puis demande l'envoi d'un code via Ukash/Paysafecard à une adresse email. Des conseils préconisent la mise à jour des logiciels vulnérables (Java, Adobe Reader, Flash) afin d’éviter les exploits Web qui permettent l’infection lors de la visite d’un site piraté. En cas d’infection, certains répondants suggèrent d’employer Spybot, Avast et Pre_Scan pour nettoyer les éléments malveillants, d’analyser les fichiers suspects via VirusTotal et d’effectuer des nettoyages approfondis. D'autres échanges évoquent des redirections de pages et l’importance de supprimer les outils inutiles tout en nettoyant les paramètres du fichier host pour éviter ces détournements lors des recherches.
salut desinstalle spybot
pour tes fichiers cryptés on cherche une solution pour l instant rien n'est officiel , ne jette rien
==================
telecharge et enregistre Pre_Scan sur ton bureau :
http://forums-fec.be/gen-hackman/Pre_Scan.exe
Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
http://forums-fec.be/gen-hackman/Pre_Scan.pif
ou cette version renommée winlogon.exe :
http://forums-fec.be/gen-hackman/winlogon.exe
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
pour tes fichiers cryptés on cherche une solution pour l instant rien n'est officiel , ne jette rien
==================
telecharge et enregistre Pre_Scan sur ton bureau :
http://forums-fec.be/gen-hackman/Pre_Scan.exe
Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
http://forums-fec.be/gen-hackman/Pre_Scan.pif
ou cette version renommée winlogon.exe :
http://forums-fec.be/gen-hackman/winlogon.exe
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
Hé, pre_scan, cest un rogue non?...
https://www.commentcamarche.net/faq/13265-pc-infecte-par-des-rogues
https://www.commentcamarche.net/faq/13265-pc-infecte-par-des-rogues
fais attention à ce que tu lis avant de dire des aneries
Que faire si votre pc est infecté par un ou plusieurs rogues ??
Définition d'un rogue
1. RogueKiller
2. Pre_Scan
3. MalwareBytes Anti-Malware
4. Combofix
Après nettoyage
Que faire si votre pc est infecté par un ou plusieurs rogues ??
Définition d'un rogue
1. RogueKiller
2. Pre_Scan
3. MalwareBytes Anti-Malware
4. Combofix
Après nettoyage
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Voilà le rapport:
https://pjjoint.malekal.com/files.php?id=20120416_w12d6t10k14m12
Merci d'avance pour votre aide.
https://pjjoint.malekal.com/files.php?id=20120416_w12d6t10k14m12
Merci d'avance pour votre aide.
desinstalle spybot il sert à rien
desinstalle adobe reader 9
desinstalle Java update 22
===========
Fais analyser le(s) fichier(s) suivants sur Virustotal :
Virus Total
clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :
C:\WINDOWS\system32\Drivers\12696669.sys
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.
================
Relance Pre_scan puis choisis l'option "Script"
une page vierge va s'ouvrir
selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::
Registry::
[HKU\S-1-5-21-680303840-3361347366-1884830023-1005\Software\Microsoft\Internet Explorer\Toolbar]
"Locked"=-
[HKU\S-1-5-21-680303840-3361347366-1884830023-501\Software\Microsoft\Internet Explorer\Toolbar]
"Locked"=-
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}]
[-HKCR\Applications\RYiGElV1ZFlQ3US.exe] | ->
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{0ABE0FED-50E7-4e42-A125-57C0A11DBCDE}]
[-HKCU\Software\BitDownload]
[-HKCU\Software\iMesh]
[-HKLM\Software\BrowserChoice]
[-HKLM\Software\iMesh]
file::
C:\WINDOWS\jestertb.dll
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\HOW TO DECRYPT FILES.txt
C:\Documents and Settings\Parents\Menu Démarrer\Programmes\Démarrage\HOW TO DECRYPT FILES.txt
C:\Documents and Settings\Parents\Menu Démarrer\Programmes\Démarrage\_uninst_12696669.lnk
C:\Documents and Settings\Parents\Application Data\HOW TO DECRYPT FILES.txt
C:\Documents and Settings\Parents\Local Settings\Application Data\HOW TO DECRYPT FILES.txt
folder::
C:\Program Files\iMesh Applications\iMesh
C:\DOCUME~1\Parents\LOCALS~1\Temp\0478190
C:\WINDOWS\assembly\tmp\08FMT07E
C:\WINDOWS\assembly\tmp\09GNU18F
C:\WINDOWS\assembly\tmp\0AHOU18E
C:\WINDOWS\assembly\tmp\0AHOW3AH
C:\WINDOWS\assembly\tmp\0CKS08GO
C:\WINDOWS\assembly\tmp\0V28FMT0
C:\WINDOWS\assembly\tmp\18FMT07E
C:\WINDOWS\assembly\tmp\1BIPW3AH
C:\WINDOWS\assembly\tmp\1DLT19HP
C:\WINDOWS\assembly\tmp\2FNV2AIQ
C:\WINDOWS\assembly\tmp\3CJQX4BI
C:\WINDOWS\assembly\tmp\3DLT19HP
C:\WINDOWS\assembly\tmp\4CJQX3AH
C:\WINDOWS\assembly\tmp\4ELRY5CI
C:\WINDOWS\assembly\tmp\5ELSZ6DK
C:\WINDOWS\assembly\tmp\5FMT073A
C:\WINDOWS\assembly\tmp\6ELSZ6DL
C:\WINDOWS\assembly\tmp\6FMT07EL
C:\WINDOWS\assembly\tmp\6GOW4CKS
C:\WINDOWS\assembly\tmp\6HNU1RY5
C:\WINDOWS\assembly\tmp\6HOV29GN
C:\WINDOWS\assembly\tmp\6HPX5CKS
C:\WINDOWS\assembly\tmp\7GNU17EL
C:\WINDOWS\assembly\tmp\8GNU07EL
C:\WINDOWS\assembly\tmp\9I18FMT0
C:\WINDOWS\assembly\tmp\9KS08GOW
C:\WINDOWS\assembly\tmp\AJQX4BIP
C:\WINDOWS\assembly\tmp\AKS08FNV
C:\WINDOWS\assembly\tmp\CLSZ6CJQ
C:\WINDOWS\assembly\tmp\CMU2AIQY
C:\WINDOWS\assembly\tmp\DMT06DKQ
C:\WINDOWS\assembly\tmp\EOW5CKS0
C:\WINDOWS\assembly\tmp\EPX5DLS0
C:\WINDOWS\assembly\tmp\EPX5DLT1
C:\WINDOWS\assembly\tmp\GOW3AHOV
C:\WINDOWS\assembly\tmp\GPW39GNU
C:\WINDOWS\assembly\tmp\GQY5CJQX
C:\WINDOWS\assembly\tmp\GQZ6EMU2
C:\WINDOWS\assembly\tmp\HRY5BIPW
C:\WINDOWS\assembly\tmp\IQX4BIPW
C:\WINDOWS\assembly\tmp\IS09GOW4
C:\WINDOWS\assembly\tmp\JTZ6DKQX
C:\WINDOWS\assembly\tmp\JV3BJRZ7
C:\WINDOWS\assembly\tmp\KT07EKRY
C:\WINDOWS\assembly\tmp\KT08FMT0
C:\WINDOWS\assembly\tmp\KU2AJQZ7
C:\WINDOWS\assembly\tmp\LU18FLSZ
C:\WINDOWS\assembly\tmp\LU2AIQY6
C:\WINDOWS\assembly\tmp\MV29GNU1
C:\WINDOWS\assembly\tmp\MY6DMT19
C:\WINDOWS\assembly\tmp\MY6EMU19
C:\WINDOWS\assembly\tmp\P09GOW4C
C:\WINDOWS\assembly\tmp\PY5CKRY5
C:\WINDOWS\assembly\tmp\PZ6DKRY5
C:\WINDOWS\assembly\tmp\PZ7ELSZ6
C:\WINDOWS\assembly\tmp\Q08GOW3B
C:\WINDOWS\assembly\tmp\Q08GOW4C
C:\WINDOWS\assembly\tmp\R07ELSZ6
C:\WINDOWS\assembly\tmp\R29HPX5D
C:\WINDOWS\assembly\tmp\T29GNU07
C:\WINDOWS\assembly\tmp\U6EMU2AI
C:\WINDOWS\assembly\tmp\V3AHOU18
C:\WINDOWS\assembly\tmp\V3AIPW3A
C:\WINDOWS\assembly\tmp\V4BIPW29
C:\WINDOWS\assembly\tmp\V5DMT19H
C:\WINDOWS\assembly\tmp\V6EMU19H
C:\WINDOWS\assembly\tmp\W4BIPW3A
C:\WINDOWS\assembly\tmp\W6AIQY6E
C:\WINDOWS\assembly\tmp\W6EMU29I
C:\WINDOWS\assembly\tmp\W8GOW4CK
C:\WINDOWS\assembly\tmp\W8HPX5DL
C:\WINDOWS\assembly\tmp\X7ELSZ6D
C:\WINDOWS\assembly\tmp\X7FNV3BJ
C:\WINDOWS\assembly\tmp\Y7ELSZ5C
C:\WINDOWS\assembly\tmp\Y8FMT07E
C:\WINDOWS\assembly\tmp\Z8FLSZ6C
C:\WINDOWS\assembly\tmp\Z96DKRY5
C:\WINDOWS\assembly\tmp\ZAIQY6DL
C:\WINDOWS\assembly\tmp\ZAIQY6EL
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\iMesh
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Spybot - Search & Destroy
C:\Documents and Settings\Parents\Application Data\True Sword
C:\Documents and Settings\All Users\Application Data\iMesh
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
C:\Documents and Settings\All Users\Application Data\{145B6A8D-C3A8-4F62-BF1A-E616EBBDF2B2}
C:\Documents and Settings\Parents\Local Settings\Application Data\iMesh
C:\Program Files\iMesh Applications
C:\Program Files\Spybot - Search & Destroy
MBR::
clean::
Reboot::
___________________________________________________
colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
desinstalle adobe reader 9
desinstalle Java update 22
===========
Fais analyser le(s) fichier(s) suivants sur Virustotal :
Virus Total
clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :
C:\WINDOWS\system32\Drivers\12696669.sys
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.
================
Relance Pre_scan puis choisis l'option "Script"
une page vierge va s'ouvrir
selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::
Registry::
[HKU\S-1-5-21-680303840-3361347366-1884830023-1005\Software\Microsoft\Internet Explorer\Toolbar]
"Locked"=-
[HKU\S-1-5-21-680303840-3361347366-1884830023-501\Software\Microsoft\Internet Explorer\Toolbar]
"Locked"=-
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}]
[-HKCR\Applications\RYiGElV1ZFlQ3US.exe] | ->
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{0ABE0FED-50E7-4e42-A125-57C0A11DBCDE}]
[-HKCU\Software\BitDownload]
[-HKCU\Software\iMesh]
[-HKLM\Software\BrowserChoice]
[-HKLM\Software\iMesh]
file::
C:\WINDOWS\jestertb.dll
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\HOW TO DECRYPT FILES.txt
C:\Documents and Settings\Parents\Menu Démarrer\Programmes\Démarrage\HOW TO DECRYPT FILES.txt
C:\Documents and Settings\Parents\Menu Démarrer\Programmes\Démarrage\_uninst_12696669.lnk
C:\Documents and Settings\Parents\Application Data\HOW TO DECRYPT FILES.txt
C:\Documents and Settings\Parents\Local Settings\Application Data\HOW TO DECRYPT FILES.txt
folder::
C:\Program Files\iMesh Applications\iMesh
C:\DOCUME~1\Parents\LOCALS~1\Temp\0478190
C:\WINDOWS\assembly\tmp\08FMT07E
C:\WINDOWS\assembly\tmp\09GNU18F
C:\WINDOWS\assembly\tmp\0AHOU18E
C:\WINDOWS\assembly\tmp\0AHOW3AH
C:\WINDOWS\assembly\tmp\0CKS08GO
C:\WINDOWS\assembly\tmp\0V28FMT0
C:\WINDOWS\assembly\tmp\18FMT07E
C:\WINDOWS\assembly\tmp\1BIPW3AH
C:\WINDOWS\assembly\tmp\1DLT19HP
C:\WINDOWS\assembly\tmp\2FNV2AIQ
C:\WINDOWS\assembly\tmp\3CJQX4BI
C:\WINDOWS\assembly\tmp\3DLT19HP
C:\WINDOWS\assembly\tmp\4CJQX3AH
C:\WINDOWS\assembly\tmp\4ELRY5CI
C:\WINDOWS\assembly\tmp\5ELSZ6DK
C:\WINDOWS\assembly\tmp\5FMT073A
C:\WINDOWS\assembly\tmp\6ELSZ6DL
C:\WINDOWS\assembly\tmp\6FMT07EL
C:\WINDOWS\assembly\tmp\6GOW4CKS
C:\WINDOWS\assembly\tmp\6HNU1RY5
C:\WINDOWS\assembly\tmp\6HOV29GN
C:\WINDOWS\assembly\tmp\6HPX5CKS
C:\WINDOWS\assembly\tmp\7GNU17EL
C:\WINDOWS\assembly\tmp\8GNU07EL
C:\WINDOWS\assembly\tmp\9I18FMT0
C:\WINDOWS\assembly\tmp\9KS08GOW
C:\WINDOWS\assembly\tmp\AJQX4BIP
C:\WINDOWS\assembly\tmp\AKS08FNV
C:\WINDOWS\assembly\tmp\CLSZ6CJQ
C:\WINDOWS\assembly\tmp\CMU2AIQY
C:\WINDOWS\assembly\tmp\DMT06DKQ
C:\WINDOWS\assembly\tmp\EOW5CKS0
C:\WINDOWS\assembly\tmp\EPX5DLS0
C:\WINDOWS\assembly\tmp\EPX5DLT1
C:\WINDOWS\assembly\tmp\GOW3AHOV
C:\WINDOWS\assembly\tmp\GPW39GNU
C:\WINDOWS\assembly\tmp\GQY5CJQX
C:\WINDOWS\assembly\tmp\GQZ6EMU2
C:\WINDOWS\assembly\tmp\HRY5BIPW
C:\WINDOWS\assembly\tmp\IQX4BIPW
C:\WINDOWS\assembly\tmp\IS09GOW4
C:\WINDOWS\assembly\tmp\JTZ6DKQX
C:\WINDOWS\assembly\tmp\JV3BJRZ7
C:\WINDOWS\assembly\tmp\KT07EKRY
C:\WINDOWS\assembly\tmp\KT08FMT0
C:\WINDOWS\assembly\tmp\KU2AJQZ7
C:\WINDOWS\assembly\tmp\LU18FLSZ
C:\WINDOWS\assembly\tmp\LU2AIQY6
C:\WINDOWS\assembly\tmp\MV29GNU1
C:\WINDOWS\assembly\tmp\MY6DMT19
C:\WINDOWS\assembly\tmp\MY6EMU19
C:\WINDOWS\assembly\tmp\P09GOW4C
C:\WINDOWS\assembly\tmp\PY5CKRY5
C:\WINDOWS\assembly\tmp\PZ6DKRY5
C:\WINDOWS\assembly\tmp\PZ7ELSZ6
C:\WINDOWS\assembly\tmp\Q08GOW3B
C:\WINDOWS\assembly\tmp\Q08GOW4C
C:\WINDOWS\assembly\tmp\R07ELSZ6
C:\WINDOWS\assembly\tmp\R29HPX5D
C:\WINDOWS\assembly\tmp\T29GNU07
C:\WINDOWS\assembly\tmp\U6EMU2AI
C:\WINDOWS\assembly\tmp\V3AHOU18
C:\WINDOWS\assembly\tmp\V3AIPW3A
C:\WINDOWS\assembly\tmp\V4BIPW29
C:\WINDOWS\assembly\tmp\V5DMT19H
C:\WINDOWS\assembly\tmp\V6EMU19H
C:\WINDOWS\assembly\tmp\W4BIPW3A
C:\WINDOWS\assembly\tmp\W6AIQY6E
C:\WINDOWS\assembly\tmp\W6EMU29I
C:\WINDOWS\assembly\tmp\W8GOW4CK
C:\WINDOWS\assembly\tmp\W8HPX5DL
C:\WINDOWS\assembly\tmp\X7ELSZ6D
C:\WINDOWS\assembly\tmp\X7FNV3BJ
C:\WINDOWS\assembly\tmp\Y7ELSZ5C
C:\WINDOWS\assembly\tmp\Y8FMT07E
C:\WINDOWS\assembly\tmp\Z8FLSZ6C
C:\WINDOWS\assembly\tmp\Z96DKRY5
C:\WINDOWS\assembly\tmp\ZAIQY6DL
C:\WINDOWS\assembly\tmp\ZAIQY6EL
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\iMesh
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Spybot - Search & Destroy
C:\Documents and Settings\Parents\Application Data\True Sword
C:\Documents and Settings\All Users\Application Data\iMesh
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
C:\Documents and Settings\All Users\Application Data\{145B6A8D-C3A8-4F62-BF1A-E616EBBDF2B2}
C:\Documents and Settings\Parents\Local Settings\Application Data\iMesh
C:\Program Files\iMesh Applications
C:\Program Files\Spybot - Search & Destroy
MBR::
clean::
Reboot::
___________________________________________________
colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
Alors, voilà le lien de virustotal:
https://www.virustotal.com/gui/file/a8c1577876cf16186610f26d7d859f8fda4057aafc33e8212339f56da6a5f874
et voilà pre_script:
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.413 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Parents : Microsoft Windows XP (32 bits)
Switchs : https://gen-hackman.kanak.fr/
Script : 17:25:08
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Modification du registre effectuée
¤
Supprimé : C:\WINDOWS\jestertb.dll
¤
Supprimé : C:\Program Files\iMesh Applications\iMesh
Supprimé : C:\DOCUME~1\Parents\LOCALS~1\Temp\0478190
Supprimé : C:\WINDOWS\assembly\tmp\08FMT07E
Supprimé : C:\WINDOWS\assembly\tmp\09GNU18F
Supprimé : C:\WINDOWS\assembly\tmp\0AHOU18E
Supprimé : C:\WINDOWS\assembly\tmp\0AHOW3AH
Supprimé : C:\WINDOWS\assembly\tmp\0CKS08GO
Supprimé : C:\WINDOWS\assembly\tmp\0V28FMT0
Supprimé : C:\WINDOWS\assembly\tmp\18FMT07E
Supprimé : C:\WINDOWS\assembly\tmp\1BIPW3AH
Supprimé : C:\WINDOWS\assembly\tmp\1DLT19HP
Supprimé : C:\WINDOWS\assembly\tmp\2FNV2AIQ
Supprimé : C:\WINDOWS\assembly\tmp\3CJQX4BI
Supprimé : C:\WINDOWS\assembly\tmp\3DLT19HP
Supprimé : C:\WINDOWS\assembly\tmp\4CJQX3AH
Supprimé : C:\WINDOWS\assembly\tmp\4ELRY5CI
Supprimé : C:\WINDOWS\assembly\tmp\5ELSZ6DK
Supprimé : C:\WINDOWS\assembly\tmp\5FMT073A
Supprimé : C:\WINDOWS\assembly\tmp\6ELSZ6DL
Supprimé : C:\WINDOWS\assembly\tmp\6FMT07EL
Supprimé : C:\WINDOWS\assembly\tmp\6GOW4CKS
Supprimé : C:\WINDOWS\assembly\tmp\6HNU1RY5
Supprimé : C:\WINDOWS\assembly\tmp\6HOV29GN
Supprimé : C:\WINDOWS\assembly\tmp\6HPX5CKS
Supprimé : C:\WINDOWS\assembly\tmp\7GNU17EL
Supprimé : C:\WINDOWS\assembly\tmp\8GNU07EL
Supprimé : C:\WINDOWS\assembly\tmp\9I18FMT0
Supprimé : C:\WINDOWS\assembly\tmp\9KS08GOW
Supprimé : C:\WINDOWS\assembly\tmp\AJQX4BIP
Supprimé : C:\WINDOWS\assembly\tmp\AKS08FNV
Supprimé : C:\WINDOWS\assembly\tmp\CLSZ6CJQ
Supprimé : C:\WINDOWS\assembly\tmp\CMU2AIQY
Supprimé : C:\WINDOWS\assembly\tmp\DMT06DKQ
Supprimé : C:\WINDOWS\assembly\tmp\EOW5CKS0
Supprimé : C:\WINDOWS\assembly\tmp\EPX5DLS0
Supprimé : C:\WINDOWS\assembly\tmp\EPX5DLT1
Supprimé : C:\WINDOWS\assembly\tmp\GOW3AHOV
Supprimé : C:\WINDOWS\assembly\tmp\GPW39GNU
Supprimé : C:\WINDOWS\assembly\tmp\GQY5CJQX
Supprimé : C:\WINDOWS\assembly\tmp\GQZ6EMU2
Supprimé : C:\WINDOWS\assembly\tmp\HRY5BIPW
Supprimé : C:\WINDOWS\assembly\tmp\IQX4BIPW
Supprimé : C:\WINDOWS\assembly\tmp\IS09GOW4
Supprimé : C:\WINDOWS\assembly\tmp\JTZ6DKQX
Supprimé : C:\WINDOWS\assembly\tmp\JV3BJRZ7
Supprimé : C:\WINDOWS\assembly\tmp\KT07EKRY
Supprimé : C:\WINDOWS\assembly\tmp\KT08FMT0
Supprimé : C:\WINDOWS\assembly\tmp\KU2AJQZ7
Supprimé : C:\WINDOWS\assembly\tmp\LU18FLSZ
Supprimé : C:\WINDOWS\assembly\tmp\LU2AIQY6
Supprimé : C:\WINDOWS\assembly\tmp\MV29GNU1
Supprimé : C:\WINDOWS\assembly\tmp\MY6DMT19
Supprimé : C:\WINDOWS\assembly\tmp\MY6EMU19
Supprimé : C:\WINDOWS\assembly\tmp\P09GOW4C
Supprimé : C:\WINDOWS\assembly\tmp\PY5CKRY5
Supprimé : C:\WINDOWS\assembly\tmp\PZ6DKRY5
Supprimé : C:\WINDOWS\assembly\tmp\PZ7ELSZ6
Supprimé : C:\WINDOWS\assembly\tmp\Q08GOW3B
Supprimé : C:\WINDOWS\assembly\tmp\Q08GOW4C
Supprimé : C:\WINDOWS\assembly\tmp\R07ELSZ6
Supprimé : C:\WINDOWS\assembly\tmp\R29HPX5D
Supprimé : C:\WINDOWS\assembly\tmp\T29GNU07
Supprimé : C:\WINDOWS\assembly\tmp\U6EMU2AI
Supprimé : C:\WINDOWS\assembly\tmp\V3AHOU18
Supprimé : C:\WINDOWS\assembly\tmp\V3AIPW3A
Supprimé : C:\WINDOWS\assembly\tmp\V4BIPW29
Supprimé : C:\WINDOWS\assembly\tmp\V5DMT19H
Supprimé : C:\WINDOWS\assembly\tmp\V6EMU19H
Supprimé : C:\WINDOWS\assembly\tmp\W4BIPW3A
Supprimé : C:\WINDOWS\assembly\tmp\W6AIQY6E
Supprimé : C:\WINDOWS\assembly\tmp\W6EMU29I
Supprimé : C:\WINDOWS\assembly\tmp\W8GOW4CK
Supprimé : C:\WINDOWS\assembly\tmp\W8HPX5DL
Supprimé : C:\WINDOWS\assembly\tmp\X7ELSZ6D
Supprimé : C:\WINDOWS\assembly\tmp\X7FNV3BJ
Supprimé : C:\WINDOWS\assembly\tmp\Y7ELSZ5C
Supprimé : C:\WINDOWS\assembly\tmp\Y8FMT07E
Supprimé : C:\WINDOWS\assembly\tmp\Z8FLSZ6C
Supprimé : C:\WINDOWS\assembly\tmp\Z96DKRY5
Supprimé : C:\WINDOWS\assembly\tmp\ZAIQY6DL
Supprimé : C:\WINDOWS\assembly\tmp\ZAIQY6EL
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\iMesh
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Spybot - Search & Destroy
Supprimé : C:\Documents and Settings\Parents\Application Data\True Sword
Supprimé : C:\Documents and Settings\All Users\Application Data\iMesh
Supprimé : C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
Supprimé : C:\Documents and Settings\All Users\Application Data\{145B6A8D-C3A8-4F62-BF1A-E616EBBDF2B2}
Supprimé : C:\Documents and Settings\Parents\Local Settings\Application Data\iMesh
Supprimé : C:\Program Files\iMesh Applications
Absent : C:\Program Files\Spybot - Search & Destroy
¤
¤¤¤¤¤¤¤¤¤¤ | MBR
-d file Dump the MBR of the selected drive to 'file'.
-D Dump the MBR of all fixed drives.
-f ## Fix the MBR of the selected drive with code ##.
Valid codes are:
0 - Default (current Windows version)
1 - Windows XP
2 - Windows Server 2003
3 - Windows Vista
4 - Windows Server 2008
5 - Windows 7
¤
¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque
Nettoyage du disque effectué
¤
Fin : 17:28:11
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
Alors, c'est tout propre? Quelles sont les chances de récupérer mes fichiers? Que pensez-vous de drweb?
En tout cas, merci beaucoup de suivre mes pérégrinations informatiques...
https://www.virustotal.com/gui/file/a8c1577876cf16186610f26d7d859f8fda4057aafc33e8212339f56da6a5f874
et voilà pre_script:
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.413 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Parents : Microsoft Windows XP (32 bits)
Switchs : https://gen-hackman.kanak.fr/
Script : 17:25:08
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Modification du registre effectuée
¤
Supprimé : C:\WINDOWS\jestertb.dll
¤
Supprimé : C:\Program Files\iMesh Applications\iMesh
Supprimé : C:\DOCUME~1\Parents\LOCALS~1\Temp\0478190
Supprimé : C:\WINDOWS\assembly\tmp\08FMT07E
Supprimé : C:\WINDOWS\assembly\tmp\09GNU18F
Supprimé : C:\WINDOWS\assembly\tmp\0AHOU18E
Supprimé : C:\WINDOWS\assembly\tmp\0AHOW3AH
Supprimé : C:\WINDOWS\assembly\tmp\0CKS08GO
Supprimé : C:\WINDOWS\assembly\tmp\0V28FMT0
Supprimé : C:\WINDOWS\assembly\tmp\18FMT07E
Supprimé : C:\WINDOWS\assembly\tmp\1BIPW3AH
Supprimé : C:\WINDOWS\assembly\tmp\1DLT19HP
Supprimé : C:\WINDOWS\assembly\tmp\2FNV2AIQ
Supprimé : C:\WINDOWS\assembly\tmp\3CJQX4BI
Supprimé : C:\WINDOWS\assembly\tmp\3DLT19HP
Supprimé : C:\WINDOWS\assembly\tmp\4CJQX3AH
Supprimé : C:\WINDOWS\assembly\tmp\4ELRY5CI
Supprimé : C:\WINDOWS\assembly\tmp\5ELSZ6DK
Supprimé : C:\WINDOWS\assembly\tmp\5FMT073A
Supprimé : C:\WINDOWS\assembly\tmp\6ELSZ6DL
Supprimé : C:\WINDOWS\assembly\tmp\6FMT07EL
Supprimé : C:\WINDOWS\assembly\tmp\6GOW4CKS
Supprimé : C:\WINDOWS\assembly\tmp\6HNU1RY5
Supprimé : C:\WINDOWS\assembly\tmp\6HOV29GN
Supprimé : C:\WINDOWS\assembly\tmp\6HPX5CKS
Supprimé : C:\WINDOWS\assembly\tmp\7GNU17EL
Supprimé : C:\WINDOWS\assembly\tmp\8GNU07EL
Supprimé : C:\WINDOWS\assembly\tmp\9I18FMT0
Supprimé : C:\WINDOWS\assembly\tmp\9KS08GOW
Supprimé : C:\WINDOWS\assembly\tmp\AJQX4BIP
Supprimé : C:\WINDOWS\assembly\tmp\AKS08FNV
Supprimé : C:\WINDOWS\assembly\tmp\CLSZ6CJQ
Supprimé : C:\WINDOWS\assembly\tmp\CMU2AIQY
Supprimé : C:\WINDOWS\assembly\tmp\DMT06DKQ
Supprimé : C:\WINDOWS\assembly\tmp\EOW5CKS0
Supprimé : C:\WINDOWS\assembly\tmp\EPX5DLS0
Supprimé : C:\WINDOWS\assembly\tmp\EPX5DLT1
Supprimé : C:\WINDOWS\assembly\tmp\GOW3AHOV
Supprimé : C:\WINDOWS\assembly\tmp\GPW39GNU
Supprimé : C:\WINDOWS\assembly\tmp\GQY5CJQX
Supprimé : C:\WINDOWS\assembly\tmp\GQZ6EMU2
Supprimé : C:\WINDOWS\assembly\tmp\HRY5BIPW
Supprimé : C:\WINDOWS\assembly\tmp\IQX4BIPW
Supprimé : C:\WINDOWS\assembly\tmp\IS09GOW4
Supprimé : C:\WINDOWS\assembly\tmp\JTZ6DKQX
Supprimé : C:\WINDOWS\assembly\tmp\JV3BJRZ7
Supprimé : C:\WINDOWS\assembly\tmp\KT07EKRY
Supprimé : C:\WINDOWS\assembly\tmp\KT08FMT0
Supprimé : C:\WINDOWS\assembly\tmp\KU2AJQZ7
Supprimé : C:\WINDOWS\assembly\tmp\LU18FLSZ
Supprimé : C:\WINDOWS\assembly\tmp\LU2AIQY6
Supprimé : C:\WINDOWS\assembly\tmp\MV29GNU1
Supprimé : C:\WINDOWS\assembly\tmp\MY6DMT19
Supprimé : C:\WINDOWS\assembly\tmp\MY6EMU19
Supprimé : C:\WINDOWS\assembly\tmp\P09GOW4C
Supprimé : C:\WINDOWS\assembly\tmp\PY5CKRY5
Supprimé : C:\WINDOWS\assembly\tmp\PZ6DKRY5
Supprimé : C:\WINDOWS\assembly\tmp\PZ7ELSZ6
Supprimé : C:\WINDOWS\assembly\tmp\Q08GOW3B
Supprimé : C:\WINDOWS\assembly\tmp\Q08GOW4C
Supprimé : C:\WINDOWS\assembly\tmp\R07ELSZ6
Supprimé : C:\WINDOWS\assembly\tmp\R29HPX5D
Supprimé : C:\WINDOWS\assembly\tmp\T29GNU07
Supprimé : C:\WINDOWS\assembly\tmp\U6EMU2AI
Supprimé : C:\WINDOWS\assembly\tmp\V3AHOU18
Supprimé : C:\WINDOWS\assembly\tmp\V3AIPW3A
Supprimé : C:\WINDOWS\assembly\tmp\V4BIPW29
Supprimé : C:\WINDOWS\assembly\tmp\V5DMT19H
Supprimé : C:\WINDOWS\assembly\tmp\V6EMU19H
Supprimé : C:\WINDOWS\assembly\tmp\W4BIPW3A
Supprimé : C:\WINDOWS\assembly\tmp\W6AIQY6E
Supprimé : C:\WINDOWS\assembly\tmp\W6EMU29I
Supprimé : C:\WINDOWS\assembly\tmp\W8GOW4CK
Supprimé : C:\WINDOWS\assembly\tmp\W8HPX5DL
Supprimé : C:\WINDOWS\assembly\tmp\X7ELSZ6D
Supprimé : C:\WINDOWS\assembly\tmp\X7FNV3BJ
Supprimé : C:\WINDOWS\assembly\tmp\Y7ELSZ5C
Supprimé : C:\WINDOWS\assembly\tmp\Y8FMT07E
Supprimé : C:\WINDOWS\assembly\tmp\Z8FLSZ6C
Supprimé : C:\WINDOWS\assembly\tmp\Z96DKRY5
Supprimé : C:\WINDOWS\assembly\tmp\ZAIQY6DL
Supprimé : C:\WINDOWS\assembly\tmp\ZAIQY6EL
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\iMesh
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Spybot - Search & Destroy
Supprimé : C:\Documents and Settings\Parents\Application Data\True Sword
Supprimé : C:\Documents and Settings\All Users\Application Data\iMesh
Supprimé : C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
Supprimé : C:\Documents and Settings\All Users\Application Data\{145B6A8D-C3A8-4F62-BF1A-E616EBBDF2B2}
Supprimé : C:\Documents and Settings\Parents\Local Settings\Application Data\iMesh
Supprimé : C:\Program Files\iMesh Applications
Absent : C:\Program Files\Spybot - Search & Destroy
¤
¤¤¤¤¤¤¤¤¤¤ | MBR
-d file Dump the MBR of the selected drive to 'file'.
-D Dump the MBR of all fixed drives.
-f ## Fix the MBR of the selected drive with code ##.
Valid codes are:
0 - Default (current Windows version)
1 - Windows XP
2 - Windows Server 2003
3 - Windows Vista
4 - Windows Server 2008
5 - Windows 7
¤
¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque
Nettoyage du disque effectué
¤
Fin : 17:28:11
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
Alors, c'est tout propre? Quelles sont les chances de récupérer mes fichiers? Que pensez-vous de drweb?
En tout cas, merci beaucoup de suivre mes pérégrinations informatiques...
refais-en un avec ca :
File::
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\HOW TO DECRYPT FILES.txt
C:\Documents and Settings\Parents\Menu Démarrer\Programmes\Démarrage\HOW TO DECRYPT FILES.txt
C:\Documents and Settings\Parents\Menu Démarrer\Programmes\Démarrage\_uninst_12696669.lnk
C:\Documents and Settings\Parents\Application Data\HOW TO DECRYPT FILES.txt
C:\Documents and Settings\Parents\Local Settings\Application Data\HOW TO DECRYPT FILES.txt
File::
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\HOW TO DECRYPT FILES.txt
C:\Documents and Settings\Parents\Menu Démarrer\Programmes\Démarrage\HOW TO DECRYPT FILES.txt
C:\Documents and Settings\Parents\Menu Démarrer\Programmes\Démarrage\_uninst_12696669.lnk
C:\Documents and Settings\Parents\Application Data\HOW TO DECRYPT FILES.txt
C:\Documents and Settings\Parents\Local Settings\Application Data\HOW TO DECRYPT FILES.txt
Salut,
Faudrait faire ça.
Envoyer les fichiers suivants sur http://upload.malekal.com
C:\Pre_Scan\Quarantine\RYiGElV1ZFlQ3US.exe
C:\Pre_Scan\Quarantine\9242693.exe
C:\Pre_Scan\Quarantine\kldw.exe
C:\Pre_Scan\Quarantine\~!#16C.tmp
C:\Pre_Scan\Quarantine\~!#1B8.tmp
surtout le C:\Pre_Scan\Quarantine\RYiGElV1ZFlQ3US.exe
Faudrait faire ça.
Envoyer les fichiers suivants sur http://upload.malekal.com
C:\Pre_Scan\Quarantine\RYiGElV1ZFlQ3US.exe
C:\Pre_Scan\Quarantine\9242693.exe
C:\Pre_Scan\Quarantine\kldw.exe
C:\Pre_Scan\Quarantine\~!#16C.tmp
C:\Pre_Scan\Quarantine\~!#1B8.tmp
surtout le C:\Pre_Scan\Quarantine\RYiGElV1ZFlQ3US.exe
sinon tu relances , puis tu cliques sur script , puis tu colles ca dans la page qui s'ouvre et tu enregistres (enregistrer tout court , pas enregister sous..) :
Zip::
C:\Pre_Scan\Quarantine\RYiGElV1ZFlQ3US.exe.P_S
C:\Pre_Scan\Quarantine\9242693.exe.P_S
C:\Pre_Scan\Quarantine\kldw.exe.P_S
C:\Pre_Scan\Quarantine\~!#16C.tmp.P_S
C:\Pre_Scan\Quarantine\~!#1B8.tmp.P_S
et tu devrais avoir une archive dans c:\ à ton nom contenant les-dits fichiers
Zip::
C:\Pre_Scan\Quarantine\RYiGElV1ZFlQ3US.exe.P_S
C:\Pre_Scan\Quarantine\9242693.exe.P_S
C:\Pre_Scan\Quarantine\kldw.exe.P_S
C:\Pre_Scan\Quarantine\~!#16C.tmp.P_S
C:\Pre_Scan\Quarantine\~!#1B8.tmp.P_S
et tu devrais avoir une archive dans c:\ à ton nom contenant les-dits fichiers
ok, j'ai édité ce billet : https://www.malekal.com/trojanw32ransomcrypt-trojan-encoder-prise-en-otage-des-documents/
C'est possible de rétablir les fichiers.
Option -k 91 avec Dr.Web
il y a aussi un tool de Kaspersky.
Voir le dernier EDIT pour toi, il y a deux variantes, voir selon le message HOW TO DECRYPT.txt
~~
Eventuellement fais Prescan avant pour virer les extensions ou un scan Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
C'est possible de rétablir les fichiers.
Option -k 91 avec Dr.Web
il y a aussi un tool de Kaspersky.
Voir le dernier EDIT pour toi, il y a deux variantes, voir selon le message HOW TO DECRYPT.txt
~~
Eventuellement fais Prescan avant pour virer les extensions ou un scan Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Pour info, un des deux autres fichiers mets ce malware :
O23 - Service: Host Generic Process for Win32 Services (Host Generic Process) - Unknown owner - C:\WINDOWS\system32\drivers\svchost.exe
C:\Windows\system32\svchost.exe => OK.
C:\WINDOWS\system32\drivers\svchost.exe => Malicieux.
O23 - Service: Host Generic Process for Win32 Services (Host Generic Process) - Unknown owner - C:\WINDOWS\system32\drivers\svchost.exe
C:\Windows\system32\svchost.exe => OK.
C:\WINDOWS\system32\drivers\svchost.exe => Malicieux.
Bonsoir g3n-h@ckm@n et Malekal_morte!
Vraiment, je ne sais pas comment vous remercier: j'ai pu récupérer tous mes fichiers. Maintenant, j'ai du nettoyage à faire...Car tous les fichiers cryptés sont toujours là et les fichiers txt How to decrypt files aussi...
Comment se fait-il qu'avec Avast plus Spybot j'ai pu attrapper ce virus? J'avoue que je ne suis pas une pro mais en 15 ans d'internet, c'est la première fois que cela m'arrive: qu'a-t-il pu se passer?
Auriez-vous des conseils pour que cela ne se reproduise pas?
Merci encore
Bfbaudo
Vraiment, je ne sais pas comment vous remercier: j'ai pu récupérer tous mes fichiers. Maintenant, j'ai du nettoyage à faire...Car tous les fichiers cryptés sont toujours là et les fichiers txt How to decrypt files aussi...
Comment se fait-il qu'avec Avast plus Spybot j'ai pu attrapper ce virus? J'avoue que je ne suis pas une pro mais en 15 ans d'internet, c'est la première fois que cela m'arrive: qu'a-t-il pu se passer?
Auriez-vous des conseils pour que cela ne se reproduise pas?
Merci encore
Bfbaudo
Parce que spybot il sert à décorer (et encore ça fait vieillot maintenant ! lol)
voir chez malekal : https://www.malekal.com/superantispyware-et-spybot-vs-malwarebyte/
voir chez malekal : https://www.malekal.com/superantispyware-et-spybot-vs-malwarebyte/
- 1
- 2
Suivant
