Virus - Fichiers corrompus Fermé

Question

Bonjour,

Il y a 2 jours je naviguais sur internet l'ordi s'est figé. Une image est apparue avec ma photo dessus et me demandant de payer une somme d'argent. En cherchant sur internet j'ai trouvé le problème: Royal Canadian Mounted Police Virus Ukash scam (aka RCMP Ukash virus), is the upgrade version of Canadian Security Intelligence Service (CSIS) Ukash virus. 

Plusieurs solutions étaient proposées mais rien ne fonctionnait vraiment alors j'ai utilisé un point de restauration datant d'il y a 10 jours. Ca a fonctionné, je pouvais alors aller sur le net et voir mon bureau Windows. J'ai passer un coup de Malwarwbytes anti-malware, il a trouvé une 50aine de trucs et j'ai tout supprimé. Je croyais que c'était réglé mais je me rend compte que tout est genre corrompu. Impossible d'ouvrir un document word existant, ca me dit que le format n'est pas bon, pareil pour toutes mes photos, mes videos etc.. bref plus rien ne marche et je comme à paniquer car je viens d'avoir un fils et toutes les photos des 1ers moments sont sur l'ordi. Bref je ne sais plus quoi faire et j'espère que tout n'est pas perdu.

Si quelqu'un peut m'aider merci !!!

Utilisateur anonyme · Answer

Bonsoir

Si le fichiers sont cryptés c'est mort dans l'immédiat

@+

Jeremie32 · Answer

Je fais comment pour le savoir ?

Utilisateur anonyme · Answer

Re

On peut nettoyer avant tout

à toi de voir

@+

Jeremie32 · Answer

D'accord, de toute facon je ne sais pas quoi faire alors va-y, dit moi ce que tu veux essayer et je te reviendrais quand ca sera fait

Utilisateur anonyme · Answer

Re

Si tu as l'idée de la solution radicale ;je ne vais pas perdre de temps

@+

Jeremie32 · Answer

Radicale dans quel sens ? Je veux pas formater mon disque sans avoir essayé de refaire fonctionner mes photos et tout ca :)

Jeremie32 · Answer

Je connais pas grand chose à l'informatique, alors si tu ne me proposes rien, ca va pas avancer...

Utilisateur anonyme · Answer

Re

Pour de plus amples informations, fait ceci stp

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman : 

https://toolslib.net

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

en bas de la page ZHP avec un numéro de version.
 
Une fois le téléchargement achevé, 

Double-clique sur l'icône pour lancer le programme.  Sous Vista ; Seven ou Windows 8 clic droit «  exécuter en tant que administrateur » 

 
Dans la fenêtre ZHPDiag qui vient de s'ouvrir,  clique sur "Configurer"

Clique sur  la loupe  en bas à gauche avec le signe plus   pour lancer l'analyse.


Laisse l'outil travailler, il peut être assez long. 

Un rapport s'ouvre. Ce rapport se trouve également sur ton bureau 

Pour transmettre le rapport clique sur ce lien: 
http://pjjoint.malekal.com/

Si problème utilise un des suivants

https://forums-fec.be/upload 
 https://www.cjoint.com/


Regarde sur le bureau
 
Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.com/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

Merci

@+

Jeremie32 · Answer

Ok voici le lien. J'attends de tes nouvelles.

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20140315_s1014m7y15r10

Utilisateur anonyme · Answer

Re

'Pourquoi tu me parles comme ça, est-ce que je t'ai manqué de respect ?

Aucunement;tout simplement pour te faire toucher du doigt que sur ce forum comme sur beaucoup d'autres ce ne sont que tes bénévoles qui répondent à vos soucis ou problèmes.

Donc quand on parle un peu haut (compréhension de Windows à mon gout) et bien tu obtiens ce genre de réponse.


 Je regarde ton rapport

@+

Utilisateur anonyme · Answer

Re

1) Télécharge AdwCleaner ( d'Xplode ) sur ton bureau. 
Lance le, clique sur [Scanner]   puis patiente le temps du scan. 
Une fois le scan terminé clique sur le bouton  [Nettoyer] 
Patiente durant le nettoyage. Lis le message qui apparaît, puis clique sur  Ok  . Le PC va être redémarré automatiquement et le rapport s'ouvrira à la fin du redémarrage. 
Poste le rapport

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

A lire :
 Les programmes potentiellement indésirables :
https://www.malekal.com/adwares-pup-protection/

Les toolbars, c'est pas obligatoire ( par Malekal ) :https://forum.malekal.com/viewtopic.php?t=6173&start=

2)Tu disposes de Malwaresbytes
Met le à jour et lance une analyse rapide
Poste moi ce rapport après suppression


@+

Jeremie32 · Answer

Désolé si j'ai dis quelque chose de travers, je suis juste sur les nerfs car ma copine est en colère que je lui ai perdu toutes les photos. Je m'excuse.

Je fais les scan et je te reviens. Merci.

Jeremie32 · Answer

Voici le rapport de adwcleaner:
https://pjjoint.malekal.com/files.php?id=20140315_h5d12n8s5g14

et celui de malewarebytes:
https://pjjoint.malekal.com/files.php?id=20140315_h5d12n8s5g14

Merci!

Jeremie32 · Answer

Désolé je me suis trompé de fichier

Voici le bon rapport:
https://pjjoint.malekal.com/files.php?id=20140315_e15e10u11r7n5

Utilisateur anonyme · Answer

Re

Poste moi un nouveau rapport ZHPdiag;merci

@+

Jeremie32 · Answer

D'accord, voici le nouveau rapport ZHPdiag:
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20140315_c7k5s11i14y10

Merci !

Jeremie32 · Answer

Salut,

J'ajoute quelque chose qui m'était sorti de la tête. Dans chaque répertoire de mon disque dur j'ai trouvé des fichiers qui portaient tous le même nom à savoir HOWTODECRYPT. Ils sont dans ma poubelle. Ca semble donc bien confirmer que tous mes fichiers ont été cryptés, par contre ils n'ont pas changés de noms.
Je vais me coucher. A+

Utilisateur anonyme · Answer

Bonjour

Utilisation de l'outil ZHPFix : 

* Copie  tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 

Script ZHPFix
O43 - CFD: 2012-09-08 - 17:16:33 - [0] ----D C:\Users\Jeremie\AppData\Local\MediaGet2  
O87 - FAEL: "{D4947FEB-3E05-4021-BE18-E93DE9FACD74}" |In - Private - P6 - TRUE | .(...) -- C:\Program Files (x86)\mystarttb\ToolbarCleaner.exe (.not file.)  
O87 - FAEL: "{78255DF2-A111-462E-83D8-F56CFC1A06EB}" |In - Private - P17 - TRUE | .(...) -- C:\Program Files (x86)\mystarttb\ToolbarCleaner.exe (.not file.)  
[HKLM\Software\Classes\CLSID\{11111111-1111-1111-1111-110411411162}]    
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110411411162}]    
C:\Users\Jeremie\AppData\Local\MediaGet2    
C:\Users\Jeremie\Desktop\Jeux\KeyClone v1.9i - 24th July 2009(Cracked 17.12.09)\KeyClone v1.9i - 24th July 2009\KeyClone v1.9i - 24th July 2009\Crack\keyclone.exe     
C:\Users\Jeremie\Desktop\Jeux\KeyClone v1.9i - 24th July 2009(Cracked 17.12.09)\KeyClone v1.9i - 24th July 2009\KeyClone v1.9i - 24th July 2009\Crack\Torrent downloaded from Demonoid.com.txt     
C:\Users\Jeremie\Desktop\Jeux\KeyClone v1.9i - 24th July 2009(Cracked 17.12.09)\KeyClone v1.9i - 24th July 2009\KeyClone v1.9i - 24th July 2009\KeyClone v1.9i - 24th July 2009.exe     
C:\Users\Jeremie\Desktop\Jeux\KeyClone v1.9i - 24th July 2009(Cracked 17.12.09)\KeyClone v1.9i - 24th July 2009\KeyClone v1.9i - 24th July 2009\PreCompiled Installer\KeyClone v1.9i - 17th December 2009.exe     
C:\Users\Jeremie\Desktop\Jeux\KeyClone v1.9i - 24th July 2009(Cracked 17.12.09)\KeyClone v1.9i - 24th July 2009\KeyClone v1.9i - 24th July 2009\PreCompiled Installer\Torrent downloaded from Demonoid.com.txt     
C:\Users\Jeremie\Desktop\Jeux\KeyClone v1.9i - 24th July 2009(Cracked 17.12.09)\KeyClone v1.9i - 24th July 2009\KeyClone v1.9i - 24th July 2009\Torrent downloaded from Demonoid.com.txt     
C:\Users\Jeremie\Desktop\Jeux\KeyClone v1.9i - 24th July 2009(Cracked 17.12.09)\KeyClone v1.9i - 24th July 2009.rar     
C:\Users\Jeremie\Desktop\Jeux\KeyClone v1.9i - 24th July 2009(Cracked 17.12.09)\Torrent downloaded from Demonoid.com.txt     
C:\Users\Jeremie\Desktop\Jeux\KeyClone v1.9i - 24th July 2009(Cracked 17.12.09)\KeyClone v1.9i - 24th July 2009\KeyClone v1.9i - 24th July 2009\Crack\keyclone.exe     
C:\Users\Jeremie\Desktop\Jeux\KeyClone v1.9i - 24th July 2009(Cracked 17.12.09)\KeyClone v1.9i - 24th July 2009\KeyClone v1.9i - 24th July 2009\Crack\Torrent downloaded from Demonoid.com.txt     
C:\Users\Jeremie\Desktop\Jeux\KeyClone v1.9i - 24th July 2009(Cracked 17.12.09)\KeyClone v1.9i - 24th July 2009\KeyClone v1.9i - 24th July 2009\KeyClone v1.9i - 24th July 2009.exe     
C:\Users\Jeremie\Desktop\Jeux\KeyClone v1.9i - 24th July 2009(Cracked 17.12.09)\KeyClone v1.9i - 24th July 2009\KeyClone v1.9i - 24th July 2009\PreCompiled Installer\KeyClone v1.9i - 17th December 2009.exe     
C:\Users\Jeremie\Desktop\Jeux\KeyClone v1.9i - 24th July 2009(Cracked 17.12.09)\KeyClone v1.9i - 24th July 2009\KeyClone v1.9i - 24th July 2009\PreCompiled Installer\Torrent downloaded from Demonoid.com.txt     
C:\Users\Jeremie\Desktop\Jeux\KeyClone v1.9i - 24th July 2009(Cracked 17.12.09)\KeyClone v1.9i - 24th July 2009\KeyClone v1.9i - 24th July 2009\Torrent downloaded from Demonoid.com.txt     
C:\Users\Jeremie\Desktop\Jeux\KeyClone v1.9i - 24th July 2009(Cracked 17.12.09)\KeyClone v1.9i - 24th July 2009.rar     
C:\Users\Jeremie\Desktop\Jeux\KeyClone v1.9i - 24th July 2009(Cracked 17.12.09)\Torrent downloaded from Demonoid.com.txt     
O2 - BHO: LastPass Vault [64Bits] - {95D9ECF5-2A4D-4550-BE49-70D42F71296E} . (.Pas de propriétaire - LastPass Toolbar.) -- C:\Program Files (x86)\LastPass\LPToolbar.dll  
O3 - Toolbar: LastPass Toolbar - [HKLM]{9f6b5cc3-5c7b-4b5c-97af-19dec1e380e5} . (.Pas de propriétaire - LastPass Toolbar.) -- C:\Program Files (x86)\LastPass\LPToolbar_x64.dll  
O9 - Extra button: LastPass [64Bits] - {43699cd0-e34f-11de-8a39-0800200c9a66} . (.Pas de propriétaire - LastPass Toolbar.) -- C:\Program Files (x86)\LastPass\LPToolbar_x64.dll  
[HKCU\Software\Mixi.DJ]     
O69 - SBI: SearchScopes [HKCU] {89F58526-545D-4808-9202-8EFB610FFB84} - (Vafmusic2 Customized Web Search) - http://search.conduit.com  
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{95D9ECF5-2A4D-4550-BE49-70D42F71296E}]    
[HKLM\Software\Classes\Installer\Features\43688B8A09F7F2046BA6682479556F5A]    
[HKLM\Software\Classes\Installer\Products\43688B8A09F7F2046BA6682479556F5A]    
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\43688B8A09F7F2046BA6682479556F5A]    
[HKLM\Software\Wow6432Node\Classes\Installer\Features\43688B8A09F7F2046BA6682479556F5A]    
[HKLM\Software\Wow6432Node\Classes\Installer\Products\43688B8A09F7F2046BA6682479556F5A]    
[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{A8B88634-7F90-402F-B66A-86429755F6A5}]   
[HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASAPI32]    
[HKCU\Software\Mixi.DJ]    
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{9f6b5cc3-5c7b-4b5c-97af-19dec1e380e5}    
O43 - CFD: 2014-03-12 - 23:17:58 - [1,088] ----D C:\ProgramData\baovxsc 
 O43 - CFD: 2014-03-13 - 20:38:04 - [0,165] ----D C:\ProgramData\fqheqvs 
 O43 - CFD: 2014-03-12 - 23:15:06 - [0,298] ----D C:\ProgramData\pqmilq 
 [MD5.25751FC1D7E074F8D707543F2960D962] [SPRF][2014-03-12] (...) -- C:\ProgramData
jvnjwv.dat   [322744] 
ShortcutFix
EmptyPrefetch
FirewallRAZ
Emptytemp
EmptyCLSID

--------------------------------------------------------------------------------------------
Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7 ou 8, fais le par un clic-droit --> Exécuter en tant qu'administrateur) 

Cliquer sur le bouton  Importer. Le contenu du Presse-papier vient se coller dans la zone de saisie de ZHPFix

 NB (W8)   : Dans certains cas le script se colle automatiquement dans la zone de script et ne nécessite pas de cliquer sur le bouton "IMPORTER".
 
* Clique sur le bouton GO  pour lancer le nettoyage.

-> laisse travailler l'outil et ne touche à rien ... 
-> S'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le ! 


Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ... 
Ce rapport est copié sur le bureau

( ce rapport est en outre sauvegardé dans ce dossier : 
- Pour XP : C:\Documents and Settings\username\Local Settings\Application Data\ZHP
- Depuis Vista : C:\Users\username\AppData\Roaming\ZHP\ZHPFix [R1].txt)



@+

Jeremie32 · Answer

Bonjour!

Voici le rapport de ZHPFix:
https://pjjoint.malekal.com/files.php?id=20140315_k14n15w5s13y10

Merci !

Utilisateur anonyme · Answer

Bonjour

Tu mets de côté tes fichiers cryptés

on finalise

1)  Tu vides la quarantaine de Malwaresbytes

2) Télécharge DelFix de Xplode

Lance le.
Tu as 5 choix :

 Réactiver l'UAC
 Supprimer les outils de désinfection (cocher par défaut)
Effectuer une sauvegarde du registre
 Purger la restauration de système
Réinitialisation des paramètres usine

Tu coches ceux qui sont en gras 
et tu exécutes
Le rapport se trouve ici généralement
C:\DelFix.txt 



Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

@+

Jeremie32 · Answer

Rebonjour,

Voilà c'est fait. Le rapport est ici:
https://pjjoint.malekal.com/files.php?id=20140315_g12m14d12c11h7

Merci !

Utilisateur anonyme · Answer

Re

Je te propose donc de mettre ce sujet en résolu

reste à l'écoute pour le cas ou une solution serait trouvée pour décrypter tes fichiers

@+

Jeremie32 · Answer

D'accord. Encore un gros merci pour le coup de main. Je vais lire attentivement les liens que tu m'as donné mais j'éprouve déjà des difficultés, par exemple j'ai créée un compte standard mais au démarrage de windows que je clique dessus il ne me laisse pas y entrer, il y a juste le compte admin qui fonctionne. Ca doit pas être compliqué alors je vais expérimenter un peu tout ca.

Passe une belle journée!

Jeremie32 · Answer

Bonjour Guillaume,

J'ai trouvé une façon de récupérer une partie de mes fichiers. C'est plutôt simple.
Clique droit sur le fichier, propriétés, onglet versions précédentes et je choisis en fonction des dates proposées de restaurer le fichier. Ca fonctionne aussi pour des répertoires complets.

J'ai réussi à récupérer ce qui se trouvait sur mon C:
Pour mon disque D: il semble que cette fonctionnalité ne soit pas activée car il n'y a aucune date antérieure de proposée pour les fichiers s'y trouvant.

Quoi qu'il en soit c'est un bon début. Tu vas pouvoir proposer cette solution si d'autres personnes on le même problème que moi.

Bonne journée!

Utilisateur anonyme · Answer

Bonsoir

on nettoie et finalise.

1)  Tu vides la quarantaine de Malwaresbytes

2) Télécharge DelFix de Xplode

Lance le.
Tu as 5 choix :

 Réactiver l'UAC
 Supprimer les outils de désinfection (cocher par défaut)
Effectuer une sauvegarde du registre
 Purger la restauration de système
Réinitialisation des paramètres usine

Tu coches ceux qui sont en gras 
et tu exécutes
Le rapport se trouve ici généralement
C:\DelFix.txt 



Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

 @+

Virus - Fichiers corrompus

25 réponses

Discussions similaires