Comment récupérer ses données aprés un ransomware (.vvv) [Résolu/Fermé]

Question

Comment récupérer ses données aprés un ransomware (.vvv) [Résolu/Fermé]

Signaler

Rackunk - Modifié par Rackunk le 6/12/2015 à 13:08
Micking - 18 nov. 2016 à 11:57

Bonjour,

J'ai été infecté par un virus type Ransomware (How Recover+vaa)

Voici leur "Demande de rançon" :

++++++==============================================================================================================+++++++======

NOT YOUR LANGUAGE? USE https://translate.google.com

What happened to your files ?
All of your files were protected by a strong encryption with RSA-2048.
More information about the encryption keys using RSA-2048 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

What does this mean ?
This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them,
it is the same thing as losing them forever, but with our help, you can restore them.

How did this happen ?
Specially for your PC was generated personal RSA2048 KEY, both public and private.
All your files were encrypted with the public key, which has been transferred to your computer via the Internet.
++++++==============================================================================================================+++++++======
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.

What do I do ?
So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BTC NOW, and restore your data easy way.
If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.

For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1. http://alcov44uvcwkrend.paybtc798.com/F3D9E6C0AFFDCBF3
2. http://alcov44uvcwkrend.btcpay435.com/F3D9E6C0AFFDCBF3
3. https://alcov44uvcwkrend.onion.to/F3D9E6C0AFFDCBF3

If for some reasons the addresses are not available, follow these steps:
1. Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: alcov44uvcwkrend.onion/F3D9E6C0AFFDCBF3
4. Follow the instructions on the site.

IMPORTANT INFORMATION:
Your personal pages:
http://alcov44uvcwkrend.paybtc798.com/F3D9E6C0AFFDCBF3
http://alcov44uvcwkrend.btcpay435.com/F3D9E6C0AFFDCBF3
https://alcov44uvcwkrend.onion.to/F3D9E6C0AFFDCBF3
Your personal page (using TOR-Browser): alcov44uvcwkrend.onion/F3D9E6C0AFFDCBF3
Your personal identification number (if you open the site (or TOR-Browser's) directly): F3D9E6C0AFFDCBF3
++++++==============================================================================================================+++++++======

Je pense être venu à bout du virus grâce à Malwarebyte.

Le problème est que certains de mes fichiers ont été cryptés (En .vvv)

Les seuls fichiers que je veux vraiment récupérer sont mes photos de voyage, principalement pour le derniers dont je rentre juste et où je n'ai pas fait de sauvegarde.

Voilà ce que j'ai déjà essayé de faire :

- Sauvegarde Windows : Toutes effacées par le ransomware.
- Utilisation de Recuva : Sans succès
- Utilisation de Rectordecryptor : Il me trouve les fichiers cryptés mais n'arrive pas à les décrypter.
- Utilisation de XoristDecryptor et Rakhnidecryptor : Ne trouve aucun fichiers cryptés.
- Utilisation de ShadowExploreur : Ne trouve aucunes sauvegardes

Il est inconcevable, pour moi de "Payer" la rançon, afin de ne pas rentrer dans leur jeux.

Vous avez d'autres pistes pour essayer de décrypter ces données ?

J'ai des copies de certaines photo sur clef usb, j'ai lu quelques part que ça pouvait aider d'avoir le fichier en crypter et en source afin d’éventuellement trouver la clef ?

Merci d'avance pour votre aide.

Cordialement,
LVR.

Afficher la suite

A voir également:

Comment récupérer ses données aprés un ransomware (.vvv)
Comment récupérer ses données aprés un ransomware (.vvv) ✓ - Forum - Virus / Sécurité
Comment retrouver les données après ransomware (.vvv) ✓ - Forum - Virus / Sécurité
Récupérer des données sur un ordinateur distant - Forum - Réseau
Récupération de données disque dur endommagé ✓ - Forum - Matériel informatique
Récupération de données disque dur - Conseils pratiques - Sauvegarde

13 réponses

Réponse 2 / 13

Malekal_morte-

Messages postés: 180268
Date d'inscription: mercredi 17 mai 2006
Statut: Modérateur, Contributeur sécurité
Dernière intervention: 15 décembre 2020

23 046
Modifié par Malekal_morte- le 6/12/2015 à 14:25

La récupération des documents est impossible, voir mon message précédent.

Je te conseille de désinstaller Spybot, pas super efficace, selon moi.
Voir ce sujet : Adwares : Antispyware comment ne pas désinfecter son PC

Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+vaa.html [2015-12-04] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+vaa.txt [2015-12-04] ()
Startup: C:\Users\Lo'\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+vaa.html [2015-12-04] ()
Startup: C:\Users\Lo'\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+vaa.txt [2015-12-04] ()
Startup: C:\Users\Lo'\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Lanceur.lnk [2015-12-06]
Task: C:\Windows\Tasks\NutritionCount.job => c:\programdata\{abe0a28c-164a-bd10-abe0-0a28c1648a30}\sevensetup.exe <==== ATTENTION
c:\programdata\{abe0a28c-164a-bd10-abe0-0a28c1648a30}

Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur

Fais une recherche de fichiers sur how_recover et supprime tous les fichiers how_recover trouvé.

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

Signaler

Rackunk
6 déc. 2015 à 14:41

Merci encore pour votre réponse.

Voilà le fixlog :

Fix result of Farbar Recovery Scan Tool (x64) Version:05-12-2015
Ran by Lo' (2015-12-06 14:40:46) Run:1
Running from C:\Users\Lo'\Downloads
Loaded Profiles: Lo' & (Available Profiles: Lo')
Boot Mode: Normal
==============================================

fixlist content:

Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+vaa.html [2015-12-04] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+vaa.txt [2015-12-04] ()
Startup: C:\Users\Lo'\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+vaa.html [2015-12-04] ()
Startup: C:\Users\Lo'\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+vaa.txt [2015-12-04] ()
Startup: C:\Users\Lo'\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Lanceur.lnk [2015-12-06]
Task: C:\Windows\Tasks\NutritionCount.job => c:\programdata\{abe0a28c-164a-bd10-abe0-0a28c1648a30}\sevensetup.exe <==== ATTENTION
c:\programdata\{abe0a28c-164a-bd10-abe0-0a28c1648a30}

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+vaa.html => moved successfully
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+vaa.txt => moved successfully
C:\Users\Lo'\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+vaa.html => moved successfully
C:\Users\Lo'\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+vaa.txt => moved successfully
C:\Users\Lo'\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Lanceur.lnk => moved successfully
C:\Windows\Tasks\NutritionCount.job => moved successfully
"c:\programdata\{abe0a28c-164a-bd10-abe0-0a28c1648a30}" => not found.

End of Fixlog 14:40:46

Signaler

wilgaia

Messages postés: 2
Date d'inscription: jeudi 24 décembre 2015
Statut: Membre
Dernière intervention: 24 décembre 2015

> Rackunk
24 déc. 2015 à 00:29

bonjour
tu peux recuperer tes fichiers. Y a un moyen, je viens de le faire ...

Réponse 3 / 13

Rackunk
6 déc. 2015 à 17:43

Je pense à une autre possibilité, j'ai déplacé les fichiers de mes cartes SD d'appareil photo sans réécrire dessus, vous pensez que je peux les récupérer de cette manière ? Ils n'ont pas été exposé au virus. Je préfère donc attendre d'être sur que tout soit clean avant d'essayer.

Réponse 4 / 13

Malekal_morte-

Messages postés: 180268
Date d'inscription: mercredi 17 mai 2006
Statut: Modérateur, Contributeur sécurité
Dernière intervention: 15 décembre 2020

23 046
6 déc. 2015 à 18:22

oui tu peux.

Signaler

Rackunk
6 déc. 2015 à 18:25

Merci pour l'info,

Tout est réglé au vu de mon fixlog ?

Merci encore pour tout, j'y vois déjà plus clair grâce à ton siteweb !

Signaler

Malekal_morte-

Messages postés: 180268
Date d'inscription: mercredi 17 mai 2006
Statut: Modérateur, Contributeur sécurité
Dernière intervention: 15 décembre 2020

23 046 > Rackunk
6 déc. 2015 à 19:01

de rien :)

Attention aux mails.

Signaler

nonette > Malekal_morte-

Messages postés: 180268
Date d'inscription: mercredi 17 mai 2006
Statut: Modérateur, Contributeur sécurité
Dernière intervention: 15 décembre 2020

22 août 2016 à 11:26

Bonjour,

J'ai suivi ta méthode et j'ai deux liens :
FRST :http://pjjoint.malekal.com/files.php?id=FRST_20160822_v10q9c5n15r13
Addition : http://pjjoint.malekal.com/files.php?id=20160822_w15n7r14r8x13

Est-ce que tu peux m'aider?

Merci

Réponse 5 / 13

Rackunk
11 déc. 2015 à 12:18

Pour info, en esperant que ça puisse en aider d'autres, j'ai pu récupérer toutes mes photos supprimées sur des clef usb/cartes sd de mes appareils photos avec le logiciel RECUVA (Complètement gratuit). Ca prend pas mal de temps par contre, et essayez d'écrire sur un autre lecteur que celui où vous voulez récupérer des infos.

Signaler

Max59
22 déc. 2015 à 19:47

bonjour, j'ai le même problème que vous (virus ransomware .vvv) comment dois-je faire pour récupérer mes photos sur ordinateur et disque dur, (que je n'arrive plus à ouvrir) d'avance merci

Signaler

Max59 > Max59
22 déc. 2015 à 19:51

disque dur externe (je précise) merci

Signaler

Rackunk
26 déc. 2015 à 18:10

Désolé, je ne vois ta réponse que maintenant, le disque dur est en panne ?

Réponse 6 / 13

Decrypt
26 déc. 2015 à 12:35

Bonjour,

je peux vous aider à récupérer vos fichiers qui ont été crypté avec l'extension .vvv.

Envoi moi un fichier avec l'extension .vvv pour faire les tests.

j'ai arrivé à traité un cas.

Salut

Signaler

Malekal_morte-

Messages postés: 180268
Date d'inscription: mercredi 17 mai 2006
Statut: Modérateur, Contributeur sécurité
Dernière intervention: 15 décembre 2020

23 046
Modifié par Malekal_morte- le 26/12/2015 à 12:46

Comme il y a beaoucoup d'arnaques, explique comment tu fais que je puisse tester et valider.

Signaler

Decrypt > Malekal_morte-

Messages postés: 180268
Date d'inscription: mercredi 17 mai 2006
Statut: Modérateur, Contributeur sécurité
Dernière intervention: 15 décembre 2020

26 déc. 2015 à 22:10

Envoi moi l'un des fichiers crypté et je vais essayé de le decrypté.
Je ne suis pas arnaqueur.
Salut

Signaler

Malekal_morte-

Messages postés: 180268
Date d'inscription: mercredi 17 mai 2006
Statut: Modérateur, Contributeur sécurité
Dernière intervention: 15 décembre 2020

23 046 > Decrypt
27 déc. 2015 à 11:27

Donc expose ta méthode.

Signaler

Micking > Malekal_morte-

Messages postés: 180268
Date d'inscription: mercredi 17 mai 2006
Statut: Modérateur, Contributeur sécurité
Dernière intervention: 15 décembre 2020

18 nov. 2016 à 11:54

Ou il exploite des clé de cryptage qu'il a crée ou https://www.nomoreransom.org/decryption-tools.html

Signaler

hljmb

Messages postés: 3
Date d'inscription: mardi 1 mars 2016
Statut: Membre
Dernière intervention: 2 mars 2016

> Decrypt
1 mars 2016 à 09:59

bonjour

j'ai le même problème es ce que je peux vous envoyer un fichier crypté pour voir si vous arrivez à le décrypter.
Par avance merci.

Cordialement

Réponse 7 / 13

pommezede

Messages postés: 4
Date d'inscription: samedi 7 juillet 2012
Statut: Membre
Dernière intervention: 11 juillet 2016

4
11 juil. 2016 à 17:25

J'étais infecté par vvv (TeslaCrypt) et j'ai tout récupéré via ce programme : https://talosintelligence.com/teslacrypt_tool

Télécharger Windows binary.
C'était long au début mais une fois qu'il a généré la clé ça devient beaucoup plus rapide

Signaler

Helper
22 juil. 2016 à 22:42

Bonsoir,

Vous pouvez utiliser Kaspersky decryptor ça fonctionne parfaitement et les fichiers perdus peuvent etre recuperees entierement.

https://noransom.kaspersky.com/

Réponse 8 / 13

hirsute13

Messages postés: 3
Date d'inscription: samedi 19 décembre 2015
Statut: Membre
Dernière intervention: 20 décembre 2015

19 déc. 2015 à 17:53

Bonjour,

J'ai besoin d'aide merci.

https://pjjoint.malekal.com/files.php?id=20151219_l8n14l9r8q6
https://pjjoint.malekal.com/files.php?id=20151219_s13q10b9t14s11
https://pjjoint.malekal.com/files.php?id=FRST_20151219_c15f6w7g12c8

Cordialement

Afficher les 8 commentaires

Signaler

Malekal_morte-

Messages postés: 180268
Date d'inscription: mercredi 17 mai 2006
Statut: Modérateur, Contributeur sécurité
Dernière intervention: 15 décembre 2020

23 046
19 déc. 2015 à 19:11

Salut,

Tu as des adwares Wajam etc.

~~

Tu as installé des adwares et programmes parasites sur ton PC qui ouvrent des publicités et ralentissent l'ordinateur et les navigateurs WEB.
Voici la procédure à suivre pour les supprimer :

Commence par ceci :

Suis le tutorial AdwCleaner( d'Xplode )
Ce programme permet de supprimer les adwares et programmes parasites :

Télécharge le sur ton bureau ou dossier de téléchargement.
Lance AdwCleaner, clique sur [Scanner].
L'analyse peux durer plusieurs minutes, patiente.
Une fois le scan terminé, ne décoche rien, clique sur [Nettoyer]
Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/collé.

Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Désinstalle Microsoft Security Essentials, c'est une passoire.

installe Avast! : https://www.malekal.com/tutoriel-antivirus-avast/
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)

Fais une recherche de fichiers sur how_recover et supprime tout.

Signaler

hirsute13

Messages postés: 3
Date d'inscription: samedi 19 décembre 2015
Statut: Membre
Dernière intervention: 20 décembre 2015

> Malekal_morte-

Messages postés: 180268
Date d'inscription: mercredi 17 mai 2006
Statut: Modérateur, Contributeur sécurité
Dernière intervention: 15 décembre 2020

20 déc. 2015 à 11:01

Bonjour
Un grand merci pour votre aide.

# AdwCleaner v5.025 - Rapport créé le 20/12/2015 à 10:52:16
# Mis à jour le 13/12/2015 par Xplode
# Base de données : 2015-12-13.2 [Serveur]
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (x86)
# Nom d'utilisateur : Allouch - ALLOUCH-PC
# Exécuté depuis : C:\Users\Allouch\Desktop\adwcleaner_5.025.exe
# Option : Nettoyer
# Support : https://toolslib.net/forum

- - - - [ Services ] *****

[-] Service Supprimé : CltMngSvc
[-] Service Supprimé : SPPD

- - - - [ Dossiers ] *****

[#] Dossier Supprimé : C:\Program Files\SearchProtect
[-] Dossier Supprimé : C:\Users\Allouch\AppData\Local\SearchProtect

- - - - [ Fichiers ] *****

[-] Fichier Supprimé : C:\windows\AppPatch\Custom\{8a4d5a43-c64a-45ab-bdf4-804fe18ceafd}.sdb
[-] Fichier Supprimé : C:\windows\AppPatch\nbin\VC32Loader.dll

- - - - [ DLLs ] *****
      - [ Raccourcis ] *****
      - [ Tâches planifiées ] *****
      - [ Registre ] *****

[-] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}
[-] Clé Supprimée : HKLM\SOFTWARE\SearchProtect
[-] Clé Supprimée : HKLM\SOFTWARE\SPPDCOM
[-] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchProtect
[-] Donnée Restaurée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows [AppInit_DLLs]

- - - - [ Navigateurs ] *****

[-] [C:\Users\Allouch\AppData\Roaming\Mozilla\Firefox\Profiles\weww2bqk.default\prefs.js] [Preference] Supprimée : user_pref("browser.newtab.url", "hxxp://www.trovi.com/?gd=&ctid=CT3330189&octid=EB_ORIGINAL_CTID&ISID=M397E35FC-C339-42A0-B730-EDCF5173138E&SearchSource=69&CUI=&SSPV=&Lay=1&UM=6&UP=SPD3030455-196F-4E0[...]

:: Clés "Tracing" supprimées
:: Paramètres Winsock réinitialisés

########## EOF - C:\AdwCleaner\AdwCleaner[C2].txt - [1853 octets] ##########

Signaler

hirsute13

Messages postés: 3
Date d'inscription: samedi 19 décembre 2015
Statut: Membre
Dernière intervention: 20 décembre 2015

20 déc. 2015 à 11:05

# AdwCleaner v5.025 - Rapport créé le 20/12/2015 à 10:39:15
# Mis à jour le 13/12/2015 par Xplode
# Base de données : 2015-12-13.2 [Serveur]
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (x86)
# Nom d'utilisateur : Allouch - ALLOUCH-PC
# Exécuté depuis : C:\Users\Allouch\Desktop\adwcleaner_5.025.exe
# Option : Nettoyer
# Support : https://toolslib.net/forum

- - - - [ Services ] *****

[-] Service Supprimé : CltMngSvc
[-] Service Supprimé : SPPD
[-] Service Supprimé : Wajam Web Enhancer

- - - - [ Dossiers ] *****

[#] Dossier Supprimé : C:\Program Files\SearchProtect
[-] Dossier Supprimé : C:\Program Files\WajaWebEnhancer
[-] Dossier Supprimé : C:\ProgramData\Partner
[#] Dossier Supprimé : C:\Users\Allouch\AppData\Local\SearchProtect
[-] Dossier Supprimé : C:\Users\Allouch\AppData\LocalLow\BabylonToolbar
[-] Dossier Supprimé : C:\Users\Allouch\AppData\Roaming\OpenCandy
[-] Dossier Supprimé : C:\Users\Allouch\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wajam Web Enhancer
[-] Dossier Supprimé : C:\windows\system32\config\systemprofile\AppData\Local\SearchProtect

- - - - [ Fichiers ] *****

[-] Fichier Supprimé : C:\Users\Allouch\AppData\Roaming\Mozilla\Firefox\Profiles\weww2bqk.default\searchplugins\trovi-search.xml
[-] Fichier Supprimé : C:\Users\Allouch\AppData\Roaming\Mozilla\Firefox\Profiles\weww2bqk.default\user.js
[-] Fichier Supprimé : C:\windows\AppPatch\Custom\{8a4d5a43-c64a-45ab-bdf4-804fe18ceafd}.sdb
[-] Fichier Supprimé : C:\windows\AppPatch\nbin\VC32Loader.dll

- - - - [ DLLs ] *****
      - [ Raccourcis ] *****
      - [ Tâches planifiées ] *****
      - [ Registre ] *****

[-] Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL
[-] Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\esrv.EXE
[-] Clé Supprimée : HKLM\SOFTWARE\Classes\protector_dll.protectorbho
[-] Clé Supprimée : HKLM\SOFTWARE\Classes\protector_dll.protectorbho.1
[-] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\InstalledsDB\{8a4d5a43-c64a-45ab-bdf4-804fe18ceafd}
[-] Valeur Supprimée : HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\APPCOMPATFLAGS\CUSTOM\chrome.exe [{8a4d5a43-c64a-45ab-bdf4-804fe18ceafd}.sdb]
[-] Valeur Supprimée : HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\APPCOMPATFLAGS\CUSTOM\firefox.exe [{8a4d5a43-c64a-45ab-bdf4-804fe18ceafd}.sdb]
[-] Valeur Supprimée : HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\APPCOMPATFLAGS\CUSTOM\iexplore.exe [{8a4d5a43-c64a-45ab-bdf4-804fe18ceafd}.sdb]
[-] Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\3045035B-3C14-4698-8AC4-ADB18CC42C1E
[-] Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}
[-] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}
[-] Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4A99-B4B6-146BF802613B}
[-] Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49DD-99D7-DC866BE87DBC}
[-] Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{5D637FAD-E202-48D1-8F18-5B9C459BD1E3}
[-] Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{97F2FF5B-260C-4CCF-834A-2DDA4E29E39E}
[-] Clé Supprimée : HKCU\Software\InstallCore
[-] Clé Supprimée : HKCU\Software\Softonic
[-] Clé Supprimée : HKCU\Software\YahooPartnerToolbar
[-] Clé Supprimée : HKCU\Software\WajIEnhance
[-] Clé Supprimée : HKLM\SOFTWARE\SearchProtect
[-] Clé Supprimée : HKLM\SOFTWARE\Wajam Web Enhancer
[-] Clé Supprimée : HKLM\SOFTWARE\SPPDCOM
[-] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchProtect
[-] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Wajam Web Enhancer
[-] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A2D81E70-2A98-4A08-A628-94388B063C5E}
[-] Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}
[-] Donnée Restaurée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows [AppInit_DLLs]

- - - - [ Navigateurs ] *****

[-] [C:\Users\Allouch\AppData\Roaming\Mozilla\Firefox\Profiles\weww2bqk.default\prefs.js] [Preference] Supprimée : user_pref("browser.newtab.url", "hxxp://www.trovi.com/?gd=&ctid=CT3330189&octid=EB_ORIGINAL_CTID&ISID=M397E35FC-C339-42A0-B730-EDCF5173138E&SearchSource=69&CUI=&SSPV=&Lay=1&UM=6&UP=SPD3030455-196F-4E0[...]
[-] [C:\Users\Allouch\AppData\Roaming\Mozilla\Firefox\Profiles\weww2bqk.default\prefs.js] [Preference] Supprimée : user_pref("extensions.BabylonToolbar.bbDpng", 8);
[-] [C:\Users\Allouch\AppData\Roaming\Mozilla\Firefox\Profiles\weww2bqk.default\prefs.js] [Preference] Supprimée : user_pref("extensions.BabylonToolbar.cntry", "FR");
[-] [C:\Users\Allouch\AppData\Roaming\Mozilla\Firefox\Profiles\weww2bqk.default\prefs.js] [Preference] Supprimée : user_pref("extensions.BabylonToolbar.dfltLng", "fr");
[-] [C:\Users\Allouch\AppData\Roaming\Mozilla\Firefox\Profiles\weww2bqk.default\prefs.js] [Preference] Supprimée : user_pref("extensions.BabylonToolbar.firstRun", false);
[-] [C:\Users\Allouch\AppData\Roaming\Mozilla\Firefox\Profiles\weww2bqk.default\prefs.js] [Preference] Supprimée : user_pref("extensions.BabylonToolbar.hdrMd5", "4B7A3CB8F9858231F208419CC6808799");
[-] [C:\Users\Allouch\AppData\Roaming\Mozilla\Firefox\Profiles\weww2bqk.default\prefs.js] [Preference] Supprimée : user_pref("extensions.BabylonToolbar.id", "50e57d1b39684083a3aa04b495d71632");
[-] [C:\Users\Allouch\AppData\Roaming\Mozilla\Firefox\Profiles\weww2bqk.default\prefs.js] [Preference] Supprimée : user_pref("extensions.BabylonToolbar.instlDay", "15159");
[-] [C:\Users\Allouch\AppData\Roaming\Mozilla\Firefox\Profiles\weww2bqk.default\prefs.js] [Preference] Supprimée : user_pref("extensions.BabylonToolbar.lastActv", "8");
[-] [C:\Users\Allouch\AppData\Roaming\Mozilla\Firefox\Profiles\weww2bqk.default\prefs.js] [Preference] Supprimée : user_pref("extensions.BabylonToolbar.lastDP", 8);
[-] [C:\Users\Allouch\AppData\Roaming\Mozilla\Firefox\Profiles\weww2bqk.default\prefs.js] [Preference] Supprimée : user_pref("extensions.BabylonToolbar.newTab", true);
[-] [C:\Users\Allouch\AppData\Roaming\Mozilla\Firefox\Profiles\weww2bqk.default\prefs.js] [Preference] Supprimée : user_pref("extensions.BabylonToolbar.newTabUrl", "hxxp://search.babylon.com/?babsrc=NT_bb");
[-] [C:\Users\Allouch\AppData\Roaming\Mozilla\Firefox\Profiles\weww2bqk.default\prefs.js] [Preference] Supprimée : user_pref("extensions.BabylonToolbar.propectorlck", 59297319);
[-] [C:\Users\Allouch\AppData\Roaming\Mozilla\Firefox\Profiles\weww2bqk.default\prefs.js] [Preference] Supprimée : user_pref("extensions.BabylonToolbar.ptch_0717", true);
[-] [C:\Users\Allouch\AppData\Roaming\Mozilla\Firefox\Profiles\weww2bqk.default\prefs.js] [Preference] Supprimée : user_pref("extensions.BabylonToolbar.sid", "50e57d1b39684083a3aa04b495d71632");
[-] [C:\Users\Allouch\AppData\Local\Google\Chrome\User Data\Default\Web Data] [Search Provider] Supprimé : slirsredirect.search.aol.com
[-] [C:\Users\Allouch\AppData\Local\Google\Chrome\User Data\Default\Web Data] [Search Provider] Supprimé : search.mywebsearch.com

:: Clés "Tracing" supprimées
:: Paramètres Winsock réinitialisés

########## EOF - C:\AdwCleaner\AdwCleaner[C1].txt - [7501 octets] ##########

Signaler

Malekal_morte-

Messages postés: 180268
Date d'inscription: mercredi 17 mai 2006
Statut: Modérateur, Contributeur sécurité
Dernière intervention: 15 décembre 2020

23 046
22 déc. 2015 à 19:50

Remplace MSE par Avast!
Refais un scan FRST et donne les rapports via pjjoint.

Signaler

wilgaia

Messages postés: 2
Date d'inscription: jeudi 24 décembre 2015
Statut: Membre
Dernière intervention: 24 décembre 2015

24 déc. 2015 à 00:30

bonjour tout le monde, y a moyen de recuperer les fichiers (je viens de le faire)

Signaler

Rackunk > wilgaia

Messages postés: 2
Date d'inscription: jeudi 24 décembre 2015
Statut: Membre
Dernière intervention: 24 décembre 2015

25 déc. 2015 à 08:30

Bonjour, je veux bien plus d'informations sur ta technique pour decrypter les données.

Merci d'avance !

Signaler

Malekal_morte-

Messages postés: 180268
Date d'inscription: mercredi 17 mai 2006
Statut: Modérateur, Contributeur sécurité
Dernière intervention: 15 décembre 2020

23 046 > wilgaia

Messages postés: 2
Date d'inscription: jeudi 24 décembre 2015
Statut: Membre
Dernière intervention: 24 décembre 2015

25 déc. 2015 à 12:42

Si c'est le cas, donne la et en public.
Ca éviterait qu'on se pose la question de savoir, si tu profites de la crédulité des gens pour les arnaquer =)

Signaler

Zeglaude30

Messages postés: 1
Date d'inscription: jeudi 24 décembre 2015
Statut: Membre
Dernière intervention: 24 décembre 2015

24 déc. 2015 à 00:45

Bonjour wilgaia, tu as réussi à décrypter tes fichiers ?

Réponse 9 / 13

Malekal_morte-

Messages postés: 180268
Date d'inscription: mercredi 17 mai 2006
Statut: Modérateur, Contributeur sécurité
Dernière intervention: 15 décembre 2020

23 046
26 déc. 2015 à 11:53

Si quelqu'un tombe sur ce topic, je cherche des gens (il faut avoir un minimum de connaissances informatiques) pour tester une procédure de récupération de fichiers .vvv
Voir : https://forum.malekal.com/viewtopic.php?t=53866&start=

Afficher les 6 commentaires

Signaler

Malekal_morte-

Messages postés: 180268
Date d'inscription: mercredi 17 mai 2006
Statut: Modérateur, Contributeur sécurité
Dernière intervention: 15 décembre 2020

23 046 > Rackunk
27 déc. 2015 à 11:27

Ca semble fontionner chez certains utilisateurs.

Signaler

Finist0
30 janv. 2016 à 00:39

Bonjour,
je n'ai pas assez de connaissances en informatique pour résoudre la récupération
de 1000 fichiers jpeg corrompus en .vvv . Pourriez-vous prendre la main sur mon ordi
via TeamViewer9, et me délivrer de cet enfer qui me tue depuis plusieurs semaines?
D'avance merci de votre réponse.

Signaler

Malekal_morte-

Messages postés: 180268
Date d'inscription: mercredi 17 mai 2006
Statut: Modérateur, Contributeur sécurité
Dernière intervention: 15 décembre 2020

23 046 > Finist0
30 janv. 2016 à 11:47

Le plus simple serait que tu partages un fichier .pdf.vvv

Signaler

bonetb64

Messages postés: 2
Date d'inscription: lundi 8 février 2016
Statut: Membre
Dernière intervention: 8 février 2016

> Malekal_morte-

Messages postés: 180268
Date d'inscription: mercredi 17 mai 2006
Statut: Modérateur, Contributeur sécurité
Dernière intervention: 15 décembre 2020

8 févr. 2016 à 08:47

Bonjour, je me greffe sur votre forum car j'ai été infecté par le même virus. J'ai fait les différentes manip pour supprimer le virus (super tuto!!!) et je me suis lancé dans le décryptage des fichiers. J'ai fait tout ce qui est indiqué mais yafu n'arrive pas à factoriser ma clef, il mouline mouline et après 2 jours commence avec des séries de chiffres infinies... Pouvez-vous me donner un coup de main? Je peux soit vous donner les 2 clefs ou bien vous envoyer un fichier crypté de type pdf.vvv

Merci d'avance

Signaler

hljmb

Messages postés: 3
Date d'inscription: mardi 1 mars 2016
Statut: Membre
Dernière intervention: 2 mars 2016

> Malekal_morte-

Messages postés: 180268
Date d'inscription: mercredi 17 mai 2006
Statut: Modérateur, Contributeur sécurité
Dernière intervention: 15 décembre 2020

1 mars 2016 à 15:42

Bonjour

J'ai été victime de ce problème es ce que je peux vous envoyer un fichier crypté pour voir si vous arrivez à le décrypter car moi même avec votre procédure je n'y arrive pas.

Cordialement

Réponse 10 / 13

Malekal_morte-

Messages postés: 180268
Date d'inscription: mercredi 17 mai 2006
Statut: Modérateur, Contributeur sécurité
Dernière intervention: 15 décembre 2020

23 046
8 févr. 2016 à 18:33

Tentez ce programme : https://forum.malekal.com/viewtopic.php?t=54350&start=#p415342

c'est automatisé.

Réponse 11 / 13

bonetb64

Messages postés: 2
Date d'inscription: lundi 8 février 2016
Statut: Membre
Dernière intervention: 8 février 2016

8 févr. 2016 à 21:36

Rebonjour,

merci Malekal_morte pour cette réponse rapide.
Je vais finir par me résigner à penser que je suis une grosse buse! En effet, je viens de télécharger depuis dropbox les fichiers qui vont bien, j'ai lancé instal.bat. Le fichier Teslacrack.bat est bien sur mon bureau, je le lance et puis rien (une fenêtre cmd se lance et se ferme de suite)... J'ai vérifié que les programmes contenus dans SRC sont bien installés (Python, VCF et Pyqt4). Je ne trouve pas le dossier exe dans SRC.
Et franchement je bloque!

Encore désolé de te faire perdre ton temps mais si les fichiers cryptés n'étaient pas importants je ne te solliciterais pas.

Réponse 12 / 13

hljmb

Messages postés: 3
Date d'inscription: mardi 1 mars 2016
Statut: Membre
Dernière intervention: 2 mars 2016

2 mars 2016 à 16:36

Bonjour

J'ai été victime de ce problème es ce que je peux vous envoyer un fichier crypté pour voir si vous arrivez à le décrypter car moi même avec votre procédure je n'y arrive pas.

Cordialement

Signaler

Malekal_morte-

Messages postés: 180268
Date d'inscription: mercredi 17 mai 2006
Statut: Modérateur, Contributeur sécurité
Dernière intervention: 15 décembre 2020

23 046
5 mars 2016 à 16:16

As-tu tenté ce programme donné plus haut : https://forums.commentcamarche.net/forum/affich-32867754-comment-recuperer-ses-donnees-apres-un-ransomware-vvv#34

normalement c'est tout automatisé.

Réponse 13 / 13

sinail
1 août 2016 à 18:54

Bonjour,

J'ai un ordinateur infecté par ce virus et souhaiterai pouvoir recupérer les fichiers crypter.

Voici les fichiers nécessaires d’apres le tuto :

http://pjjoint.malekal.com/files.php?id=FRST_20160801_e8y14u7w914
http://pjjoint.malekal.com/files.php?id=20160801_z13j13d914e6
http://pjjoint.malekal.com/files.php?id=20160801_e15q6r9y6j15

Je vous remercie d'avance pour votre aide.

Signaler

Malekal_morte-

Messages postés: 180268
Date d'inscription: mercredi 17 mai 2006
Statut: Modérateur, Contributeur sécurité
Dernière intervention: 15 décembre 2020

23 046
Modifié par Malekal_morte- le 22/08/2016 à 11:36

Tu as des .locky
Ce n'est pas le même ransomware et il n'est plus actif.
= > Fiche Ransomware Locky/Zepto - tu y trouveras des solutions pour sécuriser ton ordinateur.

Il n'y a pas de solution pour récupérer les fichiers (sauf sauvegarde).

~~

Je te conseille de désinstaller McAfee Security Scan car c'est avant tout un programme markéting proposé à l'installation d'autres logiciels ( comme Adobe Flash) pour final tenter de te vendre l'antivirus.

Signaler

Micking
18 nov. 2016 à 11:57

nouvelle variante fichier .thor aie aie aie

Posez votre question

Merci encore pour votre réponse.

Voilà le fixlog :

Fix result of Farbar Recovery Scan Tool (x64) Version:05-12-2015
Ran by Lo' (2015-12-06 14:40:46) Run:1
Running from C:\Users\Lo'\Downloads
Loaded Profiles: Lo' & (Available Profiles: Lo')
Boot Mode: Normal
==============================================

fixlist content:

Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+vaa.html [2015-12-04] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+vaa.txt [2015-12-04] ()
Startup: C:\Users\Lo'\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+vaa.html [2015-12-04] ()
Startup: C:\Users\Lo'\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+vaa.txt [2015-12-04] ()
Startup: C:\Users\Lo'\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Lanceur.lnk [2015-12-06]
Task: C:\Windows\Tasks\NutritionCount.job => c:\programdata\{abe0a28c-164a-bd10-abe0-0a28c1648a30}\sevensetup.exe <==== ATTENTION
c:\programdata\{abe0a28c-164a-bd10-abe0-0a28c1648a30}

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+vaa.html => moved successfully
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+vaa.txt => moved successfully
C:\Users\Lo'\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+vaa.html => moved successfully
C:\Users\Lo'\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+vaa.txt => moved successfully
C:\Users\Lo'\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Lanceur.lnk => moved successfully
C:\Windows\Tasks\NutritionCount.job => moved successfully
"c:\programdata\{abe0a28c-164a-bd10-abe0-0a28c1648a30}" => not found.
End of Fixlog 14:40:46
bonjour
tu peux recuperer tes fichiers. Y a un moyen, je viens de le faire ...
Merci pour l'info,

Tout est réglé au vu de mon fixlog ?

Merci encore pour tout, j'y vois déjà plus clair grâce à ton siteweb !
Bonjour,

J'ai suivi ta méthode et j'ai deux liens :
FRST :http://pjjoint.malekal.com/files.php?id=FRST_20160822_v10q9c5n15r13
Addition : http://pjjoint.malekal.com/files.php?id=20160822_w15n7r14r8x13

Est-ce que tu peux m'aider?

Merci
bonjour, j'ai le même problème que vous (virus ransomware .vvv) comment dois-je faire pour récupérer mes photos sur ordinateur et disque dur, (que je n'arrive plus à ouvrir) d'avance merci
Désolé, je ne vois ta réponse que maintenant, le disque dur est en panne ?
Comme il y a beaoucoup d'arnaques, explique comment tu fais que je puisse tester et valider.
Envoi moi l'un des fichiers crypté et je vais essayé de le decrypté.
Je ne suis pas arnaqueur.
Salut
Ou il exploite des clé de cryptage qu'il a crée ou https://www.nomoreransom.org/decryption-tools.html
bonjour

j'ai le même problème es ce que je peux vous envoyer un fichier crypté pour voir si vous arrivez à le décrypter.
Par avance merci.

Cordialement
Bonsoir,

Vous pouvez utiliser Kaspersky decryptor ça fonctionne parfaitement et les fichiers perdus peuvent etre recuperees entierement.

https://noransom.kaspersky.com/
Salut,

Tu as des adwares Wajam etc.

~~

Tu as installé des adwares et programmes parasites sur ton PC qui ouvrent des publicités et ralentissent l'ordinateur et les navigateurs WEB.
Voici la procédure à suivre pour les supprimer :

Commence par ceci :

Suis le tutorial AdwCleaner( d'Xplode )
Ce programme permet de supprimer les adwares et programmes parasites :
Télécharge le sur ton bureau ou dossier de téléchargement.
Lance AdwCleaner, clique sur [Scanner].
L'analyse peux durer plusieurs minutes, patiente.
Une fois le scan terminé, ne décoche rien, clique sur [Nettoyer]
Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/collé.

Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Désinstalle Microsoft Security Essentials, c'est une passoire.

installe Avast! : https://www.malekal.com/tutoriel-antivirus-avast/
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)

Fais une recherche de fichiers sur how_recover et supprime tout.
Bonjour
Un grand merci pour votre aide.

# AdwCleaner v5.025 - Rapport créé le 20/12/2015 à 10:52:16
# Mis à jour le 13/12/2015 par Xplode
# Base de données : 2015-12-13.2 [Serveur]
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (x86)
# Nom d'utilisateur : Allouch - ALLOUCH-PC
# Exécuté depuis : C:\Users\Allouch\Desktop\adwcleaner_5.025.exe
# Option : Nettoyer
# Support : https://toolslib.net/forum
[ Services ] *****

[-] Service Supprimé : CltMngSvc
[-] Service Supprimé : SPPD
[ Dossiers ] *****

[#] Dossier Supprimé : C:\Program Files\SearchProtect
[-] Dossier Supprimé : C:\Users\Allouch\AppData\Local\SearchProtect
[ Fichiers ] *****

[-] Fichier Supprimé : C:\windows\AppPatch\Custom\{8a4d5a43-c64a-45ab-bdf4-804fe18ceafd}.sdb
[-] Fichier Supprimé : C:\windows\AppPatch\nbin\VC32Loader.dll
[ DLLs ] *****
[ Raccourcis ] *****
[ Tâches planifiées ] *****
[ Registre ] *****

[-] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}
[-] Clé Supprimée : HKLM\SOFTWARE\SearchProtect
[-] Clé Supprimée : HKLM\SOFTWARE\SPPDCOM
[-] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchProtect
[-] Donnée Restaurée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows [AppInit_DLLs]
[ Navigateurs ] *****

[-] [C:\Users\Allouch\AppData\Roaming\Mozilla\Firefox\Profiles\weww2bqk.default\prefs.js] [Preference] Supprimée : user_pref("browser.newtab.url", "hxxp://www.trovi.com/?gd=&ctid=CT3330189&octid=EB_ORIGINAL_CTID&ISID=M397E35FC-C339-42A0-B730-EDCF5173138E&SearchSource=69&CUI=&SSPV=&Lay=1&UM=6&UP=SPD3030455-196F-4E0[...]

:: Clés "Tracing" supprimées
:: Paramètres Winsock réinitialisés

########## EOF - C:\AdwCleaner\AdwCleaner[C2].txt - [1853 octets] ##########
Remplace MSE par Avast!
Refais un scan FRST et donne les rapports via pjjoint.
bonjour tout le monde, y a moyen de recuperer les fichiers (je viens de le faire)
Bonjour, je veux bien plus d'informations sur ta technique pour decrypter les données.

Merci d'avance !
Si c'est le cas, donne la et en public.
Ca éviterait qu'on se pose la question de savoir, si tu profites de la crédulité des gens pour les arnaquer =)
Je suis en pleine saison, donc pas énormément de temps mais je vais essayer de lancer la procédure.

Je te tiens au courant via ton forum.
Bonjour,
je n'ai pas assez de connaissances en informatique pour résoudre la récupération
de 1000 fichiers jpeg corrompus en .vvv . Pourriez-vous prendre la main sur mon ordi
via TeamViewer9, et me délivrer de cet enfer qui me tue depuis plusieurs semaines?
D'avance merci de votre réponse.
Bonjour, je me greffe sur votre forum car j'ai été infecté par le même virus. J'ai fait les différentes manip pour supprimer le virus (super tuto!!!) et je me suis lancé dans le décryptage des fichiers. J'ai fait tout ce qui est indiqué mais yafu n'arrive pas à factoriser ma clef, il mouline mouline et après 2 jours commence avec des séries de chiffres infinies... Pouvez-vous me donner un coup de main? Je peux soit vous donner les 2 clefs ou bien vous envoyer un fichier crypté de type pdf.vvv

Merci d'avance
Bonjour

J'ai été victime de ce problème es ce que je peux vous envoyer un fichier crypté pour voir si vous arrivez à le décrypter car moi même avec votre procédure je n'y arrive pas.

Cordialement
As-tu tenté ce programme donné plus haut : https://forums.commentcamarche.net/forum/affich-32867754-comment-recuperer-ses-donnees-apres-un-ransomware-vvv#34

normalement c'est tout automatisé.
Tu as des .locky
Ce n'est pas le même ransomware et il n'est plus actif.
= > Fiche Ransomware Locky/Zepto - tu y trouveras des solutions pour sécuriser ton ordinateur.

Il n'y a pas de solution pour récupérer les fichiers (sauf sauvegarde).

~~

Je te conseille de désinstaller McAfee Security Scan car c'est avant tout un programme markéting proposé à l'installation d'autres logiciels ( comme Adobe Flash) pour final tenter de te vendre l'antivirus.

Malekal_morte- · Accepted Answer · 2015-12-06T13:07:39+0100

Réponse 1 / 13

Malekal_morte-

Messages postés: 180268
Date d'inscription: mercredi 17 mai 2006
Statut: Modérateur, Contributeur sécurité
Dernière intervention: 15 décembre 2020

23 046
6 déc. 2015 à 13:07

Salut,

Tu as été infecté par un Ransomware chiffreurs de fichiers.

Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.

Il n'y a pas vraiment de solution pour récupérer les documents.

Il faudra vérifier qu'aucun malware ne soit actif puis changer tous tes mots de passe.

Pour désinfecter l'ordinateur :

Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :

FRST.txt
Shortcut.txt
Additionnal.txt

Envoie comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.

Signaler

Rackunk
Modifié par Rackunk le 6/12/2015 à 13:47

Bonjour,

Merci pour votre réponse aussi rapide.

Comme demandé, voici les 3 liens.

FRST : http://pjjoint.malekal.com/files.php?id=FRST_20151206_f6o13z8i11g9
Shortcut : http://pjjoint.malekal.com/files.php?id=20151206_m14x14d6g14x13
Addition : http://pjjoint.malekal.com/files.php?id=20151206_w11w11k14r7m12

Ma priorité est surtout (Si possible, de récupérer mes fichiers), une fois mes photos decryptés je peux reformater mes disques.

Ps : Je suis en train de tester Stellar Phoenix photo recovery, il à l'air de me trouver des fichiers pour le moment.

Signaler

Eliz
4 mars 2016 à 20:39

Bonjour,
J'ai un virus type Ransomware. J'ai donc fait un scan FRST comme préconisé.
Voici les deux rapports (je n'en ai pas eu 3....?)
- http://pjjoint.malekal.com/files.php?id=FRST_20160304_o8n7x15e13h7
- http://pjjoint.malekal.com/files.php?id=20160304_v6p148z5s10

Que dois-je faire?

Je vous remercie!!

Signaler

Lorenzo
21 mars 2016 à 15:00

Bonjour.

J'ai un virus type Ransomware. J'ai fait un scan FRST comme préconisé.
Voici les 3 rapports.

http://pjjoint.malekal.com/files.php?id=FRST_20160321_j10x1111x15o6
http://pjjoint.malekal.com/files.php?id=20160321_p6q5t11v9t10
http://pjjoint.malekal.com/files.php?id=20160321_m13s11k14r11u13

Sincère Salutation.

Signaler

Malekal_morte-

Messages postés: 180268
Date d'inscription: mercredi 17 mai 2006
Statut: Modérateur, Contributeur sécurité
Dernière intervention: 15 décembre 2020

23 046 > Lorenzo
21 mars 2016 à 17:12

Salut,

Ton rapport est correct.
Faut supprimer tous les fichiers _rEcOvEr_

Signaler

redcena
10 juin 2016 à 17:44

Merci a votre reponse

http://pjjoint.malekal.com/files.php?id=FRST_20160610_r11w10v6x5y7

Comment récupérer ses données aprés un ransomware (.vvv) [Résolu/Fermé]

13 réponses

End of Fixlog 14:40:46

Votre réponse

Newsletter