Comment supprimer les how_recover+xpd et les autres de mon ordi [Résolu/Fermé]

Signaler
Messages postés
13
Date d'inscription
lundi 21 décembre 2015
Statut
Membre
Dernière intervention
21 décembre 2015
-
 MERCIII -
bonjour
voila mon problème quand mon ordi s'allume j'ai 5 page de bloc note s'ouvre:

how_recover+xpd
how_recover+dsl
how_recover+xpd
how_recover+oml
how_recover+dsl

comment supprimer ce truc de mon ordi et récupérer tout mes dossiers cryptés .
sil vous plait que quelqu'un m'aide ? info je suis sur Windows xp

7 réponses

Messages postés
42804
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
28 mai 2020
3 432
Bonjour
Tu as été victime d'un ransomware crypteur de fichiers tes documents sont perdus

▶ Télécharge ici : FRST (de Farbar)
!!! En fonction de ta version de Windows, prends la "32-Bit Version" ou la "64-Bit Version" !!!
Aide : va dans Démarrer > Panneau de configuration > Système pour savoir si tu es sous 32 bits ou 64 bits.

▶ Double-clique sur l'icône FRST.exe pour lancer le programme. (Sous Windows Vista, 7 et 8, il faut faire un clic droit dessus, puis exécuter en tant qu'administrateur.) Clique ensuite sur Oui lorsqu'un message d'avertissement (Disclaimer) s'affiche.

▶ Sur le menu principal, clique sur le bouton Scan et patiente le temps de l'analyse.

▶ A la fin du scan, deux rapports s'affichent, FRST.txt et Addition.txt Poste les rapports dans ta prochaine réponse.

Les rapport se trouvent ici : C:\FRST\Logs

▶ Envoie-les sur https://www.cjoint.com/ et poste les liens obtenus en échange.

Tutoriel

https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 57086 internautes nous ont dit merci ce mois-ci

Messages postés
42804
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
28 mai 2020
3 432 >
Messages postés
13
Date d'inscription
lundi 21 décembre 2015
Statut
Membre
Dernière intervention
21 décembre 2015

Dis moi quand tu auras supprimé tous les fichiers afin qu'on finisse de désinfecter
Messages postés
13
Date d'inscription
lundi 21 décembre 2015
Statut
Membre
Dernière intervention
21 décembre 2015

ohllalalala j'en ai beaucoup à supprimer je n'ai pas encore fini mais je te le dis des que c'st bon .
Messages postés
13
Date d'inscription
lundi 21 décembre 2015
Statut
Membre
Dernière intervention
21 décembre 2015

c'est bon j'ai enfin fini de tout supprimer
Messages postés
42804
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
28 mai 2020
3 432 >
Messages postés
13
Date d'inscription
lundi 21 décembre 2015
Statut
Membre
Dernière intervention
21 décembre 2015

Du coup refais frst s'il te plait
Messages postés
13
Date d'inscription
lundi 21 décembre 2015
Statut
Membre
Dernière intervention
21 décembre 2015

http://www.cjoint.com/c/ELvq7fn7SDx

voila frst
Messages postés
179606
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 août 2020
21 697
Salut,

Tu as été infecté par un Ransomware chiffreurs de fichiers.
Il s'agit de la variante TeslaCrypt - extension .vvv

Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.

Il n'y a pas vraiment de solution pour récupérer les documents.

Il faudra vérifier qu'aucun malware ne soit actif puis changer tous tes mots de passe.

Pour désinfecter l'ordinateur :


Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.


Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Messages postés
13
Date d'inscription
lundi 21 décembre 2015
Statut
Membre
Dernière intervention
21 décembre 2015

https://pjjoint.malekal.com/files.php?id=20151221_12u10v11l610
https://pjjoint.malekal.com/files.php?id=FRST_20151221_p11p6p10m12v5

voila mais j'ai eu que 2 rapport et non 3 comme tu m'as dit . merci encore de m'aider .
Messages postés
179606
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 août 2020
21 697
Tu as choppé ça via un exploit web.





Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

CustomCLSID: HKU\S-1-5-21-1797384167-3017221193-2111353598-1009_Classes\CLSID\{702D19E5-02D3-4523-8D97-004CD2B650B5}\InprocServer32 -> C:\Documents and Settings\All Users\Application Data\{A2B9EECF-D695-4134-9D09-7161A9406A82}\ubpm.dll (l'élément de données a 18 caractères en plus).
HKU\S-1-5-21-1797384167-3017221193-2111353598-1009\...409d6c4515e9\InprocServer32: [Default-shell32] C:\Documents and Settings\nouveau compte\Local Settings\Application Data\Udlvmedia\cnxUtilLog.dll ATTENTION
C:\Documents and Settings\nouveau compte\Local Settings\Application Data\Udlvmedia
Startup: C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\how_recover+dsl.html [2015-12-13] ()
Startup: C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\how_recover+dsl.txt [2015-12-13] ()
Startup: C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\how_recover+oml.html [2015-12-20] ()
Startup: C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\how_recover+oml.txt [2015-12-20] ()
Startup: C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\how_recover+xpd.html [2015-12-12] ()
Startup: C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\how_recover+xpd.txt [2015-12-12] ()
Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\how_recover+dsl.html [2015-12-13] ()
Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\how_recover+dsl.txt [2015-12-13] ()
Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\how_recover+oml.html [2015-12-20] ()
Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\how_recover+oml.txt [2015-12-20] ()
Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\how_recover+xpd.html [2015-12-12] ()
Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\how_recover+xpd.txt [2015-12-12] ()
Startup: C:\Documents and Settings\Default User\Menu Démarrer\Programmes\Démarrage\how_recover+dsl.html [2015-12-13] ()
Startup: C:\Documents and Settings\Default User\Menu Démarrer\Programmes\Démarrage\how_recover+dsl.txt [2015-12-13] ()
Startup: C:\Documents and Settings\Default User\Menu Démarrer\Programmes\Démarrage\how_recover+oml.html [2015-12-20] ()
Startup: C:\Documents and Settings\Default User\Menu Démarrer\Programmes\Démarrage\how_recover+oml.txt [2015-12-20] ()
Startup: C:\Documents and Settings\Default User\Menu Démarrer\Programmes\Démarrage\how_recover+xpd.html [2015-12-12] ()
Startup: C:\Documents and Settings\Default User\Menu Démarrer\Programmes\Démarrage\how_recover+xpd.txt [2015-12-12] ()
Startup: C:\Documents and Settings\fbwuser\Menu Démarrer\Programmes\Démarrage\how_recover+dsl.html [2015-12-13] ()
Startup: C:\Documents and Settings\fbwuser\Menu Démarrer\Programmes\Démarrage\how_recover+dsl.txt [2015-12-13] ()
Startup: C:\Documents and Settings\fbwuser\Menu Démarrer\Programmes\Démarrage\how_recover+oml.html [2015-12-20] ()
Startup: C:\Documents and Settings\fbwuser\Menu Démarrer\Programmes\Démarrage\how_recover+oml.txt [2015-12-20] ()
Startup: C:\Documents and Settings\fbwuser\Menu Démarrer\Programmes\Démarrage\how_recover+xpd.html [2015-12-12] ()
Startup: C:\Documents and Settings\fbwuser\Menu Démarrer\Programmes\Démarrage\how_recover+xpd.txt [2015-12-12] ()
Startup: C:\Documents and Settings\HP_Administrateur\Menu Démarrer\Programmes\Démarrage\how_recover+dsl.html [2015-12-13] ()
Startup: C:\Documents and Settings\HP_Administrateur\Menu Démarrer\Programmes\Démarrage\how_recover+dsl.txt [2015-12-13] ()
Startup: C:\Documents and Settings\HP_Administrateur\Menu Démarrer\Programmes\Démarrage\how_recover+oml.html [2015-12-20] ()
Startup: C:\Documents and Settings\HP_Administrateur\Menu Démarrer\Programmes\Démarrage\how_recover+oml.txt [2015-12-20] ()
Startup: C:\Documents and Settings\HP_Administrateur\Menu Démarrer\Programmes\Démarrage\how_recover+xpd.html [2015-12-12] ()
Startup: C:\Documents and Settings\HP_Administrateur\Menu Démarrer\Programmes\Démarrage\how_recover+xpd.txt [2015-12-12] ()
Startup: C:\Documents and Settings\nouveau compte\Menu Démarrer\Programmes\Démarrage\how_recover+dsl.html [2015-12-13] ()
Startup: C:\Documents and Settings\nouveau compte\Menu Démarrer\Programmes\Démarrage\how_recover+dsl.txt [2015-12-13] ()
Startup: C:\Documents and Settings\nouveau compte\Menu Démarrer\Programmes\Démarrage\how_recover+xpd.html [2015-12-12] ()
Startup: C:\Documents and Settings\nouveau compte\Menu Démarrer\Programmes\Démarrage\how_recover+xpd.txt [2015-12-12] ()
Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\NOUVEA~1\APPLIC~1\WSE_AS~1\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
C:\Documents and Settings\nouveau compte\Local Settings\Application Data\{28864c7b-aae5-ad5a-356f-f9536983c410}
C:\Documents and Settings\nouveau compte\Local Settings\Application Data\{28864c7b-aae5-ad5a-356f-f9536983c410}\@
C:\Documents and Settings\nouveau compte\Local Settings\Application Data\{28864c7b-aae5-ad5a-356f-f9536983c410}\how_recover+dsl.html
C:\Documents and Settings\nouveau compte\Local Settings\Application Data\{28864c7b-aae5-ad5a-356f-f9536983c410}\how_recover+dsl.txt
C:\Documents and Settings\nouveau compte\Local Settings\Application Data\{28864c7b-aae5-ad5a-356f-f9536983c410}\how_recover+xpd.html
C:\Documents and Settings\nouveau compte\Local Settings\Application Data\{28864c7b-aae5-ad5a-356f-f9536983c410}\how_recover+xpd.txt
C:\Documents and Settings\nouveau compte\Local Settings\Application Data\{28864c7b-aae5-ad5a-356f-f9536983c410}\U\how_recover+dsl.html
C:\Documents and Settings\nouveau compte\Local Settings\Application Data\{28864c7b-aae5-ad5a-356f-f9536983c410}\U\how_recover+dsl.txt
C:\Documents and Settings\nouveau compte\Local Settings\Application Data\{28864c7b-aae5-ad5a-356f-f9536983c410}\U\how_recover+xpd.html
C:\Documents and Settings\nouveau compte\Local Settings\Application Data\{28864c7b-aae5-ad5a-356f-f9536983c410}\U\how_recover+xpd.txt
C:\Documents and Settings\nouveau compte\Local Settings\Application Data\{28864c7b-aae5-ad5a-356f-f9536983c410}


Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur



Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Messages postés
13
Date d'inscription
lundi 21 décembre 2015
Statut
Membre
Dernière intervention
21 décembre 2015

https://www.cjoint.com/c/ELvrgwy0Rqx

voila j'ai fais ce que tu m'as dit et la je vais rallumer mon ordi.
Messages postés
179606
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 août 2020
21 697
Mets les définitions virales de Malwarebytes à jour
Lance un scan
Donne le rapport via http://pjjoint.malekal.com
Messages postés
13
Date d'inscription
lundi 21 décembre 2015
Statut
Membre
Dernière intervention
21 décembre 2015

Messages postés
13
Date d'inscription
lundi 21 décembre 2015
Statut
Membre
Dernière intervention
21 décembre 2015

du coup je fais quoi après????? MERCIII encore de m'aider
j'ai vu sur une page d'internet ce ShadowExplorer tu crois que je peux essayer de récupérer les fichiers , image et tout avec ce ShadowExplorer???????????
Messages postés
179606
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 août 2020
21 697
Nope perte de temps, c'est mort pour tes documents.

Plus rien à faire.
Fais des nettoyages Malwarebytes ces prochains jours.

Etant donné que tu es sur XP, surf avec Firefox Sécurisé : Sécuriser Firefox

Comment sécuriser son ordinateur : http://forum.malekal.com/comment-securiser-son-ordinateur.html


Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Messages postés
179606
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 août 2020
21 697
Si quelqu'un tombe sur ce topic, je cherche des gens (il faut avoir un minimum de connaissances informatiques) pour tester une procédure de récupération de fichiers .vvv
Voir : https://forum.malekal.com/viewtopic.php?t=53866&start=
Bonjour,

Ce jour j'ai testé la procédure pour un ami qui a été infecté. Elle a fonctionné parfaitement et les fichiers ont pu être restaurés.
Messages postés
179606
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 août 2020
21 697
Super =)
Bonjour,


Pouvez-vous m'aider à récupérer mes documents qui ont été convertis en vvv ?

Merci d'avance