Infection par un virus de cryptage extension .VVV
Fermé
stephmasters1
Messages postés
6
Date d'inscription
mercredi 9 décembre 2015
Statut
Membre
Dernière intervention
10 décembre 2015
-
9 déc. 2015 à 07:40
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 30 déc. 2015 à 16:16
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 30 déc. 2015 à 16:16
Bonjour je travaille dans une petite entreprise lundi le 07 décembre l'ordinateur de la comptabilité a été infecté par un ramsonware d’après mes recherches qui a crypté tous les fichiers .jpg, .xlsx, .docx et autres les rendant illisibles.Je voudrais savoir si il existe un moyen de les récupérer (décryptage) j'ai ejà scanné le disque dur en externe avec kaspersky mais sans réel succès.
A voir également:
- Infection par un virus de cryptage extension .VVV
- Extension dat - Guide
- Changer extension fichier - Guide
- Extension .bin - Guide
- Extension 7z - Guide
- Extension odt - Guide
3 réponses
Utilisateur anonyme
9 déc. 2015 à 08:15
9 déc. 2015 à 08:15
fait ce que dit malekal en post https://forums.commentcamarche.net/forum/affich-32861593-extension-malveillante-vvv#1
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 666
10 déc. 2015 à 21:10
10 déc. 2015 à 21:10
ok, passe cet outil : https://support.eset.com/fr/kb3137-comment-utiliser-loutil-de-nettoyage-de-win32necurs
puis :
Malwarebytes (temps : environ 40min de scan):
==================================================
Télécharge et installe Malwarebyte.
Il existe une version gratuite qui permet de nettoyer son ordinateur (décoche bien la proposition d'essai de la version Premium à la fin de l'installation) :
Mets Malwarebytes à jour puis lance un examen.
A la fin du scan, clic sur "Supprimer Selection" en bas à gauche.
Redémarre l'ordinateur si besoin.
Après redémarrage, relance Malwarebytes.
Vas chercher le rapport dans l'onglet Historique.
A gauche Journal d'analyse.
Doube-clic sur l'examen dans la liste.
Puis en bas Copier dans le presse papier
Vas sur http://pjjoint.malekal.com et en bas, clic droit / coller pour coller le rapport du scan Malwarebytes.
Clic sur envoyer.
Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.
puis :
Malwarebytes (temps : environ 40min de scan):
==================================================
Télécharge et installe Malwarebyte.
Il existe une version gratuite qui permet de nettoyer son ordinateur (décoche bien la proposition d'essai de la version Premium à la fin de l'installation) :
- Tutorial Malwarebytes version gratuite
- Tutorial Malwarebytes version payante
Mets Malwarebytes à jour puis lance un examen.
A la fin du scan, clic sur "Supprimer Selection" en bas à gauche.
Redémarre l'ordinateur si besoin.
Après redémarrage, relance Malwarebytes.
Vas chercher le rapport dans l'onglet Historique.
A gauche Journal d'analyse.
Doube-clic sur l'examen dans la liste.
Puis en bas Copier dans le presse papier
Vas sur http://pjjoint.malekal.com et en bas, clic droit / coller pour coller le rapport du scan Malwarebytes.
Clic sur envoyer.
Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 666
26 déc. 2015 à 11:54
26 déc. 2015 à 11:54
Si quelqu'un tombe sur ce topic, je cherche des gens (il faut avoir un minimum de connaissances informatiques) pour tester une procédure de récupération de fichiers .vvv
Voir : https://forum.malekal.com/viewtopic.php?t=53866&start=
Voir : https://forum.malekal.com/viewtopic.php?t=53866&start=
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 666
>
MERCIII
30 déc. 2015 à 16:16
30 déc. 2015 à 16:16
Retente, chez moi ça fonctionne bien.
9 déc. 2015 à 08:19
9 déc. 2015 à 11:02
Tu as dû ouvrir un mail piégé : TeslaCrypt - extension .vvv.
10 déc. 2015 à 12:20
https://pjjoint.malekal.com/files.php?id=20151210_j15m12q15r9x12
https://pjjoint.malekal.com/files.php?id=20151210_r14x12z11v9b10
Modifié par Malekal_morte- le 10/12/2015 à 12:35
Trojan.Necurs et divers autres trojans.
Windows XP pas à jour.
Ton Norton n'est plus à jour.
AV: Norton Internet Security (Disabled - Out of date) {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Security (Disabled) {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}
Désinstalle Spyhunter et Norton.
On peut essayer de désinfecter, mais faudrait peut-être plutôt formater...
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
HKLM\...\Policies\Explorer\Run: [324895109] => C:\Documents and Settings\All Users.WINDOWS\msatagqxh.exe [96493952 2008-04-13] ()
HKLM\...\Policies\Explorer\Run: [1248330221] => C:\Documents and Settings\All Users.WINDOWS\msspoorr.exe
HKU\S-1-5-21-1844237615-1960408961-1606980848-1003\...\Run: [jumuh] => C:\Documents and Settings\Zach.COMPTABILITÉ\jumuh.exe /V
HKU\S-1-5-21-1844237615-1960408961-1606980848-1003\...\Run: [yogoh] => C:\Documents and Settings\Zach.COMPTABILITÉ\yogoh.exe [0 2011-01-07] ()
HKU\S-1-5-21-1844237615-1960408961-1606980848-1003\...\Run: [Acronis] => C:\Documents and Settings\Zach.COMPTABILITÉ\Application Data\mlgvb-a.exe
HKLM\...\AppCertDlls: [x64] -> c:\program files\movies app\safetynut\x64\safetycrt.dll
HKLM\...\AppCertDlls: [x86] -> C:\Program Files\Movies App\SafetyNut\safetycrt.dll [493776 2014-12-15] ()
R2 syshost32; C:\WINDOWS\Installer\{5AAB06D2-ADD0-33A9-E11B-97D9BF6A7BCA}\syshost.exe [293888 2015-11-24] () [Fichier non signé]
S3 WinRing0_1_2_0; \??\C:\Documents and Settings\Zach.COMPTABILITÉ\Local Settings\Temp\tmp31.tmp [X]
U5 1d5d8f8d77be41ff; C:\Windows\System32\Drivers\1d5d8f8d77be41ff.sys [82176 2015-11-24] () <===== ATTENTION Necurs Rootkit?
2004-08-04 00:54 - 2008-04-13 18:34 - 96493952 __SHC () C:\Documents and Settings\All Users.WINDOWS\msatagqxh.exe
C:\Documents and Settings\All Users.WINDOWS\msatagqxh.exe
C:\Documents and Settings\Other\micropro.exe
C:\Documents and Settings\Zach.COMPTABILITÉ\micropro.exe
C:\Documents and Settings\Zach.COMPTABILITÉ\yogoh.exe
C:\Windows\System32\Drivers\1d5d8f8d77be41ff.sys
Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
puis réinitialise tes navigateurs:
==================================
Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :
puis :
Ensuite Ouvre Mon Ordinateur
puis le disque C
Ouvre le dossier FRST.
Dedans se trouve, le dossier Quarantine
Fais un clic droit dessus puis envoyer vers le dossier compressé.
Envoie le zip sur http://upload.malekal.com
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
10 déc. 2015 à 16:19