A voir également:
- Ransomware forum
- Comment ralentir un compteur linky forum - Accueil - Objets connectés
- Forum convertisseur youtube mp3 ✓ - Forum Logiciels
- Voisin solitaire avis forum - Forum Consommation & Internet
- Forum iptv - Forum TV & Vidéo
- Iptv ✓ - Forum Box et Streaming vidéo
2 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
Modifié par Malekal_morte- le 22/12/2015 à 18:44
Modifié par Malekal_morte- le 22/12/2015 à 18:44
Salut,
Tu as été infecté par un Ransomware chiffreurs de fichiers.
Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.
Il n'y a pas vraiment de solution pour récupérer les documents.
Je regarde les rapports.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Tu as été infecté par un Ransomware chiffreurs de fichiers.
Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.
Il n'y a pas vraiment de solution pour récupérer les documents.
Je regarde les rapports.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
22 déc. 2015 à 18:49
22 déc. 2015 à 18:49
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
AutoConfigURL: [S-1-5-21-2294474657-1546611972-2676233544-1002] => hxxp://unstopp.me/wpad.dat?e5d6881194bbad687df406c8ebb1eadd2699034 [Pays US - 50.7.181.18]
Startup: C:\Users\anto2_000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+eiq.html [2015-12-22] ()
Startup: C:\Users\anto2_000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+eiq.txt [2015-12-22] ()
CHR Extension: (Tests-moi - Offres shopping) - C:\Users\anto2_000\AppData\Local\Google\Chrome\User Data\Default\Extensions\lcnmcjlfkgmmfnkonhalkaoebnjlnpao [2015-12-22]
2015-12-12 17:51 - 2015-12-22 16:41 - 00000180 _____ C:\WINDOWS\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat
2015-12-12 17:51 - 2015-12-12 17:51 - 00000200 _____ C:\WINDOWS\system32\{EC94D02F-D200-4428-9531-05AF7F9799CB}.bat
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Fais une recherche de fichiers sur how_recover et supprime tous les fichiers.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
AutoConfigURL: [S-1-5-21-2294474657-1546611972-2676233544-1002] => hxxp://unstopp.me/wpad.dat?e5d6881194bbad687df406c8ebb1eadd2699034 [Pays US - 50.7.181.18]
Startup: C:\Users\anto2_000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+eiq.html [2015-12-22] ()
Startup: C:\Users\anto2_000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+eiq.txt [2015-12-22] ()
CHR Extension: (Tests-moi - Offres shopping) - C:\Users\anto2_000\AppData\Local\Google\Chrome\User Data\Default\Extensions\lcnmcjlfkgmmfnkonhalkaoebnjlnpao [2015-12-22]
2015-12-12 17:51 - 2015-12-22 16:41 - 00000180 _____ C:\WINDOWS\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat
2015-12-12 17:51 - 2015-12-12 17:51 - 00000200 _____ C:\WINDOWS\system32\{EC94D02F-D200-4428-9531-05AF7F9799CB}.bat
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Fais une recherche de fichiers sur how_recover et supprime tous les fichiers.
Bonjour,
merci Malekal_morte- pour ton aide, j'ai obtenu le fichier Fixlog.txt , (je tiens à préciser que j'ai effectué la manip 2 fois ayant mis mes fichier dans un dossier sur le bureau la première fois, j'ai préféré refaire la manip en collant chaque fichier directement sur le bureau afin de suivre scrupuleusement vos indications.
Voici le script obtenu :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:20-12-2015
Exécuté par anto2_000 (2015-12-23 12:33:17) Run:2
Exécuté depuis C:\Users\anto2_000\Desktop
Profils chargés: UpdatusUser & anto2_000 (Profils disponibles: UpdatusUser & anto2_000)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
AutoConfigURL: [S-1-5-21-2294474657-1546611972-2676233544-1002] => hxxp://unstopp.me/wpad.dat?e5d6881194bbad687df406c8ebb1eadd2699034 [Pays US - 50.7.181.18]
Startup: C:\Users\anto2_000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+eiq.html [2015-12-22] ()
Startup: C:\Users\anto2_000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+eiq.txt [2015-12-22] ()
CHR Extension: (Tests-moi - Offres shopping) - C:\Users\anto2_000\AppData\Local\Google\Chrome\User Data\Default\Extensions\lcnmcjlfkgmmfnkonhalkaoebnjlnpao [2015-12-22]
2015-12-12 17:51 - 2015-12-22 16:41 - 00000180 _____ C:\WINDOWS\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat
2015-12-12 17:51 - 2015-12-12 17:51 - 00000200 _____ C:\WINDOWS\system32\{EC94D02F-D200-4428-9531-05AF7F9799CB}.bat
HKU\S-1-5-21-2294474657-1546611972-2676233544-1002\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\AutoConfigURL => valeur non trouvé(e).
C:\Users\anto2_000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+eiq.html => non trouvé(e).
C:\Users\anto2_000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+eiq.txt => non trouvé(e).
C:\Users\anto2_000\AppData\Local\Google\Chrome\User Data\Default\Extensions\lcnmcjlfkgmmfnkonhalkaoebnjlnpao => déplacé(es) avec succès
"C:\WINDOWS\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat" => non trouvé(e).
"C:\WINDOWS\system32\{EC94D02F-D200-4428-9531-05AF7F9799CB}.bat" => non trouvé(e).
Les 3 dossiers "Hives" , "Logs" et "Quarantine" ont été généré mais que dois-je en faire maintenant, j'ai toujours dans presque chaque dossier de mon ordinateur les fichiers how_recover+eiq.html et how_recover+eiq.txt ?
Encore merci.
Bien cordialement
merci Malekal_morte- pour ton aide, j'ai obtenu le fichier Fixlog.txt , (je tiens à préciser que j'ai effectué la manip 2 fois ayant mis mes fichier dans un dossier sur le bureau la première fois, j'ai préféré refaire la manip en collant chaque fichier directement sur le bureau afin de suivre scrupuleusement vos indications.
Voici le script obtenu :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:20-12-2015
Exécuté par anto2_000 (2015-12-23 12:33:17) Run:2
Exécuté depuis C:\Users\anto2_000\Desktop
Profils chargés: UpdatusUser & anto2_000 (Profils disponibles: UpdatusUser & anto2_000)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
AutoConfigURL: [S-1-5-21-2294474657-1546611972-2676233544-1002] => hxxp://unstopp.me/wpad.dat?e5d6881194bbad687df406c8ebb1eadd2699034 [Pays US - 50.7.181.18]
Startup: C:\Users\anto2_000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+eiq.html [2015-12-22] ()
Startup: C:\Users\anto2_000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+eiq.txt [2015-12-22] ()
CHR Extension: (Tests-moi - Offres shopping) - C:\Users\anto2_000\AppData\Local\Google\Chrome\User Data\Default\Extensions\lcnmcjlfkgmmfnkonhalkaoebnjlnpao [2015-12-22]
2015-12-12 17:51 - 2015-12-22 16:41 - 00000180 _____ C:\WINDOWS\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat
2015-12-12 17:51 - 2015-12-12 17:51 - 00000200 _____ C:\WINDOWS\system32\{EC94D02F-D200-4428-9531-05AF7F9799CB}.bat
HKU\S-1-5-21-2294474657-1546611972-2676233544-1002\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\AutoConfigURL => valeur non trouvé(e).
C:\Users\anto2_000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+eiq.html => non trouvé(e).
C:\Users\anto2_000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+eiq.txt => non trouvé(e).
C:\Users\anto2_000\AppData\Local\Google\Chrome\User Data\Default\Extensions\lcnmcjlfkgmmfnkonhalkaoebnjlnpao => déplacé(es) avec succès
"C:\WINDOWS\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat" => non trouvé(e).
"C:\WINDOWS\system32\{EC94D02F-D200-4428-9531-05AF7F9799CB}.bat" => non trouvé(e).
Fin de Fixlog 12:33:18
(je précise qu'à la première exectution de FRST, j'avais l'indication "déplacé avec succés", la ou j'ai obtenu "non trouvé(e)" la seconde donc je pense que ça a fonctionné correctement)Les 3 dossiers "Hives" , "Logs" et "Quarantine" ont été généré mais que dois-je en faire maintenant, j'ai toujours dans presque chaque dossier de mon ordinateur les fichiers how_recover+eiq.html et how_recover+eiq.txt ?
Encore merci.
Bien cordialement
