Virus ransomware extension .vvv et how_recover+ybh
Résolu
coiffeur
Messages postés
366
Date d'inscription
Statut
Membre
Dernière intervention
-
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
j'ai comme d'autre personne ici le problème à l'ouverture du PC de vista d'un de mes oncles
plusieurs de ses fichiers on reçu l’extension .vvv les rendant inutilisable
et au démarrage du PC un fichier bloc note nommé how_recover+ybh
j'ai téléchargé FRST et voici ce que ça m'a donné comme rapport
je n'ai pas pu l’exécuter en administrateur le clique droit ne fonctionne pas
https://www.cjoint.com/c/ELDsGt4jEmu
https://www.cjoint.com/c/ELDsHdvgNUu
que faut-il faire à prestent pour ce débarrasser de ce problème
et sera-t-il possible de récupérer les photos ?
merci d'avance de votre aide
que je ne lirais peut etre que demain
j'ai réussi à l'executer en administrateur et à avoir 3 fichiers
https://pjjoint.malekal.com/files.php?id=FRST_20151229_l7z12p15n13i10
https://pjjoint.malekal.com/files.php?id=20151229_u12f11h6m10v6
https://pjjoint.malekal.com/files.php?id=20151229_p12m14d6h12d11
j'ai comme d'autre personne ici le problème à l'ouverture du PC de vista d'un de mes oncles
plusieurs de ses fichiers on reçu l’extension .vvv les rendant inutilisable
et au démarrage du PC un fichier bloc note nommé how_recover+ybh
j'ai téléchargé FRST et voici ce que ça m'a donné comme rapport
je n'ai pas pu l’exécuter en administrateur le clique droit ne fonctionne pas
https://www.cjoint.com/c/ELDsGt4jEmu
https://www.cjoint.com/c/ELDsHdvgNUu
que faut-il faire à prestent pour ce débarrasser de ce problème
et sera-t-il possible de récupérer les photos ?
merci d'avance de votre aide
que je ne lirais peut etre que demain
j'ai réussi à l'executer en administrateur et à avoir 3 fichiers
https://pjjoint.malekal.com/files.php?id=FRST_20151229_l7z12p15n13i10
https://pjjoint.malekal.com/files.php?id=20151229_u12f11h6m10v6
https://pjjoint.malekal.com/files.php?id=20151229_p12m14d6h12d11
A voir également:
- Virus ransomware extension .vvv et how_recover+ybh
- Changer extension fichier - Guide
- Extension .bin - Guide
- Extension dat - Guide
- Virus mcafee - Accueil - Piratage
- Extension 7z - Guide
3 réponses
Salut,
Tu as été infecté par un Ransomware chiffreurs de fichiers.
Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.
Plus l'air actif.
Fais une recherche de fichiers sur how_recover et supprime tout.
Pour la récupération des fichiers, voir ce tutoriel : Récupération/Décrypter les fichiers .vvv
Tu as été infecté par un Ransomware chiffreurs de fichiers.
Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.
Plus l'air actif.
Fais une recherche de fichiers sur how_recover et supprime tout.
Pour la récupération des fichiers, voir ce tutoriel : Récupération/Décrypter les fichiers .vvv
je poste les rapport apres avoir supprimé les fichiers
et je patiente pou recevoir votre aide et savoir quoi faire à présent
https://pjjoint.malekal.com/files.php?id=FRST_20151230_g13k6f6b11s6
https://pjjoint.malekal.com/files.php?id=20151230_f7r13r12s96
https://pjjoint.malekal.com/files.php?id=20151230_u10f13y15z15n8
et je patiente pou recevoir votre aide et savoir quoi faire à présent
https://pjjoint.malekal.com/files.php?id=FRST_20151230_g13k6f6b11s6
https://pjjoint.malekal.com/files.php?id=20151230_f7r13r12s96
https://pjjoint.malekal.com/files.php?id=20151230_u10f13y15z15n8
Pour ceux qui tombent sur le sujet : Pour la récupération des fichiers qui ont été chiffrés par le ransomware (en extensions .vvv).
Ca se passe là : https://www.malekal.com/how_recover-teslacrypt-extension-vvv/#decrypter_extension_vvv/
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Ca se passe là : https://www.malekal.com/how_recover-teslacrypt-extension-vvv/#decrypter_extension_vvv/
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Bonjour et un grand merci pour ton travail !
Meme souci que pour "coiffeur"...fichiers encryptés et extension "vvv".
Merci d'avance pour ton aide.
Je fonce deja sur ta page "Récupération/Décrypter fichiers .vvv (ransomware TeslaCrypt)".
Voici le lien vers les 3 scan Farbar:
addition.txt:
https://pjjoint.malekal.com/files.php?id=20160111_d12e6s10u1112
FRST.txt:
https://pjjoint.malekal.com/files.php?id=FRST_20160111_i7m10n10o15b6
Shortcut.txt:
https://pjjoint.malekal.com/files.php?id=20160111_x5w77p14l15
Meme souci que pour "coiffeur"...fichiers encryptés et extension "vvv".
Merci d'avance pour ton aide.
Je fonce deja sur ta page "Récupération/Décrypter fichiers .vvv (ransomware TeslaCrypt)".
Voici le lien vers les 3 scan Farbar:
addition.txt:
https://pjjoint.malekal.com/files.php?id=20160111_d12e6s10u1112
FRST.txt:
https://pjjoint.malekal.com/files.php?id=FRST_20160111_i7m10n10o15b6
Shortcut.txt:
https://pjjoint.malekal.com/files.php?id=20160111_x5w77p14l15
Salut MacWinux,
C'est vraiment volontaire le fait d'avoir Baidu Antivirus ??
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
HKU\S-1-5-21-2579682028-4231300233-3490792781-1000\...\Run: [Acronis] => C:\Users\Cyril\AppData\Roaming\nfqhm-bc.exe
ProxyEnable: [.DEFAULT] => Proxy est activé.
ProxyServer: [.DEFAULT] => http=127.0.0.1:50039;https=127.0.0.1:50039 [Attention - Possible Proxy Malicieux]
Hosts: Il y a plus d'un élément dans hosts. Voir la section Hosts de Addition.txt
C:\ProgramData\OACFKVRUXMRL.dat
HKU\S-1-5-21-2579682028-4231300233-3490792781-1000\...\Run: [Acrndtd] => C:\Users\Cyril\AppData\Roaming\hydobacroic.exe
Startup: C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+erq.html [2015-12-15] ()
Startup: C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+erq.txt [2015-12-15] ()
Startup: C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+xhw.html [2015-12-07] ()
Startup: C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+xhw.txt [2015-12-07] ()
C:\Users\Cyril\AppData\Roaming\hydobacroic.exe
Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Faire une recherche de fichiers sur Windows, pour supprimer tous les how_recover
Faudra sécuriser l'ordinateur, voir mon premier message : https://forums.commentcamarche.net/forum/affich-32965243-virus-ransomware-extension-vvv-et-how-recover-ybh#1
Pour la récupération des fichiers, voir ce message : https://forums.commentcamarche.net/forum/affich-32965243-virus-ransomware-extension-vvv-et-how-recover-ybh#15
C'est vraiment volontaire le fait d'avoir Baidu Antivirus ??
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
HKU\S-1-5-21-2579682028-4231300233-3490792781-1000\...\Run: [Acronis] => C:\Users\Cyril\AppData\Roaming\nfqhm-bc.exe
ProxyEnable: [.DEFAULT] => Proxy est activé.
ProxyServer: [.DEFAULT] => http=127.0.0.1:50039;https=127.0.0.1:50039 [Attention - Possible Proxy Malicieux]
Hosts: Il y a plus d'un élément dans hosts. Voir la section Hosts de Addition.txt
C:\ProgramData\OACFKVRUXMRL.dat
HKU\S-1-5-21-2579682028-4231300233-3490792781-1000\...\Run: [Acrndtd] => C:\Users\Cyril\AppData\Roaming\hydobacroic.exe
Startup: C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+erq.html [2015-12-15] ()
Startup: C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+erq.txt [2015-12-15] ()
Startup: C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+xhw.html [2015-12-07] ()
Startup: C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+xhw.txt [2015-12-07] ()
C:\Users\Cyril\AppData\Roaming\hydobacroic.exe
Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Faire une recherche de fichiers sur Windows, pour supprimer tous les how_recover
Faudra sécuriser l'ordinateur, voir mon premier message : https://forums.commentcamarche.net/forum/affich-32965243-virus-ransomware-extension-vvv-et-how-recover-ybh#1
Pour la récupération des fichiers, voir ce message : https://forums.commentcamarche.net/forum/affich-32965243-virus-ransomware-extension-vvv-et-how-recover-ybh#15
voici les résultats du FRST
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:10-01-2015 01
Exécuté par Cyril (2016-01-11 14:33:47) Run:1
Exécuté depuis C:\Users\Cyril\Desktop
Profils chargés: Cyril (Profils disponibles: Cyril)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
HKU\S-1-5-21-2579682028-4231300233-3490792781-1000\...\Run: [Acronis] => C:\Users\Cyril\AppData\Roaming\nfqhm-bc.exe
ProxyEnable: [.DEFAULT] => Proxy est activé.
ProxyServer: [.DEFAULT] => http=127.0.0.1:50039;https=127.0.0.1:50039 [Attention - Possible Proxy Malicieux]
Hosts: Il y a plus d'un élément dans hosts. Voir la section Hosts de Addition.txt
C:\ProgramData\OACFKVRUXMRL.dat
HKU\S-1-5-21-2579682028-4231300233-3490792781-1000\...\Run: [Acrndtd] => C:\Users\Cyril\AppData\Roaming\hydobacroic.exe
Startup: C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+erq.html [2015-12-15] ()
Startup: C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+erq.txt [2015-12-15] ()
Startup: C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+xhw.html [2015-12-07] ()
Startup: C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+xhw.txt [2015-12-07] ()
C:\Users\Cyril\AppData\Roaming\hydobacroic.exe
HKU\S-1-5-21-2579682028-4231300233-3490792781-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Acronis => valeur non trouvé(e).
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable => valeur supprimé(es) avec succès
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer => valeur supprimé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.
C:\ProgramData\OACFKVRUXMRL.dat => déplacé(es) avec succès
HKU\S-1-5-21-2579682028-4231300233-3490792781-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Acrndtd => valeur non trouvé(e).
C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+erq.html => déplacé(es) avec succès
C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+erq.txt => déplacé(es) avec succès
C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+xhw.html => déplacé(es) avec succès
C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+xhw.txt => déplacé(es) avec succès
"C:\Users\Cyril\AppData\Roaming\hydobacroic.exe" => non trouvé(e).
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:10-01-2015 01
Exécuté par Cyril (2016-01-11 14:33:47) Run:1
Exécuté depuis C:\Users\Cyril\Desktop
Profils chargés: Cyril (Profils disponibles: Cyril)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
HKU\S-1-5-21-2579682028-4231300233-3490792781-1000\...\Run: [Acronis] => C:\Users\Cyril\AppData\Roaming\nfqhm-bc.exe
ProxyEnable: [.DEFAULT] => Proxy est activé.
ProxyServer: [.DEFAULT] => http=127.0.0.1:50039;https=127.0.0.1:50039 [Attention - Possible Proxy Malicieux]
Hosts: Il y a plus d'un élément dans hosts. Voir la section Hosts de Addition.txt
C:\ProgramData\OACFKVRUXMRL.dat
HKU\S-1-5-21-2579682028-4231300233-3490792781-1000\...\Run: [Acrndtd] => C:\Users\Cyril\AppData\Roaming\hydobacroic.exe
Startup: C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+erq.html [2015-12-15] ()
Startup: C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+erq.txt [2015-12-15] ()
Startup: C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+xhw.html [2015-12-07] ()
Startup: C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+xhw.txt [2015-12-07] ()
C:\Users\Cyril\AppData\Roaming\hydobacroic.exe
HKU\S-1-5-21-2579682028-4231300233-3490792781-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Acronis => valeur non trouvé(e).
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable => valeur supprimé(es) avec succès
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer => valeur supprimé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.
C:\ProgramData\OACFKVRUXMRL.dat => déplacé(es) avec succès
HKU\S-1-5-21-2579682028-4231300233-3490792781-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Acrndtd => valeur non trouvé(e).
C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+erq.html => déplacé(es) avec succès
C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+erq.txt => déplacé(es) avec succès
C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+xhw.html => déplacé(es) avec succès
C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+xhw.txt => déplacé(es) avec succès
"C:\Users\Cyril\AppData\Roaming\hydobacroic.exe" => non trouvé(e).
je m'attaque au nettoyage
il faut suivre le lien ci-dessus ? j'ai un doute puisque c'est écrite recuperation des fichiers .vvv
https://www.malekal.com/how_recover-teslacrypt-extension-vvv/#decrypter_extension_vvv/