Virus ransomware extension .vvv et how_recover+ybh

Résolu
coiffeur Messages postés 398 Statut Membre -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

j'ai comme d'autre personne ici le problème à l'ouverture du PC de vista d'un de mes oncles
plusieurs de ses fichiers on reçu l’extension .vvv les rendant inutilisable
et au démarrage du PC un fichier bloc note nommé how_recover+ybh

j'ai téléchargé FRST et voici ce que ça m'a donné comme rapport
je n'ai pas pu l’exécuter en administrateur le clique droit ne fonctionne pas

https://www.cjoint.com/c/ELDsGt4jEmu
https://www.cjoint.com/c/ELDsHdvgNUu

que faut-il faire à prestent pour ce débarrasser de ce problème
et sera-t-il possible de récupérer les photos ?

merci d'avance de votre aide
que je ne lirais peut etre que demain

j'ai réussi à l'executer en administrateur et à avoir 3 fichiers

https://pjjoint.malekal.com/files.php?id=FRST_20151229_l7z12p15n13i10
https://pjjoint.malekal.com/files.php?id=20151229_u12f11h6m10v6
https://pjjoint.malekal.com/files.php?id=20151229_p12m14d6h12d11

3 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Tu as été infecté par un Ransomware chiffreurs de fichiers.

    Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.

    Plus l'air actif.

    Fais une recherche de fichiers sur how_recover et supprime tout.

    Pour la récupération des fichiers, voir ce tutoriel : Récupération/Décrypter les fichiers .vvv

    1
    1. coiffeur Messages postés 398 Statut Membre 29
       
      merci je vais regarder tout ça
      0
    2. coiffeur Messages postés 398 Statut Membre 29
       
      c'est en train de supprimer*il y en a plus de 2500...
      0
    3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > coiffeur Messages postés 398 Statut Membre
       
      Cela ne m'étonne pas =)
      0
    4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > coiffeur Messages postés 398 Statut Membre
       
      oui c'est bien cela.
      0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Pour ceux qui tombent sur le sujet : Pour la récupération des fichiers qui ont été chiffrés par le ransomware (en extensions .vvv).
    Ca se passe là : https://www.malekal.com/how_recover-teslacrypt-extension-vvv/#decrypter_extension_vvv/

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    0
    1. MacWinux Messages postés 9 Statut Membre
       
      Bonjour et un grand merci pour ton travail !
      Meme souci que pour "coiffeur"...fichiers encryptés et extension "vvv".
      Merci d'avance pour ton aide.
      Je fonce deja sur ta page "Récupération/Décrypter fichiers .vvv (ransomware TeslaCrypt)".

      Voici le lien vers les 3 scan Farbar:

      addition.txt:
      https://pjjoint.malekal.com/files.php?id=20160111_d12e6s10u1112

      FRST.txt:
      https://pjjoint.malekal.com/files.php?id=FRST_20160111_i7m10n10o15b6

      Shortcut.txt:
      https://pjjoint.malekal.com/files.php?id=20160111_x5w77p14l15
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > MacWinux Messages postés 9 Statut Membre
       
      Salut MacWinux,

      C'est vraiment volontaire le fait d'avoir Baidu Antivirus ??



      Voici la correction à  effectuer avec FRST.
      Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

      Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
      Copie/colle dedans ce qui suit :

      HKU\S-1-5-21-2579682028-4231300233-3490792781-1000\...\Run: [Acronis] => C:\Users\Cyril\AppData\Roaming\nfqhm-bc.exe
      ProxyEnable: [.DEFAULT] => Proxy est activé.
      ProxyServer: [.DEFAULT] => http=127.0.0.1:50039;https=127.0.0.1:50039 [Attention - Possible Proxy Malicieux]
      Hosts: Il y a plus d'un élément dans hosts. Voir la section Hosts de Addition.txt
      C:\ProgramData\OACFKVRUXMRL.dat
      HKU\S-1-5-21-2579682028-4231300233-3490792781-1000\...\Run: [Acrndtd] => C:\Users\Cyril\AppData\Roaming\hydobacroic.exe
      Startup: C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+erq.html [2015-12-15] ()
      Startup: C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+erq.txt [2015-12-15] ()
      Startup: C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+xhw.html [2015-12-07] ()
      Startup: C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+xhw.txt [2015-12-07] ()
      C:\Users\Cyril\AppData\Roaming\hydobacroic.exe

      Une fois, le texte collé dans le bloc-note.
      Menu Fichier puis Enregistrer sous.
      A gauche, place toi sur le bureau.
      Dans le champs en bas, nom du fichier mets : fixlist.txt
      Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

      Relance FRST et clic sur le bouton Corriger / Fix
      Selon comment un redémarrage est nécessaire (pas obligatoire).
      Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

      Redémarre l'ordinateur

      Faire une recherche de fichiers sur Windows, pour supprimer tous les how_recover

      Faudra sécuriser l'ordinateur, voir mon premier message : https://forums.commentcamarche.net/forum/affich-32965243-virus-ransomware-extension-vvv-et-how-recover-ybh#1

      Pour la récupération des fichiers, voir ce message : https://forums.commentcamarche.net/forum/affich-32965243-virus-ransomware-extension-vvv-et-how-recover-ybh#15
      0
    3. MacWinux Messages postés 9 Statut Membre > Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
       
      voici les résultats du FRST
      Résultats de correction de Farbar Recovery Scan Tool (x64) Version:10-01-2015 01
      Exécuté par Cyril (2016-01-11 14:33:47) Run:1
      Exécuté depuis C:\Users\Cyril\Desktop
      Profils chargés: Cyril (Profils disponibles: Cyril)
      Mode d'amorçage: Normal
      ==============================================

      fixlist contenu:

      HKU\S-1-5-21-2579682028-4231300233-3490792781-1000\...\Run: [Acronis] => C:\Users\Cyril\AppData\Roaming\nfqhm-bc.exe
      ProxyEnable: [.DEFAULT] => Proxy est activé.
      ProxyServer: [.DEFAULT] => http=127.0.0.1:50039;https=127.0.0.1:50039 [Attention - Possible Proxy Malicieux]
      Hosts: Il y a plus d'un élément dans hosts. Voir la section Hosts de Addition.txt
      C:\ProgramData\OACFKVRUXMRL.dat
      HKU\S-1-5-21-2579682028-4231300233-3490792781-1000\...\Run: [Acrndtd] => C:\Users\Cyril\AppData\Roaming\hydobacroic.exe
      Startup: C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+erq.html [2015-12-15] ()
      Startup: C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+erq.txt [2015-12-15] ()
      Startup: C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+xhw.html [2015-12-07] ()
      Startup: C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+xhw.txt [2015-12-07] ()
      C:\Users\Cyril\AppData\Roaming\hydobacroic.exe


      HKU\S-1-5-21-2579682028-4231300233-3490792781-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Acronis => valeur non trouvé(e).
      HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable => valeur supprimé(es) avec succès
      HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer => valeur supprimé(es) avec succès
      C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
      Hosts restauré(es) avec succès.
      C:\ProgramData\OACFKVRUXMRL.dat => déplacé(es) avec succès
      HKU\S-1-5-21-2579682028-4231300233-3490792781-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Acrndtd => valeur non trouvé(e).
      C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+erq.html => déplacé(es) avec succès
      C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+erq.txt => déplacé(es) avec succès
      C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+xhw.html => déplacé(es) avec succès
      C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+xhw.txt => déplacé(es) avec succès
      "C:\Users\Cyril\AppData\Roaming\hydobacroic.exe" => non trouvé(e).

      Fin de Fixlog 14:33:59

      0
    4. MacWinux Messages postés 9 Statut Membre
       
      et de nouveau MERCI pour l'expertise !
      0
    5. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > MacWinux Messages postés 9 Statut Membre
       
      De rien, décrypte les fichiers et sécurise ton ordinateur : http://forum.malekal.com/comment-securiser-son-ordinateur.html
      0