Comment récupérer ses données aprés un ransomware (.vvv)

anto2742 -  
 anto2742 -
Bonjour,

J'ai été infecté par un virus type Ransomware (How Recover+vaa) en ouvrant un mail, référence au forum (https://forums.commentcamarche.net/forum/affich-32867754-comment-recuperer-ses-donnees-apres-un-ransomware-vvv

J'ai donc suivi vos explications et utilisé le logiciel FRST pour générer les 3 fichiers demandés et je les ai soumis sur le site http://pjjoint.malekal.com/

voici les 3 liens reçus :

Addition : http://pjjoint.malekal.com/files.php?id=20151222_k7g14i9b7k12
FRST : http://pjjoint.malekal.com/files.php?id=FRST_20151222_p15h14w5s13l15
shortcut : http://pjjoint.malekal.com/files.php?id=20151222_s12e610w5m14

Voilà j'espère que vous pourrez m'aider, je vous remercie d'avance.

ps: il n'y a aucun moyen de récupérer les fichier corrompus, car j'ai beaucoup de fichier important (cv, rapport, cours) que je ne peux plus ouvrir ?

Bien cordialement

2 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Tu as été infecté par un Ransomware chiffreurs de fichiers.

    Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.

    Il n'y a pas vraiment de solution pour récupérer les documents.

    Je regarde les rapports.

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Voici la correction à  effectuer avec FRST.
    Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

    Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
    Copie/colle dedans ce qui suit :

    AutoConfigURL: [S-1-5-21-2294474657-1546611972-2676233544-1002] => hxxp://unstopp.me/wpad.dat?e5d6881194bbad687df406c8ebb1eadd2699034 [Pays US - 50.7.181.18]
    Startup: C:\Users\anto2_000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+eiq.html [2015-12-22] ()
    Startup: C:\Users\anto2_000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+eiq.txt [2015-12-22] ()
    CHR Extension: (Tests-moi - Offres shopping) - C:\Users\anto2_000\AppData\Local\Google\Chrome\User Data\Default\Extensions\lcnmcjlfkgmmfnkonhalkaoebnjlnpao [2015-12-22]
    2015-12-12 17:51 - 2015-12-22 16:41 - 00000180 _____ C:\WINDOWS\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat
    2015-12-12 17:51 - 2015-12-12 17:51 - 00000200 _____ C:\WINDOWS\system32\{EC94D02F-D200-4428-9531-05AF7F9799CB}.bat

    Une fois, le texte coller dans le bloc-note.
    Menu Fichier puis Enregistrer sous.
    A gauche, place toi sur le bureau.
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

    Relance FRST et clic sur le bouton Corriger / Fix
    Selon comment un redémarrage est nécessaire (pas obligatoire).
    Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur

    Fais une recherche de fichiers sur how_recover et supprime tous les fichiers.
    0
    1. anto2742
       
      Bonjour,

      merci Malekal_morte- pour ton aide, j'ai obtenu le fichier Fixlog.txt , (je tiens à préciser que j'ai effectué la manip 2 fois ayant mis mes fichier dans un dossier sur le bureau la première fois, j'ai préféré refaire la manip en collant chaque fichier directement sur le bureau afin de suivre scrupuleusement vos indications.

      Voici le script obtenu :

      Résultats de correction de Farbar Recovery Scan Tool (x64) Version:20-12-2015
      Exécuté par anto2_000 (2015-12-23 12:33:17) Run:2
      Exécuté depuis C:\Users\anto2_000\Desktop
      Profils chargés: UpdatusUser & anto2_000 (Profils disponibles: UpdatusUser & anto2_000)
      Mode d'amorçage: Normal
      ==============================================

      fixlist contenu:

      AutoConfigURL: [S-1-5-21-2294474657-1546611972-2676233544-1002] => hxxp://unstopp.me/wpad.dat?e5d6881194bbad687df406c8ebb1eadd2699034 [Pays US - 50.7.181.18]
      Startup: C:\Users\anto2_000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+eiq.html [2015-12-22] ()
      Startup: C:\Users\anto2_000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+eiq.txt [2015-12-22] ()
      CHR Extension: (Tests-moi - Offres shopping) - C:\Users\anto2_000\AppData\Local\Google\Chrome\User Data\Default\Extensions\lcnmcjlfkgmmfnkonhalkaoebnjlnpao [2015-12-22]
      2015-12-12 17:51 - 2015-12-22 16:41 - 00000180 _____ C:\WINDOWS\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat
      2015-12-12 17:51 - 2015-12-12 17:51 - 00000200 _____ C:\WINDOWS\system32\{EC94D02F-D200-4428-9531-05AF7F9799CB}.bat


      HKU\S-1-5-21-2294474657-1546611972-2676233544-1002\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\AutoConfigURL => valeur non trouvé(e).
      C:\Users\anto2_000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+eiq.html => non trouvé(e).
      C:\Users\anto2_000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+eiq.txt => non trouvé(e).
      C:\Users\anto2_000\AppData\Local\Google\Chrome\User Data\Default\Extensions\lcnmcjlfkgmmfnkonhalkaoebnjlnpao => déplacé(es) avec succès
      "C:\WINDOWS\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat" => non trouvé(e).
      "C:\WINDOWS\system32\{EC94D02F-D200-4428-9531-05AF7F9799CB}.bat" => non trouvé(e).

      Fin de Fixlog 12:33:18

      (je précise qu'à la première exectution de FRST, j'avais l'indication "déplacé avec succés", la ou j'ai obtenu "non trouvé(e)" la seconde donc je pense que ça a fonctionné correctement)

      Les 3 dossiers "Hives" , "Logs" et "Quarantine" ont été généré mais que dois-je en faire maintenant, j'ai toujours dans presque chaque dossier de mon ordinateur les fichiers how_recover+eiq.html et how_recover+eiq.txt ?

      Encore merci.

      Bien cordialement
      0