Virus Cryptodefense qui infecte mon pc Fermé

Question

Bonjour a tous,

Je viens demander votre aide sur ce forum, depuis 2 jours j'ai le virus "cryptodéfense" qui infecte mon pc, en effet tous les fichiers documents, photos, vidéos sont cryptés et je ne peux les ouvrir. J'ai réussi provisoirement à ouvrir ma boite mail Microsoft Outlook grâce à un ami qui connait bien ce logiciel mais pour le reste je ne peux rien faire. Au démarrage de l'ordinateur, 2 pages internet s'ouvrent m'expliquant en anglais que tous mes fichiers sont cryptés par cryptodefense et que je dois suivre l'étape indiqué pour récuperer mes fichiers mais après quelques recherches sur Google ce virus demanderait par la suite de payer pour récuperer les fichiers.
J'ai effectuer un scan avec avira et malwarebytes qui m'aurait semble t-il supprimer le virus mais rien n'y fait aucun fichier ne s'ouvre et le meme message réapparait à chaque démarrage.

Est ce que quelqu'un connait ce virus et pourrait m'éclairer la dessus silvouplait?

Merci pour votre aide, bonne journée à tous.

Malekal_morte- · Answer

Salut,

Déjà on va vérifier que le PC n'est plus infecté.
Par contre, pour les documents, faut pas trop se faire d'illusion.

Commence par ça :

Scan Malwarebytes (temps : environ 40min de scan):
==================================================
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et copie/colle le rapport ici dans une nouvelle réponse. 
!!! Malwarebyte doit être à jour avant de faire le scan !!! 
Coche tout ce qui est détecté en faisant un clic droit sur la liste puis cocher tout
puis bouton supprimer sélection pour tout supprimer. 

si Malwarebytes demande de redémarrer le PC, redémarre le avant de passer à l'étape suivante.

kevkevsxm · Answer

Salut malekal morte, merci pour ton aide,

Je suis un habitué de malwarebytes et j'en suis a mon 10 ème scan depuis ce virus, je viens donc d'en refaire un à nouveau, la base de donnée était bien à jour, aucun virus détecté!

Malekal_morte- · Answer

ok :)


Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt 
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\*.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%windir%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT   
nslookup https://www.google.fr/?gws_rd=ssl /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

kevkevsxm · Answer

voici le lien:
https://pjjoint.malekal.com/files.php?id=OTL_20140409_e12g11n15p1414

Malekal_morte- · Answer

Relance OTL. 
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  

:OTL
 [2014/03/19 13:03:13 | 000,000,000 | ---D | C] -- C:\ProgramData\BrowserProtect  
 [2014/03/19 13:03:13 | 000,000,000 | ---D | C] -- C:\ProgramData\Browser Manager 
 [2014/03/19 13:03:13 | 000,000,000 | ---D | C] -- C:\ProgramData\BitGuard  
 [2014/03/19 12:08:32 | 000,000,000 | ---D | C] -- C:\Users\IASO FRANCE\AppData\Roaming\DataMgr  
 [2014/03/19 12:07:14 | 000,000,000 | ---D | C] -- C:\ProgramData\Wincert  
  CHR - plugin: Wajam (Enabled) = C:\Users\IASO FRANCE\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp\1.24_0\plugins/PriamNPAPI.dll  
  O2:[b]64bit:[/b] - BHO: (Plus-HD-3.5) - {11111111-1111-1111-1111-110311711180} - C:\Program Files (x86)\Plus-HD-3.5\Plus-HD-3.5-bho64.dll File not found  
 O4 - HKU\S-1-5-21-2147545568-2076479093-2906855599-1000..\Run: [DataMgr] C:\Users\IASO FRANCE\AppData\Roaming\DataMgr\DataMgr.exe (HTTO Group, Ltd.)  
O4 - Startup: C:\Users\IASO FRANCE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW_DECRYPT.HTML () 
O4 - Startup: C:\Users\IASO FRANCE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW_DECRYPT.TXT () 
O4 - Startup: C:\Users\IASO FRANCE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW_DECRYPT.URL () 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 


* poste le rapport ici 


Pour les solutions, essaye ce qui est proposé sur cette page : https://www.malekal.com/virus-securite/ransomwares/

(versions précédentes, CryptorBitV2.zip etc)

mais ne te fais pas trop d'illusion.

kevkevsxm · Answer

========== OTL ==========
C:\ProgramData\BrowserProtect folder moved successfully.
C:\ProgramData\Browser Manager folder moved successfully.
C:\ProgramData\BitGuard folder moved successfully.
C:\Users\IASO FRANCE\AppData\Roaming\DataMgr folder moved successfully.
C:\ProgramData\Wincert folder moved successfully.
File C:\Users\IASO FRANCE\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp\1.24_0\plugins/PriamNPAPI.dll not found.
Registry value HKEY_USERS\S-1-5-21-2147545568-2076479093-2906855599-1000\Software\Microsoft\Windows\CurrentVersion\Run\DataMgr deleted successfully.
File C:\Users\IASO FRANCE\AppData\Roaming\DataMgr\DataMgr.exe not found.
C:\Users\IASO FRANCE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW_DECRYPT.HTML moved successfully.
C:\Users\IASO FRANCE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW_DECRYPT.TXT moved successfully.
C:\Users\IASO FRANCE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW_DECRYPT.URL moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoActiveDesktopChanges deleted successfully.
 
OTL by OldTimer - Version 3.2.69.0 log created on 04092014_114211

kevkevsxm · Answer

Si je transfert mes fichiers cryptées sur un autre support, seront-ils toujours cryptés?
Si je formate le disque dur de mon ordi et que je re- transfert tous ces fichiers vont-ils se rouvrir?