Cryptowall ... pitite , aidez moi

Résolu
Denver -  
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour / Bonsoir a toi ,

Hier soir , j ai eu Cryptowall qui s est incrusté dans mon ordinateur , un Windows 7 .
J ai testé ADWCLEANER et MALWAREBYTE , mais rien n y fait :'(

Comment supprimer ce truc de m...e ?

Merci d avance ,

Denver



9 réponses

Réponse 1 / 9
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Salut,

Tu as été infecté par un Ransomware chiffreurs de fichiers.

Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.

Il n'y a pas vraiment de solution pour récupérer les documents, néanmoins, tente un logiciel de récupération de fichiers comme PhotoRec - Tutorial PhotoRec.

- Il ne reste pas résident, donc normalement pas besoin de désinfecter l'ordinateur.
- Par sécurité change tous tes mots de passe.
- Eventuellement faire un nettoyage Malwarebytes

Si tu veux vérifier l'ordinateur :

Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.

0
Réponse 2 / 9
Denver
 
http://pjjoint.malekal.com/files.php?id=20150316_s11j12r9e12i11

http://pjjoint.malekal.com/files.php?id=20150316_j12g9i13g10n7

http://pjjoint.malekal.com/files.php?id=20150316_w12z14z14u5k12

Dsl , je ne sais plus mettre en raccourci direct :s
0
Réponse 3 / 9
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Infecté par Win32/Boaxxe

Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

C:\Users\Denver\AppData\Local\IRTsoft
C:\Users\Denver\AppData\Local\YbPack
HKU\S-1-5-21-1181311114-696015695-1509313617-1000\...\Run: [IRTsoft] => regsvr32.exe C:\Users\Denver\AppData\Local\IRTsoft\New.dll <===== ATTENTION
HKU\S-1-5-21-1181311114-696015695-1509313617-1000\...\Run: [Edktion] => C:\Windows\System32\regsvr32.exe C:\Users\Denver\AppData\Local\YbPack\wqwveb.dll
CHR HKLM\...\Chrome\Extension: [gfkbfjcbkhnmiignagpkiijohkcdkffb] - https://clients2.google.com/service/update2/crx
2015-03-15 17:56 - 2015-03-15 17:56 - 00009166 _____ () C:\Users\Denver\Downloads\HELP_DECRYPT.HTML
2015-03-15 17:56 - 2015-03-15 17:56 - 00004774 _____ () C:\Users\Denver\Downloads\HELP_DECRYPT.TXT
2015-03-15 17:56 - 2015-03-15 17:56 - 00000304 _____ () C:\Users\Denver\Downloads\HELP_DECRYPT.URL
2015-03-15 15:33 - 2015-03-15 15:33 - 00009166 _____ () C:\Users\Denver\Documents\HELP_DECRYPT.HTML
2015-03-15 15:33 - 2015-03-15 15:33 - 00004774 _____ () C:\Users\Denver\Documents\HELP_DECRYPT.TXT
2015-03-15 15:33 - 2015-03-15 15:33 - 00000304 _____ () C:\Users\Denver\Documents\HELP_DECRYPT.URL
2015-03-15 13:30 - 2015-03-15 13:30 - 00009166 _____ () C:\Users\Denver\AppData\Roaming\HELP_DECRYPT.HTML
2015-03-15 13:30 - 2015-03-15 13:30 - 00009166 _____ () C:\Users\Denver\AppData\HELP_DECRYPT.HTML
2015-03-15 13:30 - 2015-03-15 13:30 - 00004774 _____ () C:\Users\Denver\AppData\Roaming\HELP_DECRYPT.TXT
2015-03-15 13:30 - 2015-03-15 13:30 - 00004774 _____ () C:\Users\Denver\AppData\HELP_DECRYPT.TXT
2015-03-15 13:30 - 2015-03-15 13:30 - 00000304 _____ () C:\Users\Denver\AppData\Roaming\HELP_DECRYPT.URL
2015-03-15 13:30 - 2015-03-15 13:30 - 00000304 _____ () C:\Users\Denver\AppData\HELP_DECRYPT.URL
2015-03-15 13:08 - 2015-03-15 13:08 - 00009166 _____ () C:\Users\Denver\AppData\Local\HELP_DECRYPT.HTML
2015-03-15 13:08 - 2015-03-15 13:08 - 00004774 _____ () C:\Users\Denver\AppData\Local\HELP_DECRYPT.TXT
2015-03-15 13:08 - 2015-03-15 13:08 - 00000304 _____ () C:\Users\Denver\AppData\Local\HELP_DECRYPT.URL
2015-03-15 12:31 - 2015-03-15 12:31 - 00009166 _____ () C:\ProgramData\HELP_DECRYPT.HTML
2015-03-15 12:31 - 2015-03-15 12:31 - 00004774 _____ () C:\ProgramData\HELP_DECRYPT.TXT
2015-03-15 12:31 - 2015-03-15 12:31 - 00000304 _____ () C:\ProgramData\HELP_DECRYPT.URL
2015-03-05 21:09 - 2015-03-16 07:24 - 00000000 ____D () C:\Program Files\BestPricesApp
2015-03-05 21:09 - 2015-03-05 21:09 - 00000000 ____D () C:\ProgramData\jpjdkadlhapbpihoppccnpkelbenafln
2015-03-05 21:08 - 2015-03-05 21:19 - 00000000 ____D () C:\ProgramData\{67b96a25-a0d7-5671-67b9-96a25a0da896}
2015-03-16 07:24 - 2014-12-22 03:24 - 00000000 ____D () C:\Users\Denver\AppData\Roaming\xCHyeTl
2015-03-16 07:24 - 2014-12-22 03:24 - 00000000 ____D () C:\Users\Denver\AppData\Roaming\nf24yBM
2015-03-16 07:24 - 2014-11-22 05:17 - 00000000 ____D () C:\Users\Denver\AppData\Roaming\zJThsEY
2013-09-03 20:49 - 2013-09-03 20:49 - 0000000 _____ () C:\ProgramData\2c2c3d222a2054382a_c


Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur


Fais un scan en ligne NOD32 : https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32
Enregistre le rapport et donne le ici.


Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
Réponse 4 / 9
Denver
 
je ne comprends pas , le site a changé
0
Denver
 
c est bon , c es entrain d analyser
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 9
Denver
 
Je viens de voir qu il ne s est rien passé pour mes DDE connectés :s
0
Denver
 
Il faut tout recommencer ... ?
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Comment ça ?
Fais l'analyse NOD32 et donne le rapport.
0
Denver
 
J ai ajouté un disque dur dans mon ordi , un j ai un autre qui est resté sur l USB
Dans les rapport , en cherchant , j ai vu ' non actif ' pour tout ces DDEs
La , il est entrain , c est EXTRÊMEMENT long , et il a déjà trouvé 44 infections oO
0
Denver
 
Ça fait 2h que c est a 99% , c est énervant et 885 infections ... mdr
Logique ... une à chaque un de mes dossiers
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
toujours bloqué ?
0
Réponse 6 / 9
Denver
 
http://pjjoint.malekal.com/files.php?id=20150316_i5c7d15p11w6

Je n ai mis que C: qui est actif , mais sur le meme DD , j ai D: en non actif ( apparemment )
et sur quasi tout mes disques et dossiers , j ai les fichers HELP_(Machin ^^)
0
Denver
 
Sinon , en tout , ca fait 880 et quelques infections , tout DDEs reunis
0
Réponse 7 / 9
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Je pense qu'on est au bout.
Pour les documents, c'est mort.

Change tous tes mots de passe.

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html


Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
Réponse 8 / 9
Denver
 
En es tu sure ? Car je n en ai pas vraiment l impression ...
0
Denver
 
Il n y a vraiment aucun moyen de récupère ?
Car la , c est quasi tout l ordi que je perds :'(
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
oui c'est sûr. Il n'y a pas de solution.
0
Réponse 9 / 9
Denver
 
Ça me gave ... Mnt , j ai des pbs avec Werfault.exe
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
essaye une restauration du système : https://www.malekal.com/restauration-systeme-windows/
0
Denver
 
J'y ai pensé , mais j ai un pb avec ma restauration , alors soit je formate , soit je fait un point de restauration Acer ...
J hésite ^^
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
En gros plus rien ne fonctionne ?
Sur le rapport NOD32 que tu as fourni y a plus de malwares.
Peut-être que le scan a fait planté un truc mais je vois pas trop comment c'est possible.
NOD32 Scan est dans la liste des programmes? Désinstalle le.

Tu as plus d'infos sur les erreurs programmes ?
voir l'observateur d'évènements : https://forum.malekal.com/viewtopic.php?t=12376&start=

ou fourni un nouveau Additionnal.txt
0
Denver
 
J ai du mal à comprendre ..
J ai encore stoppé le scan quasi à la fin , et mnt , et mode normal , tout à l air d aller sauf RegSvr32 ( introuvable , un truc du genre ) . Je relancerait le scan , cette nuit , en espérant qu il soit à 100% et RegSvr32 redevienne normal ...

Il n y vraiment aucun moyen de retrouver les fichiers ?
FFactory ne fonctionne pas ^^
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Non pour les fichiers.

sauf RegSvr32 ( introuvable , un truc du genre )

Au démarrage de l'ordinateur, tu as une erreur regsrv32 avec une dll mentionnée ?
un des deux ?
C:\Users\Denver\AppData\Local\IRTsoft\New.dll
C:\Users\Denver\AppData\Local\YbPack\wqwveb.dll
0