Sujet Précédent Sujet Suivant

Help : trojan-ransom wilkommen windows update

Fermé
Ninoudanslamouise - 13 juin 2012 à 21:34
 Utilisateur anonyme - 18 juin 2012 à 02:37
Bonsoir à tous,
Hier matin, j'ai ouvert (pourquoi ?) un mail en allemand avec une PJ sur laquelle j'ai cliqué (pourquoi ??) et que j'ai même dézipée (pourquoi ???).
J'ai gentiment éteint mon ordinateur et suis allée travailler.
Lorsque j'ai rallumé mon ordinateur le soir, plusieurs crachs puis une page blanche sur écran noir : wilkommen windows update et une demande de rançon.
Vous trouverez une vidéo de la chose sur ce lien :
http://www.youtube.com/watch?v=GwXvmZiR3rM
Après avoir essayé tous les modes pour lancer windows, je me suis finalement rendu compte que seule la session sur laquelle j'avais ouvert le mail était bloquée.
J'ai donc pris la main sur l'autre session (très très lente) et ai lancé tous les utilitaires que je pouvais : d'abord spybot qui a supprimé bcp de choses, puis mon antivirus mcafee mais ça plantait toujours
J'ai ensuite lancé kaspersky virus removal tool qui a trouvé quelque chose : backdoor.win32.agent.cjpk ou bibsnziwvbz.exe (mais il faut savoir que les fichiers sont aussi cryptés alors ...) et il l'a supprimé.
J'ai vérifié que je pouvais à nouveau aller sur la session infectée et effectivement windows n'était plus bloqué.
Cependant, je n'avais plus accès à certaines fonctionnalités et ça ramait pour ne pas dire plantait.
J'ai donc fermé la session infectée et suis retournée sur l'autre.
Dans la base de registre, j'ai supprimé un disableregedit, un autre disabletaskmgr et enfin disableregistrytools.
J'ai ensuite lancé un scan rapide de malwarebytes qui a quand même pris 3 heures. Je crois qu'il a trouvé deux trucs.
J'ai terminé avec un scan complet, mais au bout de 5 h, j'ai craqué et j'ai éteint.
C'est alors que je me suis rendu compte que la plupart de mes fichiers étaient cryptés (mais pas tous, comme si le virus n'avait pas eu le temps ...).
Le genre de cryptage : euXrlJTgsQXNDvaOsupr (à l'origine c'est un fichier image).
Voilà, mon histoire est terminée.
J'ai cherché sur la toile en vain, à croire que ce virus est tout nouveau.
Si vous avez une solution pour restaurer mes fichiers (car évidemment ceux qui ne sont pas cryptés sont ceux que j'ai sauvegardés et inversement, ceux cryptés sont ceux pour lesquels je n'ai pas de copie récente ...).
D'avance, merci beaucoup.



1 réponse

Réponse 1 / 1
Utilisateur anonyme
18 juin 2012 à 02:37
salut de la session infectée :

Attention : cet outil peut etre détecté à tort comme virus

Désactive toutes tes protections si possible , antivirus , sandbox , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
0