Sujet Précédent Sujet Suivant

Cryptowall ... pitite , aidez moi

Résolu/Fermé
Denver - 16 mars 2015 à 07:46
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 18 mars 2015 à 18:28
Bonjour / Bonsoir a toi ,

Hier soir , j ai eu Cryptowall qui s est incrusté dans mon ordinateur , un Windows 7 .
J ai testé ADWCLEANER et MALWAREBYTE , mais rien n y fait :'(

Comment supprimer ce truc de m...e ?

Merci d avance ,

Denver



9 réponses

Réponse 1 / 9
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
16 mars 2015 à 08:03
Salut,

Tu as été infecté par un Ransomware chiffreurs de fichiers.

Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.

Il n'y a pas vraiment de solution pour récupérer les documents, néanmoins, tente un logiciel de récupération de fichiers comme PhotoRec - Tutorial PhotoRec.

- Il ne reste pas résident, donc normalement pas besoin de désinfecter l'ordinateur.
- Par sécurité change tous tes mots de passe.
- Eventuellement faire un nettoyage Malwarebytes

Si tu veux vérifier l'ordinateur :

Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.

0
Réponse 2 / 9
Denver
16 mars 2015 à 08:10
http://pjjoint.malekal.com/files.php?id=20150316_s11j12r9e12i11

http://pjjoint.malekal.com/files.php?id=20150316_j12g9i13g10n7

http://pjjoint.malekal.com/files.php?id=20150316_w12z14z14u5k12

Dsl , je ne sais plus mettre en raccourci direct :s
0
Réponse 3 / 9
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 16/03/2015 à 08:20
Infecté par Win32/Boaxxe

Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

C:\Users\Denver\AppData\Local\IRTsoft
C:\Users\Denver\AppData\Local\YbPack
HKU\S-1-5-21-1181311114-696015695-1509313617-1000\...\Run: [IRTsoft] => regsvr32.exe C:\Users\Denver\AppData\Local\IRTsoft\New.dll <===== ATTENTION
HKU\S-1-5-21-1181311114-696015695-1509313617-1000\...\Run: [Edktion] => C:\Windows\System32\regsvr32.exe C:\Users\Denver\AppData\Local\YbPack\wqwveb.dll
CHR HKLM\...\Chrome\Extension: [gfkbfjcbkhnmiignagpkiijohkcdkffb] - https://clients2.google.com/service/update2/crx
2015-03-15 17:56 - 2015-03-15 17:56 - 00009166 _____ () C:\Users\Denver\Downloads\HELP_DECRYPT.HTML
2015-03-15 17:56 - 2015-03-15 17:56 - 00004774 _____ () C:\Users\Denver\Downloads\HELP_DECRYPT.TXT
2015-03-15 17:56 - 2015-03-15 17:56 - 00000304 _____ () C:\Users\Denver\Downloads\HELP_DECRYPT.URL
2015-03-15 15:33 - 2015-03-15 15:33 - 00009166 _____ () C:\Users\Denver\Documents\HELP_DECRYPT.HTML
2015-03-15 15:33 - 2015-03-15 15:33 - 00004774 _____ () C:\Users\Denver\Documents\HELP_DECRYPT.TXT
2015-03-15 15:33 - 2015-03-15 15:33 - 00000304 _____ () C:\Users\Denver\Documents\HELP_DECRYPT.URL
2015-03-15 13:30 - 2015-03-15 13:30 - 00009166 _____ () C:\Users\Denver\AppData\Roaming\HELP_DECRYPT.HTML
2015-03-15 13:30 - 2015-03-15 13:30 - 00009166 _____ () C:\Users\Denver\AppData\HELP_DECRYPT.HTML
2015-03-15 13:30 - 2015-03-15 13:30 - 00004774 _____ () C:\Users\Denver\AppData\Roaming\HELP_DECRYPT.TXT
2015-03-15 13:30 - 2015-03-15 13:30 - 00004774 _____ () C:\Users\Denver\AppData\HELP_DECRYPT.TXT
2015-03-15 13:30 - 2015-03-15 13:30 - 00000304 _____ () C:\Users\Denver\AppData\Roaming\HELP_DECRYPT.URL
2015-03-15 13:30 - 2015-03-15 13:30 - 00000304 _____ () C:\Users\Denver\AppData\HELP_DECRYPT.URL
2015-03-15 13:08 - 2015-03-15 13:08 - 00009166 _____ () C:\Users\Denver\AppData\Local\HELP_DECRYPT.HTML
2015-03-15 13:08 - 2015-03-15 13:08 - 00004774 _____ () C:\Users\Denver\AppData\Local\HELP_DECRYPT.TXT
2015-03-15 13:08 - 2015-03-15 13:08 - 00000304 _____ () C:\Users\Denver\AppData\Local\HELP_DECRYPT.URL
2015-03-15 12:31 - 2015-03-15 12:31 - 00009166 _____ () C:\ProgramData\HELP_DECRYPT.HTML
2015-03-15 12:31 - 2015-03-15 12:31 - 00004774 _____ () C:\ProgramData\HELP_DECRYPT.TXT
2015-03-15 12:31 - 2015-03-15 12:31 - 00000304 _____ () C:\ProgramData\HELP_DECRYPT.URL
2015-03-05 21:09 - 2015-03-16 07:24 - 00000000 ____D () C:\Program Files\BestPricesApp
2015-03-05 21:09 - 2015-03-05 21:09 - 00000000 ____D () C:\ProgramData\jpjdkadlhapbpihoppccnpkelbenafln
2015-03-05 21:08 - 2015-03-05 21:19 - 00000000 ____D () C:\ProgramData\{67b96a25-a0d7-5671-67b9-96a25a0da896}
2015-03-16 07:24 - 2014-12-22 03:24 - 00000000 ____D () C:\Users\Denver\AppData\Roaming\xCHyeTl
2015-03-16 07:24 - 2014-12-22 03:24 - 00000000 ____D () C:\Users\Denver\AppData\Roaming\nf24yBM
2015-03-16 07:24 - 2014-11-22 05:17 - 00000000 ____D () C:\Users\Denver\AppData\Roaming\zJThsEY
2013-09-03 20:49 - 2013-09-03 20:49 - 0000000 _____ () C:\ProgramData\2c2c3d222a2054382a_c


Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur


Fais un scan en ligne NOD32 : https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32
Enregistre le rapport et donne le ici.


Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
Réponse 4 / 9
Denver
16 mars 2015 à 08:52
je ne comprends pas , le site a changé
0
Denver
16 mars 2015 à 08:54
c est bon , c es entrain d analyser
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 9
Denver
16 mars 2015 à 09:04
Je viens de voir qu il ne s est rien passé pour mes DDE connectés :s
0
Denver
16 mars 2015 à 09:39
Il faut tout recommencer ... ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
16 mars 2015 à 09:41
Comment ça ?
Fais l'analyse NOD32 et donne le rapport.
0
Denver
Modifié par Denver le 16/03/2015 à 09:55
J ai ajouté un disque dur dans mon ordi , un j ai un autre qui est resté sur l USB
Dans les rapport , en cherchant , j ai vu ' non actif ' pour tout ces DDEs
La , il est entrain , c est EXTRÊMEMENT long , et il a déjà trouvé 44 infections oO
0
Denver
16 mars 2015 à 14:54
Ça fait 2h que c est a 99% , c est énervant et 885 infections ... mdr
Logique ... une à chaque un de mes dossiers
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
16 mars 2015 à 16:13
toujours bloqué ?
0
Réponse 6 / 9
Denver
16 mars 2015 à 20:44
http://pjjoint.malekal.com/files.php?id=20150316_i5c7d15p11w6

Je n ai mis que C: qui est actif , mais sur le meme DD , j ai D: en non actif ( apparemment )
et sur quasi tout mes disques et dossiers , j ai les fichers HELP_(Machin ^^)
0
Denver
16 mars 2015 à 20:48
Sinon , en tout , ca fait 880 et quelques infections , tout DDEs reunis
0
Réponse 7 / 9
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 16/03/2015 à 21:11
Je pense qu'on est au bout.
Pour les documents, c'est mort.

Change tous tes mots de passe.

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html


Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
Réponse 8 / 9
Denver
17 mars 2015 à 06:04
En es tu sure ? Car je n en ai pas vraiment l impression ...
0
Denver
17 mars 2015 à 06:39
Il n y a vraiment aucun moyen de récupère ?
Car la , c est quasi tout l ordi que je perds :'(
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
17 mars 2015 à 10:57
oui c'est sûr. Il n'y a pas de solution.
0
Réponse 9 / 9
Denver
17 mars 2015 à 08:20
Ça me gave ... Mnt , j ai des pbs avec Werfault.exe
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
17 mars 2015 à 12:50
essaye une restauration du système : https://www.malekal.com/restauration-systeme-windows/
0
Denver
17 mars 2015 à 16:27
J'y ai pensé , mais j ai un pb avec ma restauration , alors soit je formate , soit je fait un point de restauration Acer ...
J hésite ^^
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 17/03/2015 à 16:29
En gros plus rien ne fonctionne ?
Sur le rapport NOD32 que tu as fourni y a plus de malwares.
Peut-être que le scan a fait planté un truc mais je vois pas trop comment c'est possible.
NOD32 Scan est dans la liste des programmes? Désinstalle le.

Tu as plus d'infos sur les erreurs programmes ?
voir l'observateur d'évènements : https://forum.malekal.com/viewtopic.php?t=12376&start=

ou fourni un nouveau Additionnal.txt
0
Denver
17 mars 2015 à 17:26
J ai du mal à comprendre ..
J ai encore stoppé le scan quasi à la fin , et mnt , et mode normal , tout à l air d aller sauf RegSvr32 ( introuvable , un truc du genre ) . Je relancerait le scan , cette nuit , en espérant qu il soit à 100% et RegSvr32 redevienne normal ...

Il n y vraiment aucun moyen de retrouver les fichiers ?
FFactory ne fonctionne pas ^^
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
17 mars 2015 à 17:30
Non pour les fichiers.

sauf RegSvr32 ( introuvable , un truc du genre )

Au démarrage de l'ordinateur, tu as une erreur regsrv32 avec une dll mentionnée ?
un des deux ?
C:\Users\Denver\AppData\Local\IRTsoft\New.dll
C:\Users\Denver\AppData\Local\YbPack\wqwveb.dll
0

Discussions similaires

infecté par CryptoWall
isma'il -
Malekal_morte- -

15 réponses