Ransomware chiffreurs de fichiers

Fermé
Véronique - 14 déc. 2015 à 19:44
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 14 déc. 2015 à 19:50
Bonjour,
Bonjour,
J’ai été infectée par un Ransomware chiffreurs de fichiers. J’ai suivi les instructions du logiciel FRST qui a scanné mon ordinateur et établi trois rapports.
J’ai envoyé ces trois rapports sur le site de pjjoint.malekal qui m’a fourni les trois liens suivants :
http://pjjoint.malekal.com/files.php?id=FRST_20151214_t8e8r15l8h9
http://pjjoint.malekal.com/files.php?id=20151214_c9c13t15v6k10
http://pjjoint.malekal.com/files.php?id=20151214_v14u5h13m12n5
Que dois-je faire maintenant ? Quelqu’un peut-il m’aider ?
Merci!
Véronique



A voir également:

1 réponse

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 14/12/2015 à 19:49
Salut,


Tu as été infecté par un Ransomware chiffreurs de fichiers.

Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.

Il n'y a pas vraiment de solution pour récupérer les documents.


~~

Je te conseille de désinstaller McAfee Security Scan, c'est avant tout un programme marketting proposé à l'installation d'Adobe Flash pour tenter de te proposer l'antivirus.

Désinstalle Yahoo! Toolbar et Allin1Convert


Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

HKLM\...\Run: [Allin1Convert Home Page Guard 64 bit] => C:\Program Files (x86)\Allin1Convert_8h\bar\1.bin\AppIntegrator64.exe [548936 2013-06-30] ()
HKLM-x32\...\Run: [Allin1Convert Search Scope Monitor] => C:\Program Files (x86)\Allin1Convert_8h\bar\1.bin\8hSrchMn.exe [44784 2013-06-30] (MindSpark)
HKLM-x32\...\Run: [Allin1Convert_8h Browser Plugin Loader] => C:\Program Files (x86)\Allin1Convert_8h\bar\1.bin\8hbrmon.exe [30096 2013-06-30] (VER_COMPANY_NAME)
BHO-x32: Search Assistant BHO -> {a4c2fb10-84c3-44eb-9f9e-860fa1d9a797} -> C:\Program Files (x86)\Allin1Convert_8h\bar\1.bin\8hSrcAs.dll [2013-06-30] (MindSpark)
BHO-x32: NetAssistant -> {E38FA08E-F56A-4169-ABF5-5C71E3C153A1} -> C:\Program Files (x86)\Freeze.com\NetAssistant\NetAssistant.dll [2011-04-04] (W3i, LLC)
C:\Program Files (x86)\Freeze.com
C:\Program Files (x86)\Allin1Convert_8h
C:\Program Files (x86)\Yontoo Layers
BHO-x32: Toolbar BHO -> {fbcbc43a-dca9-4192-a4c8-b57fd0f77d4d} -> C:\Program Files (x86)\Allin1Convert_8h\bar\1.bin\8hbar.dll [2013-06-30] (MindSpark)
BHO-x32: Yontoo Layers -> {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} -> C:\Program Files (x86)\Yontoo Layers\YontooIEClient.dll [2011-05-18] (Yontoo LLC)
Toolbar: HKLM-x32 - Allin1Convert - {cd1a63ba-a08c-431b-9a34-f240aadc728d} - C:\Program Files (x86)\Allin1Convert_8h\bar\1.bin\8hbar.dll [2013-06-30] (MindSpark)
Startup: C:\Users\Véronique\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+iaq.html [2015-12-14] ()
Startup: C:\Users\Véronique\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+iaq.txt [2015-12-14] ()
Startup: C:\Users\Véronique\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tys.html [2015-12-14] ()
Startup: C:\Users\Véronique\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+tys.txt [2015-12-14] ()
Startup: C:\Users\Véronique\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+wrb.html [2015-12-14] ()
Startup: C:\Users\Véronique\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+wrb.txt [2015-12-14] ()
Startup: C:\Users\Véronique\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+xgt.html [2015-12-14] ()
Startup: C:\Users\Véronique\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+xgt.txt [2015-12-14] ()
Startup: C:\Users\Véronique\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+yta.html [2015-12-14] ()
Startup: C:\Users\Véronique\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+yta.txt [2015-12-14] ()
Startup: C:\Users\Véronique\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+yvh.html [2015-12-14] ()
Startup: C:\Users\Véronique\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+yvh.txt [2015-12-14] ()
ProxyEnable: [.DEFAULT] => Proxy est activé.
ProxyServer: [.DEFAULT] => http=127.0.0.1:8877;https=127.0.0.1:8877
ProxyEnable: [S-1-5-19] => Proxy est activé.
ProxyServer: [S-1-5-19] => http=127.0.0.1:8877
ProxyEnable: [S-1-5-20] => Proxy est activé.
ProxyServer: [S-1-5-20] => http=127.0.0.1:8877
ProxyEnable: [S-1-5-21-186247130-2984809134-3710958641-1000] => Proxy est activé.
ProxyServer: [S-1-5-21-186247130-2984809134-3710958641-1000] => http=127.0.0.1:8877
2015-12-14 17:32 - 2014-10-28 10:46 - 00000000 ____D C:\ProgramData\374311380
2015-12-14 14:11 - 2015-10-24 11:32 - 00000000 __HDC C:\ProgramData\{AA6BF06E-316C-487A-9BC2-5F06A43C56B1}


Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur



puis réinitialise tes navigateurs:
==================================
Réinitialise tes navigateurs et ou manuellement reparamètre tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :


et enfin fais une recherche de fichiers sur how_recover et supprime tout.


Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
14 déc. 2015 à 19:50
Tu peux aussi faire cela vu les restes d'adwares :

Suis le tutorial AdwCleaner( d'Xplode )
Ce programme permet de supprimer les adwares et programmes parasites :
  • Télécharge le sur ton bureau ou dossier de téléchargement.
  • Lance AdwCleaner, clique sur [Scanner].
  • L'analyse peux durer plusieurs minutes, patiente.
  • Une fois le scan terminé, ne décoche rien, clique sur [Nettoyer]
  • Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/collé.


Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
0