Comment décrypter des fichiers?
bfbaudo
Messages postés
14
Statut
Membre
-
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
J'ai été infectée hier par un trojan qui crypte les fichiers. Je m'en suis rendue compte parceque mon ordinateur "ramait" et j'ai vu les icônes changer: j'ai arrêté le processus mais j'ai quand même une bonne partie de mes fichiers cryptés...
Quand on ouvre ses derniers, il est écrit:
All your files are encrypted!
To decrypt them you need to
send a voucher code or Paysafecard Ukash at email: tenagliamirella@gmail.com
In return you get a code to decrypt files.
You can find more information here https://www.paysafecard.com/en-gb/lp-products/ukash-welcome/
or https://www.paysafecard.com/fr-fr/
PLEASE READ CAREFULLY!
To avoid problems, TURN OFF YOUR ANTI-VIRUS!
AKA restore your files WILL NOT!
================================================================================
Todos os seus arquivos sao criptografados!
Para decifra-los voce precisa
enviar um codigo de voucher Ukash Paysafecard ou no e-mail: tenagliamirella@gmail.com
Em troca, voce recebera um codigo para decifrar arquivos.
Voce pode encontrar mais informacao aqui https://www.paysafecard.com/en-gb/lp-products/ukash-welcome/
ou https://www.paysafecard.com/fr-fr/
LEIA COM ATENCAO!
Para evitar problemas, DESLIGUE seu anti-virus!
AKA restaurar seus arquivos nao serao!
Dans les propriétés de fichiers, il y a écrit s'ouvre avec: Matura contai scarso rasa
J'ai fait tourner Spybot qui n'a rien trouvé, CCleaner qui a nettoyé plein de choses et surtout avast qui a trouvé:
win32:downloader-NRY
win32kryptik-IJJ
J'ai mis les deux en quarantaine. Mais mintenant comment puis-je ouvrir les fichiers cryptés?
Merci d'avance pour votre aide: je ne trouve rien sur la toile à ce sujet.
Bfbaudo
J'ai été infectée hier par un trojan qui crypte les fichiers. Je m'en suis rendue compte parceque mon ordinateur "ramait" et j'ai vu les icônes changer: j'ai arrêté le processus mais j'ai quand même une bonne partie de mes fichiers cryptés...
Quand on ouvre ses derniers, il est écrit:
All your files are encrypted!
To decrypt them you need to
send a voucher code or Paysafecard Ukash at email: tenagliamirella@gmail.com
In return you get a code to decrypt files.
You can find more information here https://www.paysafecard.com/en-gb/lp-products/ukash-welcome/
or https://www.paysafecard.com/fr-fr/
PLEASE READ CAREFULLY!
To avoid problems, TURN OFF YOUR ANTI-VIRUS!
AKA restore your files WILL NOT!
================================================================================
Todos os seus arquivos sao criptografados!
Para decifra-los voce precisa
enviar um codigo de voucher Ukash Paysafecard ou no e-mail: tenagliamirella@gmail.com
Em troca, voce recebera um codigo para decifrar arquivos.
Voce pode encontrar mais informacao aqui https://www.paysafecard.com/en-gb/lp-products/ukash-welcome/
ou https://www.paysafecard.com/fr-fr/
LEIA COM ATENCAO!
Para evitar problemas, DESLIGUE seu anti-virus!
AKA restaurar seus arquivos nao serao!
Dans les propriétés de fichiers, il y a écrit s'ouvre avec: Matura contai scarso rasa
J'ai fait tourner Spybot qui n'a rien trouvé, CCleaner qui a nettoyé plein de choses et surtout avast qui a trouvé:
win32:downloader-NRY
win32kryptik-IJJ
J'ai mis les deux en quarantaine. Mais mintenant comment puis-je ouvrir les fichiers cryptés?
Merci d'avance pour votre aide: je ne trouve rien sur la toile à ce sujet.
Bfbaudo
A voir également:
- Comment décrypter des fichiers?
- Renommer des fichiers en masse - Guide
- Dvd decrypter - Télécharger - Copie & Extraction
- Comment réduire la taille d'un fichier - Guide
- Comment ouvrir un fichier epub ? - Guide
- Comment ouvrir un fichier bin ? - Guide
28 réponses
salut desinstalle spybot
pour tes fichiers cryptés on cherche une solution pour l instant rien n'est officiel , ne jette rien
==================
telecharge et enregistre Pre_Scan sur ton bureau :
http://forums-fec.be/gen-hackman/Pre_Scan.exe
Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
http://forums-fec.be/gen-hackman/Pre_Scan.pif
ou cette version renommée winlogon.exe :
http://forums-fec.be/gen-hackman/winlogon.exe
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
pour tes fichiers cryptés on cherche une solution pour l instant rien n'est officiel , ne jette rien
==================
telecharge et enregistre Pre_Scan sur ton bureau :
http://forums-fec.be/gen-hackman/Pre_Scan.exe
Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
http://forums-fec.be/gen-hackman/Pre_Scan.pif
ou cette version renommée winlogon.exe :
http://forums-fec.be/gen-hackman/winlogon.exe
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
Merci pour cette réponse rapide: je me mets boulot et ne touche pas à mes fichiers cryptés.
A toute à l'heure!
A toute à l'heure!
Hé, pre_scan, cest un rogue non?...
https://www.commentcamarche.net/faq/13265-pc-infecte-par-des-rogues
https://www.commentcamarche.net/faq/13265-pc-infecte-par-des-rogues
fais attention à ce que tu lis avant de dire des aneries
Que faire si votre pc est infecté par un ou plusieurs rogues ??
Définition d'un rogue
1. RogueKiller
2. Pre_Scan
3. MalwareBytes Anti-Malware
4. Combofix
Après nettoyage
Que faire si votre pc est infecté par un ou plusieurs rogues ??
Définition d'un rogue
1. RogueKiller
2. Pre_Scan
3. MalwareBytes Anti-Malware
4. Combofix
Après nettoyage
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Voilà le rapport:
https://pjjoint.malekal.com/files.php?id=20120416_w12d6t10k14m12
Merci d'avance pour votre aide.
https://pjjoint.malekal.com/files.php?id=20120416_w12d6t10k14m12
Merci d'avance pour votre aide.
J'ai eu un petit souci au milieu du test avec un écran affichant:
Windows pas de disque
Exception processing message C0000013 parameters 75afbf7c 4 75afbf7c
J'avoue que je n'y comprends rien...
merci
Windows pas de disque
Exception processing message C0000013 parameters 75afbf7c 4 75afbf7c
J'avoue que je n'y comprends rien...
merci
desinstalle spybot il sert à rien
desinstalle adobe reader 9
desinstalle Java update 22
===========
Fais analyser le(s) fichier(s) suivants sur Virustotal :
Virus Total
clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :
C:\WINDOWS\system32\Drivers\12696669.sys
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.
================
Relance Pre_scan puis choisis l'option "Script"
une page vierge va s'ouvrir
selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::
Registry::
[HKU\S-1-5-21-680303840-3361347366-1884830023-1005\Software\Microsoft\Internet Explorer\Toolbar]
"Locked"=-
[HKU\S-1-5-21-680303840-3361347366-1884830023-501\Software\Microsoft\Internet Explorer\Toolbar]
"Locked"=-
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}]
[-HKCR\Applications\RYiGElV1ZFlQ3US.exe] | ->
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{0ABE0FED-50E7-4e42-A125-57C0A11DBCDE}]
[-HKCU\Software\BitDownload]
[-HKCU\Software\iMesh]
[-HKLM\Software\BrowserChoice]
[-HKLM\Software\iMesh]
file::
C:\WINDOWS\jestertb.dll
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\HOW TO DECRYPT FILES.txt
C:\Documents and Settings\Parents\Menu Démarrer\Programmes\Démarrage\HOW TO DECRYPT FILES.txt
C:\Documents and Settings\Parents\Menu Démarrer\Programmes\Démarrage\_uninst_12696669.lnk
C:\Documents and Settings\Parents\Application Data\HOW TO DECRYPT FILES.txt
C:\Documents and Settings\Parents\Local Settings\Application Data\HOW TO DECRYPT FILES.txt
folder::
C:\Program Files\iMesh Applications\iMesh
C:\DOCUME~1\Parents\LOCALS~1\Temp\0478190
C:\WINDOWS\assembly\tmp\08FMT07E
C:\WINDOWS\assembly\tmp\09GNU18F
C:\WINDOWS\assembly\tmp\0AHOU18E
C:\WINDOWS\assembly\tmp\0AHOW3AH
C:\WINDOWS\assembly\tmp\0CKS08GO
C:\WINDOWS\assembly\tmp\0V28FMT0
C:\WINDOWS\assembly\tmp\18FMT07E
C:\WINDOWS\assembly\tmp\1BIPW3AH
C:\WINDOWS\assembly\tmp\1DLT19HP
C:\WINDOWS\assembly\tmp\2FNV2AIQ
C:\WINDOWS\assembly\tmp\3CJQX4BI
C:\WINDOWS\assembly\tmp\3DLT19HP
C:\WINDOWS\assembly\tmp\4CJQX3AH
C:\WINDOWS\assembly\tmp\4ELRY5CI
C:\WINDOWS\assembly\tmp\5ELSZ6DK
C:\WINDOWS\assembly\tmp\5FMT073A
C:\WINDOWS\assembly\tmp\6ELSZ6DL
C:\WINDOWS\assembly\tmp\6FMT07EL
C:\WINDOWS\assembly\tmp\6GOW4CKS
C:\WINDOWS\assembly\tmp\6HNU1RY5
C:\WINDOWS\assembly\tmp\6HOV29GN
C:\WINDOWS\assembly\tmp\6HPX5CKS
C:\WINDOWS\assembly\tmp\7GNU17EL
C:\WINDOWS\assembly\tmp\8GNU07EL
C:\WINDOWS\assembly\tmp\9I18FMT0
C:\WINDOWS\assembly\tmp\9KS08GOW
C:\WINDOWS\assembly\tmp\AJQX4BIP
C:\WINDOWS\assembly\tmp\AKS08FNV
C:\WINDOWS\assembly\tmp\CLSZ6CJQ
C:\WINDOWS\assembly\tmp\CMU2AIQY
C:\WINDOWS\assembly\tmp\DMT06DKQ
C:\WINDOWS\assembly\tmp\EOW5CKS0
C:\WINDOWS\assembly\tmp\EPX5DLS0
C:\WINDOWS\assembly\tmp\EPX5DLT1
C:\WINDOWS\assembly\tmp\GOW3AHOV
C:\WINDOWS\assembly\tmp\GPW39GNU
C:\WINDOWS\assembly\tmp\GQY5CJQX
C:\WINDOWS\assembly\tmp\GQZ6EMU2
C:\WINDOWS\assembly\tmp\HRY5BIPW
C:\WINDOWS\assembly\tmp\IQX4BIPW
C:\WINDOWS\assembly\tmp\IS09GOW4
C:\WINDOWS\assembly\tmp\JTZ6DKQX
C:\WINDOWS\assembly\tmp\JV3BJRZ7
C:\WINDOWS\assembly\tmp\KT07EKRY
C:\WINDOWS\assembly\tmp\KT08FMT0
C:\WINDOWS\assembly\tmp\KU2AJQZ7
C:\WINDOWS\assembly\tmp\LU18FLSZ
C:\WINDOWS\assembly\tmp\LU2AIQY6
C:\WINDOWS\assembly\tmp\MV29GNU1
C:\WINDOWS\assembly\tmp\MY6DMT19
C:\WINDOWS\assembly\tmp\MY6EMU19
C:\WINDOWS\assembly\tmp\P09GOW4C
C:\WINDOWS\assembly\tmp\PY5CKRY5
C:\WINDOWS\assembly\tmp\PZ6DKRY5
C:\WINDOWS\assembly\tmp\PZ7ELSZ6
C:\WINDOWS\assembly\tmp\Q08GOW3B
C:\WINDOWS\assembly\tmp\Q08GOW4C
C:\WINDOWS\assembly\tmp\R07ELSZ6
C:\WINDOWS\assembly\tmp\R29HPX5D
C:\WINDOWS\assembly\tmp\T29GNU07
C:\WINDOWS\assembly\tmp\U6EMU2AI
C:\WINDOWS\assembly\tmp\V3AHOU18
C:\WINDOWS\assembly\tmp\V3AIPW3A
C:\WINDOWS\assembly\tmp\V4BIPW29
C:\WINDOWS\assembly\tmp\V5DMT19H
C:\WINDOWS\assembly\tmp\V6EMU19H
C:\WINDOWS\assembly\tmp\W4BIPW3A
C:\WINDOWS\assembly\tmp\W6AIQY6E
C:\WINDOWS\assembly\tmp\W6EMU29I
C:\WINDOWS\assembly\tmp\W8GOW4CK
C:\WINDOWS\assembly\tmp\W8HPX5DL
C:\WINDOWS\assembly\tmp\X7ELSZ6D
C:\WINDOWS\assembly\tmp\X7FNV3BJ
C:\WINDOWS\assembly\tmp\Y7ELSZ5C
C:\WINDOWS\assembly\tmp\Y8FMT07E
C:\WINDOWS\assembly\tmp\Z8FLSZ6C
C:\WINDOWS\assembly\tmp\Z96DKRY5
C:\WINDOWS\assembly\tmp\ZAIQY6DL
C:\WINDOWS\assembly\tmp\ZAIQY6EL
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\iMesh
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Spybot - Search & Destroy
C:\Documents and Settings\Parents\Application Data\True Sword
C:\Documents and Settings\All Users\Application Data\iMesh
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
C:\Documents and Settings\All Users\Application Data\{145B6A8D-C3A8-4F62-BF1A-E616EBBDF2B2}
C:\Documents and Settings\Parents\Local Settings\Application Data\iMesh
C:\Program Files\iMesh Applications
C:\Program Files\Spybot - Search & Destroy
MBR::
clean::
Reboot::
___________________________________________________
colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
desinstalle adobe reader 9
desinstalle Java update 22
===========
Fais analyser le(s) fichier(s) suivants sur Virustotal :
Virus Total
clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :
C:\WINDOWS\system32\Drivers\12696669.sys
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.
================
Relance Pre_scan puis choisis l'option "Script"
une page vierge va s'ouvrir
selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::
Registry::
[HKU\S-1-5-21-680303840-3361347366-1884830023-1005\Software\Microsoft\Internet Explorer\Toolbar]
"Locked"=-
[HKU\S-1-5-21-680303840-3361347366-1884830023-501\Software\Microsoft\Internet Explorer\Toolbar]
"Locked"=-
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}]
[-HKCR\Applications\RYiGElV1ZFlQ3US.exe] | ->
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{0ABE0FED-50E7-4e42-A125-57C0A11DBCDE}]
[-HKCU\Software\BitDownload]
[-HKCU\Software\iMesh]
[-HKLM\Software\BrowserChoice]
[-HKLM\Software\iMesh]
file::
C:\WINDOWS\jestertb.dll
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\HOW TO DECRYPT FILES.txt
C:\Documents and Settings\Parents\Menu Démarrer\Programmes\Démarrage\HOW TO DECRYPT FILES.txt
C:\Documents and Settings\Parents\Menu Démarrer\Programmes\Démarrage\_uninst_12696669.lnk
C:\Documents and Settings\Parents\Application Data\HOW TO DECRYPT FILES.txt
C:\Documents and Settings\Parents\Local Settings\Application Data\HOW TO DECRYPT FILES.txt
folder::
C:\Program Files\iMesh Applications\iMesh
C:\DOCUME~1\Parents\LOCALS~1\Temp\0478190
C:\WINDOWS\assembly\tmp\08FMT07E
C:\WINDOWS\assembly\tmp\09GNU18F
C:\WINDOWS\assembly\tmp\0AHOU18E
C:\WINDOWS\assembly\tmp\0AHOW3AH
C:\WINDOWS\assembly\tmp\0CKS08GO
C:\WINDOWS\assembly\tmp\0V28FMT0
C:\WINDOWS\assembly\tmp\18FMT07E
C:\WINDOWS\assembly\tmp\1BIPW3AH
C:\WINDOWS\assembly\tmp\1DLT19HP
C:\WINDOWS\assembly\tmp\2FNV2AIQ
C:\WINDOWS\assembly\tmp\3CJQX4BI
C:\WINDOWS\assembly\tmp\3DLT19HP
C:\WINDOWS\assembly\tmp\4CJQX3AH
C:\WINDOWS\assembly\tmp\4ELRY5CI
C:\WINDOWS\assembly\tmp\5ELSZ6DK
C:\WINDOWS\assembly\tmp\5FMT073A
C:\WINDOWS\assembly\tmp\6ELSZ6DL
C:\WINDOWS\assembly\tmp\6FMT07EL
C:\WINDOWS\assembly\tmp\6GOW4CKS
C:\WINDOWS\assembly\tmp\6HNU1RY5
C:\WINDOWS\assembly\tmp\6HOV29GN
C:\WINDOWS\assembly\tmp\6HPX5CKS
C:\WINDOWS\assembly\tmp\7GNU17EL
C:\WINDOWS\assembly\tmp\8GNU07EL
C:\WINDOWS\assembly\tmp\9I18FMT0
C:\WINDOWS\assembly\tmp\9KS08GOW
C:\WINDOWS\assembly\tmp\AJQX4BIP
C:\WINDOWS\assembly\tmp\AKS08FNV
C:\WINDOWS\assembly\tmp\CLSZ6CJQ
C:\WINDOWS\assembly\tmp\CMU2AIQY
C:\WINDOWS\assembly\tmp\DMT06DKQ
C:\WINDOWS\assembly\tmp\EOW5CKS0
C:\WINDOWS\assembly\tmp\EPX5DLS0
C:\WINDOWS\assembly\tmp\EPX5DLT1
C:\WINDOWS\assembly\tmp\GOW3AHOV
C:\WINDOWS\assembly\tmp\GPW39GNU
C:\WINDOWS\assembly\tmp\GQY5CJQX
C:\WINDOWS\assembly\tmp\GQZ6EMU2
C:\WINDOWS\assembly\tmp\HRY5BIPW
C:\WINDOWS\assembly\tmp\IQX4BIPW
C:\WINDOWS\assembly\tmp\IS09GOW4
C:\WINDOWS\assembly\tmp\JTZ6DKQX
C:\WINDOWS\assembly\tmp\JV3BJRZ7
C:\WINDOWS\assembly\tmp\KT07EKRY
C:\WINDOWS\assembly\tmp\KT08FMT0
C:\WINDOWS\assembly\tmp\KU2AJQZ7
C:\WINDOWS\assembly\tmp\LU18FLSZ
C:\WINDOWS\assembly\tmp\LU2AIQY6
C:\WINDOWS\assembly\tmp\MV29GNU1
C:\WINDOWS\assembly\tmp\MY6DMT19
C:\WINDOWS\assembly\tmp\MY6EMU19
C:\WINDOWS\assembly\tmp\P09GOW4C
C:\WINDOWS\assembly\tmp\PY5CKRY5
C:\WINDOWS\assembly\tmp\PZ6DKRY5
C:\WINDOWS\assembly\tmp\PZ7ELSZ6
C:\WINDOWS\assembly\tmp\Q08GOW3B
C:\WINDOWS\assembly\tmp\Q08GOW4C
C:\WINDOWS\assembly\tmp\R07ELSZ6
C:\WINDOWS\assembly\tmp\R29HPX5D
C:\WINDOWS\assembly\tmp\T29GNU07
C:\WINDOWS\assembly\tmp\U6EMU2AI
C:\WINDOWS\assembly\tmp\V3AHOU18
C:\WINDOWS\assembly\tmp\V3AIPW3A
C:\WINDOWS\assembly\tmp\V4BIPW29
C:\WINDOWS\assembly\tmp\V5DMT19H
C:\WINDOWS\assembly\tmp\V6EMU19H
C:\WINDOWS\assembly\tmp\W4BIPW3A
C:\WINDOWS\assembly\tmp\W6AIQY6E
C:\WINDOWS\assembly\tmp\W6EMU29I
C:\WINDOWS\assembly\tmp\W8GOW4CK
C:\WINDOWS\assembly\tmp\W8HPX5DL
C:\WINDOWS\assembly\tmp\X7ELSZ6D
C:\WINDOWS\assembly\tmp\X7FNV3BJ
C:\WINDOWS\assembly\tmp\Y7ELSZ5C
C:\WINDOWS\assembly\tmp\Y8FMT07E
C:\WINDOWS\assembly\tmp\Z8FLSZ6C
C:\WINDOWS\assembly\tmp\Z96DKRY5
C:\WINDOWS\assembly\tmp\ZAIQY6DL
C:\WINDOWS\assembly\tmp\ZAIQY6EL
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\iMesh
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Spybot - Search & Destroy
C:\Documents and Settings\Parents\Application Data\True Sword
C:\Documents and Settings\All Users\Application Data\iMesh
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
C:\Documents and Settings\All Users\Application Data\{145B6A8D-C3A8-4F62-BF1A-E616EBBDF2B2}
C:\Documents and Settings\Parents\Local Settings\Application Data\iMesh
C:\Program Files\iMesh Applications
C:\Program Files\Spybot - Search & Destroy
MBR::
clean::
Reboot::
___________________________________________________
colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
Alors, voilà le lien de virustotal:
https://www.virustotal.com/gui/file/a8c1577876cf16186610f26d7d859f8fda4057aafc33e8212339f56da6a5f874
et voilà pre_script:
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.413 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Parents : Microsoft Windows XP (32 bits)
Switchs : https://gen-hackman.kanak.fr/
Script : 17:25:08
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Modification du registre effectuée
¤
Supprimé : C:\WINDOWS\jestertb.dll
¤
Supprimé : C:\Program Files\iMesh Applications\iMesh
Supprimé : C:\DOCUME~1\Parents\LOCALS~1\Temp\0478190
Supprimé : C:\WINDOWS\assembly\tmp\08FMT07E
Supprimé : C:\WINDOWS\assembly\tmp\09GNU18F
Supprimé : C:\WINDOWS\assembly\tmp\0AHOU18E
Supprimé : C:\WINDOWS\assembly\tmp\0AHOW3AH
Supprimé : C:\WINDOWS\assembly\tmp\0CKS08GO
Supprimé : C:\WINDOWS\assembly\tmp\0V28FMT0
Supprimé : C:\WINDOWS\assembly\tmp\18FMT07E
Supprimé : C:\WINDOWS\assembly\tmp\1BIPW3AH
Supprimé : C:\WINDOWS\assembly\tmp\1DLT19HP
Supprimé : C:\WINDOWS\assembly\tmp\2FNV2AIQ
Supprimé : C:\WINDOWS\assembly\tmp\3CJQX4BI
Supprimé : C:\WINDOWS\assembly\tmp\3DLT19HP
Supprimé : C:\WINDOWS\assembly\tmp\4CJQX3AH
Supprimé : C:\WINDOWS\assembly\tmp\4ELRY5CI
Supprimé : C:\WINDOWS\assembly\tmp\5ELSZ6DK
Supprimé : C:\WINDOWS\assembly\tmp\5FMT073A
Supprimé : C:\WINDOWS\assembly\tmp\6ELSZ6DL
Supprimé : C:\WINDOWS\assembly\tmp\6FMT07EL
Supprimé : C:\WINDOWS\assembly\tmp\6GOW4CKS
Supprimé : C:\WINDOWS\assembly\tmp\6HNU1RY5
Supprimé : C:\WINDOWS\assembly\tmp\6HOV29GN
Supprimé : C:\WINDOWS\assembly\tmp\6HPX5CKS
Supprimé : C:\WINDOWS\assembly\tmp\7GNU17EL
Supprimé : C:\WINDOWS\assembly\tmp\8GNU07EL
Supprimé : C:\WINDOWS\assembly\tmp\9I18FMT0
Supprimé : C:\WINDOWS\assembly\tmp\9KS08GOW
Supprimé : C:\WINDOWS\assembly\tmp\AJQX4BIP
Supprimé : C:\WINDOWS\assembly\tmp\AKS08FNV
Supprimé : C:\WINDOWS\assembly\tmp\CLSZ6CJQ
Supprimé : C:\WINDOWS\assembly\tmp\CMU2AIQY
Supprimé : C:\WINDOWS\assembly\tmp\DMT06DKQ
Supprimé : C:\WINDOWS\assembly\tmp\EOW5CKS0
Supprimé : C:\WINDOWS\assembly\tmp\EPX5DLS0
Supprimé : C:\WINDOWS\assembly\tmp\EPX5DLT1
Supprimé : C:\WINDOWS\assembly\tmp\GOW3AHOV
Supprimé : C:\WINDOWS\assembly\tmp\GPW39GNU
Supprimé : C:\WINDOWS\assembly\tmp\GQY5CJQX
Supprimé : C:\WINDOWS\assembly\tmp\GQZ6EMU2
Supprimé : C:\WINDOWS\assembly\tmp\HRY5BIPW
Supprimé : C:\WINDOWS\assembly\tmp\IQX4BIPW
Supprimé : C:\WINDOWS\assembly\tmp\IS09GOW4
Supprimé : C:\WINDOWS\assembly\tmp\JTZ6DKQX
Supprimé : C:\WINDOWS\assembly\tmp\JV3BJRZ7
Supprimé : C:\WINDOWS\assembly\tmp\KT07EKRY
Supprimé : C:\WINDOWS\assembly\tmp\KT08FMT0
Supprimé : C:\WINDOWS\assembly\tmp\KU2AJQZ7
Supprimé : C:\WINDOWS\assembly\tmp\LU18FLSZ
Supprimé : C:\WINDOWS\assembly\tmp\LU2AIQY6
Supprimé : C:\WINDOWS\assembly\tmp\MV29GNU1
Supprimé : C:\WINDOWS\assembly\tmp\MY6DMT19
Supprimé : C:\WINDOWS\assembly\tmp\MY6EMU19
Supprimé : C:\WINDOWS\assembly\tmp\P09GOW4C
Supprimé : C:\WINDOWS\assembly\tmp\PY5CKRY5
Supprimé : C:\WINDOWS\assembly\tmp\PZ6DKRY5
Supprimé : C:\WINDOWS\assembly\tmp\PZ7ELSZ6
Supprimé : C:\WINDOWS\assembly\tmp\Q08GOW3B
Supprimé : C:\WINDOWS\assembly\tmp\Q08GOW4C
Supprimé : C:\WINDOWS\assembly\tmp\R07ELSZ6
Supprimé : C:\WINDOWS\assembly\tmp\R29HPX5D
Supprimé : C:\WINDOWS\assembly\tmp\T29GNU07
Supprimé : C:\WINDOWS\assembly\tmp\U6EMU2AI
Supprimé : C:\WINDOWS\assembly\tmp\V3AHOU18
Supprimé : C:\WINDOWS\assembly\tmp\V3AIPW3A
Supprimé : C:\WINDOWS\assembly\tmp\V4BIPW29
Supprimé : C:\WINDOWS\assembly\tmp\V5DMT19H
Supprimé : C:\WINDOWS\assembly\tmp\V6EMU19H
Supprimé : C:\WINDOWS\assembly\tmp\W4BIPW3A
Supprimé : C:\WINDOWS\assembly\tmp\W6AIQY6E
Supprimé : C:\WINDOWS\assembly\tmp\W6EMU29I
Supprimé : C:\WINDOWS\assembly\tmp\W8GOW4CK
Supprimé : C:\WINDOWS\assembly\tmp\W8HPX5DL
Supprimé : C:\WINDOWS\assembly\tmp\X7ELSZ6D
Supprimé : C:\WINDOWS\assembly\tmp\X7FNV3BJ
Supprimé : C:\WINDOWS\assembly\tmp\Y7ELSZ5C
Supprimé : C:\WINDOWS\assembly\tmp\Y8FMT07E
Supprimé : C:\WINDOWS\assembly\tmp\Z8FLSZ6C
Supprimé : C:\WINDOWS\assembly\tmp\Z96DKRY5
Supprimé : C:\WINDOWS\assembly\tmp\ZAIQY6DL
Supprimé : C:\WINDOWS\assembly\tmp\ZAIQY6EL
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\iMesh
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Spybot - Search & Destroy
Supprimé : C:\Documents and Settings\Parents\Application Data\True Sword
Supprimé : C:\Documents and Settings\All Users\Application Data\iMesh
Supprimé : C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
Supprimé : C:\Documents and Settings\All Users\Application Data\{145B6A8D-C3A8-4F62-BF1A-E616EBBDF2B2}
Supprimé : C:\Documents and Settings\Parents\Local Settings\Application Data\iMesh
Supprimé : C:\Program Files\iMesh Applications
Absent : C:\Program Files\Spybot - Search & Destroy
¤
¤¤¤¤¤¤¤¤¤¤ | MBR
-d file Dump the MBR of the selected drive to 'file'.
-D Dump the MBR of all fixed drives.
-f ## Fix the MBR of the selected drive with code ##.
Valid codes are:
0 - Default (current Windows version)
1 - Windows XP
2 - Windows Server 2003
3 - Windows Vista
4 - Windows Server 2008
5 - Windows 7
¤
¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque
Nettoyage du disque effectué
¤
Fin : 17:28:11
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
Alors, c'est tout propre? Quelles sont les chances de récupérer mes fichiers? Que pensez-vous de drweb?
En tout cas, merci beaucoup de suivre mes pérégrinations informatiques...
https://www.virustotal.com/gui/file/a8c1577876cf16186610f26d7d859f8fda4057aafc33e8212339f56da6a5f874
et voilà pre_script:
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.413 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Parents : Microsoft Windows XP (32 bits)
Switchs : https://gen-hackman.kanak.fr/
Script : 17:25:08
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Modification du registre effectuée
¤
Supprimé : C:\WINDOWS\jestertb.dll
¤
Supprimé : C:\Program Files\iMesh Applications\iMesh
Supprimé : C:\DOCUME~1\Parents\LOCALS~1\Temp\0478190
Supprimé : C:\WINDOWS\assembly\tmp\08FMT07E
Supprimé : C:\WINDOWS\assembly\tmp\09GNU18F
Supprimé : C:\WINDOWS\assembly\tmp\0AHOU18E
Supprimé : C:\WINDOWS\assembly\tmp\0AHOW3AH
Supprimé : C:\WINDOWS\assembly\tmp\0CKS08GO
Supprimé : C:\WINDOWS\assembly\tmp\0V28FMT0
Supprimé : C:\WINDOWS\assembly\tmp\18FMT07E
Supprimé : C:\WINDOWS\assembly\tmp\1BIPW3AH
Supprimé : C:\WINDOWS\assembly\tmp\1DLT19HP
Supprimé : C:\WINDOWS\assembly\tmp\2FNV2AIQ
Supprimé : C:\WINDOWS\assembly\tmp\3CJQX4BI
Supprimé : C:\WINDOWS\assembly\tmp\3DLT19HP
Supprimé : C:\WINDOWS\assembly\tmp\4CJQX3AH
Supprimé : C:\WINDOWS\assembly\tmp\4ELRY5CI
Supprimé : C:\WINDOWS\assembly\tmp\5ELSZ6DK
Supprimé : C:\WINDOWS\assembly\tmp\5FMT073A
Supprimé : C:\WINDOWS\assembly\tmp\6ELSZ6DL
Supprimé : C:\WINDOWS\assembly\tmp\6FMT07EL
Supprimé : C:\WINDOWS\assembly\tmp\6GOW4CKS
Supprimé : C:\WINDOWS\assembly\tmp\6HNU1RY5
Supprimé : C:\WINDOWS\assembly\tmp\6HOV29GN
Supprimé : C:\WINDOWS\assembly\tmp\6HPX5CKS
Supprimé : C:\WINDOWS\assembly\tmp\7GNU17EL
Supprimé : C:\WINDOWS\assembly\tmp\8GNU07EL
Supprimé : C:\WINDOWS\assembly\tmp\9I18FMT0
Supprimé : C:\WINDOWS\assembly\tmp\9KS08GOW
Supprimé : C:\WINDOWS\assembly\tmp\AJQX4BIP
Supprimé : C:\WINDOWS\assembly\tmp\AKS08FNV
Supprimé : C:\WINDOWS\assembly\tmp\CLSZ6CJQ
Supprimé : C:\WINDOWS\assembly\tmp\CMU2AIQY
Supprimé : C:\WINDOWS\assembly\tmp\DMT06DKQ
Supprimé : C:\WINDOWS\assembly\tmp\EOW5CKS0
Supprimé : C:\WINDOWS\assembly\tmp\EPX5DLS0
Supprimé : C:\WINDOWS\assembly\tmp\EPX5DLT1
Supprimé : C:\WINDOWS\assembly\tmp\GOW3AHOV
Supprimé : C:\WINDOWS\assembly\tmp\GPW39GNU
Supprimé : C:\WINDOWS\assembly\tmp\GQY5CJQX
Supprimé : C:\WINDOWS\assembly\tmp\GQZ6EMU2
Supprimé : C:\WINDOWS\assembly\tmp\HRY5BIPW
Supprimé : C:\WINDOWS\assembly\tmp\IQX4BIPW
Supprimé : C:\WINDOWS\assembly\tmp\IS09GOW4
Supprimé : C:\WINDOWS\assembly\tmp\JTZ6DKQX
Supprimé : C:\WINDOWS\assembly\tmp\JV3BJRZ7
Supprimé : C:\WINDOWS\assembly\tmp\KT07EKRY
Supprimé : C:\WINDOWS\assembly\tmp\KT08FMT0
Supprimé : C:\WINDOWS\assembly\tmp\KU2AJQZ7
Supprimé : C:\WINDOWS\assembly\tmp\LU18FLSZ
Supprimé : C:\WINDOWS\assembly\tmp\LU2AIQY6
Supprimé : C:\WINDOWS\assembly\tmp\MV29GNU1
Supprimé : C:\WINDOWS\assembly\tmp\MY6DMT19
Supprimé : C:\WINDOWS\assembly\tmp\MY6EMU19
Supprimé : C:\WINDOWS\assembly\tmp\P09GOW4C
Supprimé : C:\WINDOWS\assembly\tmp\PY5CKRY5
Supprimé : C:\WINDOWS\assembly\tmp\PZ6DKRY5
Supprimé : C:\WINDOWS\assembly\tmp\PZ7ELSZ6
Supprimé : C:\WINDOWS\assembly\tmp\Q08GOW3B
Supprimé : C:\WINDOWS\assembly\tmp\Q08GOW4C
Supprimé : C:\WINDOWS\assembly\tmp\R07ELSZ6
Supprimé : C:\WINDOWS\assembly\tmp\R29HPX5D
Supprimé : C:\WINDOWS\assembly\tmp\T29GNU07
Supprimé : C:\WINDOWS\assembly\tmp\U6EMU2AI
Supprimé : C:\WINDOWS\assembly\tmp\V3AHOU18
Supprimé : C:\WINDOWS\assembly\tmp\V3AIPW3A
Supprimé : C:\WINDOWS\assembly\tmp\V4BIPW29
Supprimé : C:\WINDOWS\assembly\tmp\V5DMT19H
Supprimé : C:\WINDOWS\assembly\tmp\V6EMU19H
Supprimé : C:\WINDOWS\assembly\tmp\W4BIPW3A
Supprimé : C:\WINDOWS\assembly\tmp\W6AIQY6E
Supprimé : C:\WINDOWS\assembly\tmp\W6EMU29I
Supprimé : C:\WINDOWS\assembly\tmp\W8GOW4CK
Supprimé : C:\WINDOWS\assembly\tmp\W8HPX5DL
Supprimé : C:\WINDOWS\assembly\tmp\X7ELSZ6D
Supprimé : C:\WINDOWS\assembly\tmp\X7FNV3BJ
Supprimé : C:\WINDOWS\assembly\tmp\Y7ELSZ5C
Supprimé : C:\WINDOWS\assembly\tmp\Y8FMT07E
Supprimé : C:\WINDOWS\assembly\tmp\Z8FLSZ6C
Supprimé : C:\WINDOWS\assembly\tmp\Z96DKRY5
Supprimé : C:\WINDOWS\assembly\tmp\ZAIQY6DL
Supprimé : C:\WINDOWS\assembly\tmp\ZAIQY6EL
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\iMesh
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Spybot - Search & Destroy
Supprimé : C:\Documents and Settings\Parents\Application Data\True Sword
Supprimé : C:\Documents and Settings\All Users\Application Data\iMesh
Supprimé : C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
Supprimé : C:\Documents and Settings\All Users\Application Data\{145B6A8D-C3A8-4F62-BF1A-E616EBBDF2B2}
Supprimé : C:\Documents and Settings\Parents\Local Settings\Application Data\iMesh
Supprimé : C:\Program Files\iMesh Applications
Absent : C:\Program Files\Spybot - Search & Destroy
¤
¤¤¤¤¤¤¤¤¤¤ | MBR
-d file Dump the MBR of the selected drive to 'file'.
-D Dump the MBR of all fixed drives.
-f ## Fix the MBR of the selected drive with code ##.
Valid codes are:
0 - Default (current Windows version)
1 - Windows XP
2 - Windows Server 2003
3 - Windows Vista
4 - Windows Server 2008
5 - Windows 7
¤
¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque
Nettoyage du disque effectué
¤
Fin : 17:28:11
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
Alors, c'est tout propre? Quelles sont les chances de récupérer mes fichiers? Que pensez-vous de drweb?
En tout cas, merci beaucoup de suivre mes pérégrinations informatiques...
refais-en un avec ca :
File::
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\HOW TO DECRYPT FILES.txt
C:\Documents and Settings\Parents\Menu Démarrer\Programmes\Démarrage\HOW TO DECRYPT FILES.txt
C:\Documents and Settings\Parents\Menu Démarrer\Programmes\Démarrage\_uninst_12696669.lnk
C:\Documents and Settings\Parents\Application Data\HOW TO DECRYPT FILES.txt
C:\Documents and Settings\Parents\Local Settings\Application Data\HOW TO DECRYPT FILES.txt
File::
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\HOW TO DECRYPT FILES.txt
C:\Documents and Settings\Parents\Menu Démarrer\Programmes\Démarrage\HOW TO DECRYPT FILES.txt
C:\Documents and Settings\Parents\Menu Démarrer\Programmes\Démarrage\_uninst_12696669.lnk
C:\Documents and Settings\Parents\Application Data\HOW TO DECRYPT FILES.txt
C:\Documents and Settings\Parents\Local Settings\Application Data\HOW TO DECRYPT FILES.txt
Salut,
Faudrait faire ça.
Envoyer les fichiers suivants sur http://upload.malekal.com
C:\Pre_Scan\Quarantine\RYiGElV1ZFlQ3US.exe
C:\Pre_Scan\Quarantine\9242693.exe
C:\Pre_Scan\Quarantine\kldw.exe
C:\Pre_Scan\Quarantine\~!#16C.tmp
C:\Pre_Scan\Quarantine\~!#1B8.tmp
surtout le C:\Pre_Scan\Quarantine\RYiGElV1ZFlQ3US.exe
Faudrait faire ça.
Envoyer les fichiers suivants sur http://upload.malekal.com
C:\Pre_Scan\Quarantine\RYiGElV1ZFlQ3US.exe
C:\Pre_Scan\Quarantine\9242693.exe
C:\Pre_Scan\Quarantine\kldw.exe
C:\Pre_Scan\Quarantine\~!#16C.tmp
C:\Pre_Scan\Quarantine\~!#1B8.tmp
surtout le C:\Pre_Scan\Quarantine\RYiGElV1ZFlQ3US.exe
BOnsoir, je ne peux uploader le fichier C:\Pre_Scan\Quarantine\RYiGElV1ZFlQ3US.exe
car il a une extension P_S
Je fais quoi?
Merci
car il a une extension P_S
Je fais quoi?
Merci
sinon tu relances , puis tu cliques sur script , puis tu colles ca dans la page qui s'ouvre et tu enregistres (enregistrer tout court , pas enregister sous..) :
Zip::
C:\Pre_Scan\Quarantine\RYiGElV1ZFlQ3US.exe.P_S
C:\Pre_Scan\Quarantine\9242693.exe.P_S
C:\Pre_Scan\Quarantine\kldw.exe.P_S
C:\Pre_Scan\Quarantine\~!#16C.tmp.P_S
C:\Pre_Scan\Quarantine\~!#1B8.tmp.P_S
et tu devrais avoir une archive dans c:\ à ton nom contenant les-dits fichiers
Zip::
C:\Pre_Scan\Quarantine\RYiGElV1ZFlQ3US.exe.P_S
C:\Pre_Scan\Quarantine\9242693.exe.P_S
C:\Pre_Scan\Quarantine\kldw.exe.P_S
C:\Pre_Scan\Quarantine\~!#16C.tmp.P_S
C:\Pre_Scan\Quarantine\~!#1B8.tmp.P_S
et tu devrais avoir une archive dans c:\ à ton nom contenant les-dits fichiers
ok, j'ai édité ce billet : https://www.malekal.com/trojanw32ransomcrypt-trojan-encoder-prise-en-otage-des-documents/
C'est possible de rétablir les fichiers.
Option -k 91 avec Dr.Web
il y a aussi un tool de Kaspersky.
Voir le dernier EDIT pour toi, il y a deux variantes, voir selon le message HOW TO DECRYPT.txt
~~
Eventuellement fais Prescan avant pour virer les extensions ou un scan Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
C'est possible de rétablir les fichiers.
Option -k 91 avec Dr.Web
il y a aussi un tool de Kaspersky.
Voir le dernier EDIT pour toi, il y a deux variantes, voir selon le message HOW TO DECRYPT.txt
~~
Eventuellement fais Prescan avant pour virer les extensions ou un scan Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Pour info, un des deux autres fichiers mets ce malware :
O23 - Service: Host Generic Process for Win32 Services (Host Generic Process) - Unknown owner - C:\WINDOWS\system32\drivers\svchost.exe
C:\Windows\system32\svchost.exe => OK.
C:\WINDOWS\system32\drivers\svchost.exe => Malicieux.
O23 - Service: Host Generic Process for Win32 Services (Host Generic Process) - Unknown owner - C:\WINDOWS\system32\drivers\svchost.exe
C:\Windows\system32\svchost.exe => OK.
C:\WINDOWS\system32\drivers\svchost.exe => Malicieux.
oué...
j'intègre :
Supprimé : [HKCR\.RQEhyzU546Sy6845U3s | command ] | @ -> c:\fichier_test.exe
j'intègre :
Supprimé : [HKCR\.RQEhyzU546Sy6845U3s | command ] | @ -> c:\fichier_test.exe
Bonsoir g3n-h@ckm@n et Malekal_morte!
Vraiment, je ne sais pas comment vous remercier: j'ai pu récupérer tous mes fichiers. Maintenant, j'ai du nettoyage à faire...Car tous les fichiers cryptés sont toujours là et les fichiers txt How to decrypt files aussi...
Comment se fait-il qu'avec Avast plus Spybot j'ai pu attrapper ce virus? J'avoue que je ne suis pas une pro mais en 15 ans d'internet, c'est la première fois que cela m'arrive: qu'a-t-il pu se passer?
Auriez-vous des conseils pour que cela ne se reproduise pas?
Merci encore
Bfbaudo
Vraiment, je ne sais pas comment vous remercier: j'ai pu récupérer tous mes fichiers. Maintenant, j'ai du nettoyage à faire...Car tous les fichiers cryptés sont toujours là et les fichiers txt How to decrypt files aussi...
Comment se fait-il qu'avec Avast plus Spybot j'ai pu attrapper ce virus? J'avoue que je ne suis pas une pro mais en 15 ans d'internet, c'est la première fois que cela m'arrive: qu'a-t-il pu se passer?
Auriez-vous des conseils pour que cela ne se reproduise pas?
Merci encore
Bfbaudo
Parce que spybot il sert à décorer (et encore ça fait vieillot maintenant ! lol)
voir chez malekal : https://www.malekal.com/superantispyware-et-spybot-vs-malwarebyte/
voir chez malekal : https://www.malekal.com/superantispyware-et-spybot-vs-malwarebyte/
