Sujet Précédent Sujet Suivant

Virus Trojan.Crypt

Résolu/Fermé
Ambre - Modifié par STARGATE43 le 25/06/2015 à 00:44
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 27 juin 2015 à 17:10
Bonjour,

Depuis ce soir, après avoir cliqué sur une publicité intempestive sans le vouloir, mon ordinateur a été infecté par un virus de type trojan. D'après mes recherches le virus menace de crypter mes données et à chaque fois que mon antivirus le supprime, il réapparaît au démarrage! De plus, mon ordinateur est devenu lent et il fait beaucoup de bruit.


Voici une capture d'écran de l'historique de Norton Internet Security:
http://hpics.li/32a8c5c et http://hpics.li/905a3de


Mon antivirus n'a pas arrêté de detecté et de supprimer des virus de ce type à la chaîne depuis que ça a commencé, comme si il y en avait des nouveaux qui se rajoutaient à chaque fois. Peut-on supprimer ce virus ? Une restauration système peut-elle suffire à régler le problème ?

Merci!

5 réponses

Réponse 1 / 5
kinoxo Messages postés 16 Date d'inscription lundi 12 mai 2014 Statut Membre Dernière intervention 12 septembre 2015 1
25 juin 2015 à 05:42
Bonjour tu pourrais installer le logiciel Malwaresbytes qui est très efficaces dans ce type de problème ou installer l'antivirus avira et mettre les "config" requises!
Au revoir
1
Réponse 2 / 5
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
25 juin 2015 à 08:21
Salut,

Commence par un nettoyage adwcleaner : https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start=
Donne le rapport de nettoyage dans un nouveau message.

Puis

Suis le tutoriel FRST https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Cela va générer trois rapports FRST :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie comme expliqué, ces trois rapports sur le site pjjoint et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.

--
1
Ambre
25 juin 2015 à 19:04
Merci beaucoup pour ton aide!

Voici le rapport du nettoyage de adwcleaner:
http://pjjoint.malekal.com/files.php?id=20150625_f6q5r8c8u6

Je mets aussi le rapport de Malwaresbytes que j'avais lancé hier soir:
http://pjjoint.malekal.com/files.php?id=20150625_15r10t9c14g11

Et voici les rapports de FRST:

http://pjjoint.malekal.com/files.php?id=20150625_h7c11o12j8k8

http://pjjoint.malekal.com/files.php?id=FRST_20150625_d5s8g5m11n15

http://pjjoint.malekal.com/files.php?id=20150625_z13h11y9p15d6
0
Réponse 3 / 5
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
25 juin 2015 à 19:24
C'est Cryptowall.


Tu as été infecté par un Ransomware chiffreurs de fichiers.

Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.

Il n'y a pas vraiment de solution pour récupérer les documents.


~~

Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

2015-06-24 20:22 - 2015-06-24 20:22 - 00009074 _____ C:\Users\SunFlower\AppData\Roaming\HELP_DECRYPT.HTML
2015-06-24 20:22 - 2015-06-24 20:22 - 00009074 _____ C:\Users\SunFlower\AppData\HELP_DECRYPT.HTML
2015-06-24 20:22 - 2015-06-24 20:22 - 00004728 _____ C:\Users\SunFlower\AppData\Roaming\HELP_DECRYPT.TXT
2015-06-24 20:22 - 2015-06-24 20:22 - 00004728 _____ C:\Users\SunFlower\AppData\HELP_DECRYPT.TXT
2015-06-24 20:22 - 2015-06-24 20:22 - 00000284 _____ C:\Users\SunFlower\AppData\Roaming\HELP_DECRYPT.URL
2015-06-24 20:22 - 2015-06-24 20:22 - 00000284 _____ C:\Users\SunFlower\AppData\HELP_DECRYPT.URL
2015-06-24 20:19 - 2015-06-24 20:19 - 00009074 _____ C:\Users\SunFlower\AppData\Local\HELP_DECRYPT.HTML
2015-06-24 20:19 - 2015-06-24 20:19 - 00004728 _____ C:\Users\SunFlower\AppData\Local\HELP_DECRYPT.TXT
2015-06-24 20:19 - 2015-06-24 20:19 - 00000284 _____ C:\Users\SunFlower\AppData\Local\HELP_DECRYPT.URL
2015-06-24 20:17 - 2015-06-24 20:17 - 00009074 _____ C:\ProgramData\HELP_DECRYPT.HTML
2015-06-24 20:17 - 2015-06-24 20:17 - 00004728 _____ C:\ProgramData\HELP_DECRYPT.TXT
2015-06-24 20:17 - 2015-06-24 20:17 - 00000284 _____ C:\ProgramData\HELP_DECRYPT.URL
2015-06-03 21:54 - 2015-06-03 21:55 - 00000000 ____D C:\ProgramData\E1864A66-75E3-486a-BD95-D1B7D99A84A7


Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.

Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST qui doit se trouver sur le bureau et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur

Fais une recherche de fichier sur HELP_DECRYPT
Supprime tout.
1
Ambre
Modifié par Ambre le 25/06/2015 à 23:02
Je lancerai la correction demain et je posterai le résultat ici. Mais en attendant,es-ce que je peux continuer à utiliser mon ordinateur normalement ? Es-ce dangereux d'effectuer des achats en ligne ? Et le cryptage des fichiers, est il valable pour tous les documents que je mettrai sur l'ordinateur à l'avenir ou bien juste pour ceux qui sont dejà présents ?

Pour l'instant je n'ai remarqué aucun changement de documents sur mon ordinateur, je crois que je peux encore accéder à tous mes documents mais je vais les sauvegarder au cas où.

Merci!
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
25 juin 2015 à 23:14
A priori, l'ordinateur n'est plus infecté.
Change tes mots de passe au cas où.
0
Ambre > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
25 juin 2015 à 23:26
Finalement j'ai lancé la correction ce soir, voilà le rapport:

Fix result of Farbar Recovery Scan Tool (x64) Version:24-06-2015
Ran by SunFlower at 2015-06-25 23:18:45 Run:1
Running from C:\Users\SunFlower\Desktop
Loaded Profiles: SunFlower (Available Profiles: SunFlower)
Boot Mode: Normal
==============================================

fixlist content:

2015-06-24 20:22 - 2015-06-24 20:22 - 00009074 _____ C:\Users\SunFlower\AppData\Roaming\HELP_DECRYPT.HTML
2015-06-24 20:22 - 2015-06-24 20:22 - 00009074 _____ C:\Users\SunFlower\AppData\HELP_DECRYPT.HTML
2015-06-24 20:22 - 2015-06-24 20:22 - 00004728 _____ C:\Users\SunFlower\AppData\Roaming\HELP_DECRYPT.TXT
2015-06-24 20:22 - 2015-06-24 20:22 - 00004728 _____ C:\Users\SunFlower\AppData\HELP_DECRYPT.TXT
2015-06-24 20:22 - 2015-06-24 20:22 - 00000284 _____ C:\Users\SunFlower\AppData\Roaming\HELP_DECRYPT.URL
2015-06-24 20:22 - 2015-06-24 20:22 - 00000284 _____ C:\Users\SunFlower\AppData\HELP_DECRYPT.URL
2015-06-24 20:19 - 2015-06-24 20:19 - 00009074 _____ C:\Users\SunFlower\AppData\Local\HELP_DECRYPT.HTML
2015-06-24 20:19 - 2015-06-24 20:19 - 00004728 _____ C:\Users\SunFlower\AppData\Local\HELP_DECRYPT.TXT
2015-06-24 20:19 - 2015-06-24 20:19 - 00000284 _____ C:\Users\SunFlower\AppData\Local\HELP_DECRYPT.URL
2015-06-24 20:17 - 2015-06-24 20:17 - 00009074 _____ C:\ProgramData\HELP_DECRYPT.HTML
2015-06-24 20:17 - 2015-06-24 20:17 - 00004728 _____ C:\ProgramData\HELP_DECRYPT.TXT
2015-06-24 20:17 - 2015-06-24 20:17 - 00000284 _____ C:\ProgramData\HELP_DECRYPT.URL
2015-06-03 21:54 - 2015-06-03 21:55 - 00000000 ____D C:\ProgramData\E1864A66-75E3-486a-BD95-D1B7D99A84A7


C:\Users\SunFlower\AppData\Roaming\HELP_DECRYPT.HTML => moved successfully.
C:\Users\SunFlower\AppData\HELP_DECRYPT.HTML => moved successfully.
C:\Users\SunFlower\AppData\Roaming\HELP_DECRYPT.TXT => moved successfully.
C:\Users\SunFlower\AppData\HELP_DECRYPT.TXT => moved successfully.
C:\Users\SunFlower\AppData\Roaming\HELP_DECRYPT.URL => moved successfully.
C:\Users\SunFlower\AppData\HELP_DECRYPT.URL => moved successfully.
C:\Users\SunFlower\AppData\Local\HELP_DECRYPT.HTML => moved successfully.
C:\Users\SunFlower\AppData\Local\HELP_DECRYPT.TXT => moved successfully.
C:\Users\SunFlower\AppData\Local\HELP_DECRYPT.URL => moved successfully.
C:\ProgramData\HELP_DECRYPT.HTML => moved successfully.
C:\ProgramData\HELP_DECRYPT.TXT => moved successfully.
C:\ProgramData\HELP_DECRYPT.URL => moved successfully.
C:\ProgramData\E1864A66-75E3-486a-BD95-D1B7D99A84A7 => moved successfully.

End of Fixlog 23:18:45

0
Ambre
25 juin 2015 à 23:27
Par contre je ne comprends pas comment faire une recherche de fichier HELP_DECRYPT?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
26 juin 2015 à 11:06
regarde cette astuce : https://www.commentcamarche.net/faq/10217-windows-vista-et-superieurs-recherche-de-fichiers
0
Réponse 4 / 5
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
27 juin 2015 à 17:10
de rien =)

je pense que l'on a terminé,


Pour sécuriser ton ordinateur : http://forum.malekal.com/comment-securiser-son-ordinateur.html

1

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 5
Ambre
26 juin 2015 à 19:25
Bonjour,

J'ai lancé une recherche help decrypt et j'ai trouvé des fichiers du virus me disant que mes fichiers ont été cryptés. Si je les supprime, cela suffira t'il ?

Merci!
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
26 juin 2015 à 22:48
oui =)
0
Ambre > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
27 juin 2015 à 15:55
Merci beaucoup pour ton aide!
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
problême Opéra est ce un virus??
sand2504 -
sand2504 -

85 réponses
Virus MSN Tinyurl
djkifkif -
matt56430 -

8 réponses