Virus ransomware extension .vvv et how_recover+ybh
Résolu/Fermé
coiffeur
Messages postés
366
Date d'inscription
lundi 14 novembre 2005
Statut
Membre
Dernière intervention
23 mai 2023
-
Modifié par coiffeur le 29/12/2015 à 19:47
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 12 janv. 2016 à 09:11
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 12 janv. 2016 à 09:11
A voir également:
- Virus ransomware extension .vvv et how_recover+ybh
- Extension dat - Guide
- Changer extension fichier - Guide
- Extension .bin - Guide
- Extension 7z - Guide
- Extension odt - Guide
3 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
29 déc. 2015 à 19:44
29 déc. 2015 à 19:44
Salut,
Tu as été infecté par un Ransomware chiffreurs de fichiers.
Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.
Plus l'air actif.
Fais une recherche de fichiers sur how_recover et supprime tout.
Pour la récupération des fichiers, voir ce tutoriel : Récupération/Décrypter les fichiers .vvv
Tu as été infecté par un Ransomware chiffreurs de fichiers.
Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.
Plus l'air actif.
Fais une recherche de fichiers sur how_recover et supprime tout.
Pour la récupération des fichiers, voir ce tutoriel : Récupération/Décrypter les fichiers .vvv
coiffeur
Messages postés
366
Date d'inscription
lundi 14 novembre 2005
Statut
Membre
Dernière intervention
23 mai 2023
29
30 déc. 2015 à 13:25
30 déc. 2015 à 13:25
je poste les rapport apres avoir supprimé les fichiers
et je patiente pou recevoir votre aide et savoir quoi faire à présent
https://pjjoint.malekal.com/files.php?id=FRST_20151230_g13k6f6b11s6
https://pjjoint.malekal.com/files.php?id=20151230_f7r13r12s96
https://pjjoint.malekal.com/files.php?id=20151230_u10f13y15z15n8
et je patiente pou recevoir votre aide et savoir quoi faire à présent
https://pjjoint.malekal.com/files.php?id=FRST_20151230_g13k6f6b11s6
https://pjjoint.malekal.com/files.php?id=20151230_f7r13r12s96
https://pjjoint.malekal.com/files.php?id=20151230_u10f13y15z15n8
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
Modifié par Malekal_morte- le 1/01/2016 à 17:00
Modifié par Malekal_morte- le 1/01/2016 à 17:00
Pour ceux qui tombent sur le sujet : Pour la récupération des fichiers qui ont été chiffrés par le ransomware (en extensions .vvv).
Ca se passe là : https://www.malekal.com/how_recover-teslacrypt-extension-vvv/#decrypter_extension_vvv/
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Ca se passe là : https://www.malekal.com/how_recover-teslacrypt-extension-vvv/#decrypter_extension_vvv/
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
MacWinux
Messages postés
7
Date d'inscription
lundi 11 janvier 2016
Statut
Membre
Dernière intervention
11 janvier 2016
11 janv. 2016 à 12:07
11 janv. 2016 à 12:07
Bonjour et un grand merci pour ton travail !
Meme souci que pour "coiffeur"...fichiers encryptés et extension "vvv".
Merci d'avance pour ton aide.
Je fonce deja sur ta page "Récupération/Décrypter fichiers .vvv (ransomware TeslaCrypt)".
Voici le lien vers les 3 scan Farbar:
addition.txt:
https://pjjoint.malekal.com/files.php?id=20160111_d12e6s10u1112
FRST.txt:
https://pjjoint.malekal.com/files.php?id=FRST_20160111_i7m10n10o15b6
Shortcut.txt:
https://pjjoint.malekal.com/files.php?id=20160111_x5w77p14l15
Meme souci que pour "coiffeur"...fichiers encryptés et extension "vvv".
Merci d'avance pour ton aide.
Je fonce deja sur ta page "Récupération/Décrypter fichiers .vvv (ransomware TeslaCrypt)".
Voici le lien vers les 3 scan Farbar:
addition.txt:
https://pjjoint.malekal.com/files.php?id=20160111_d12e6s10u1112
FRST.txt:
https://pjjoint.malekal.com/files.php?id=FRST_20160111_i7m10n10o15b6
Shortcut.txt:
https://pjjoint.malekal.com/files.php?id=20160111_x5w77p14l15
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
>
MacWinux
Messages postés
7
Date d'inscription
lundi 11 janvier 2016
Statut
Membre
Dernière intervention
11 janvier 2016
Modifié par Malekal_morte- le 11/01/2016 à 12:16
Modifié par Malekal_morte- le 11/01/2016 à 12:16
Salut MacWinux,
C'est vraiment volontaire le fait d'avoir Baidu Antivirus ??
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
HKU\S-1-5-21-2579682028-4231300233-3490792781-1000\...\Run: [Acronis] => C:\Users\Cyril\AppData\Roaming\nfqhm-bc.exe
ProxyEnable: [.DEFAULT] => Proxy est activé.
ProxyServer: [.DEFAULT] => http=127.0.0.1:50039;https=127.0.0.1:50039 [Attention - Possible Proxy Malicieux]
Hosts: Il y a plus d'un élément dans hosts. Voir la section Hosts de Addition.txt
C:\ProgramData\OACFKVRUXMRL.dat
HKU\S-1-5-21-2579682028-4231300233-3490792781-1000\...\Run: [Acrndtd] => C:\Users\Cyril\AppData\Roaming\hydobacroic.exe
Startup: C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+erq.html [2015-12-15] ()
Startup: C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+erq.txt [2015-12-15] ()
Startup: C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+xhw.html [2015-12-07] ()
Startup: C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+xhw.txt [2015-12-07] ()
C:\Users\Cyril\AppData\Roaming\hydobacroic.exe
Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Faire une recherche de fichiers sur Windows, pour supprimer tous les how_recover
Faudra sécuriser l'ordinateur, voir mon premier message : https://forums.commentcamarche.net/forum/affich-32965243-virus-ransomware-extension-vvv-et-how-recover-ybh#1
Pour la récupération des fichiers, voir ce message : https://forums.commentcamarche.net/forum/affich-32965243-virus-ransomware-extension-vvv-et-how-recover-ybh#15
C'est vraiment volontaire le fait d'avoir Baidu Antivirus ??
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
HKU\S-1-5-21-2579682028-4231300233-3490792781-1000\...\Run: [Acronis] => C:\Users\Cyril\AppData\Roaming\nfqhm-bc.exe
ProxyEnable: [.DEFAULT] => Proxy est activé.
ProxyServer: [.DEFAULT] => http=127.0.0.1:50039;https=127.0.0.1:50039 [Attention - Possible Proxy Malicieux]
Hosts: Il y a plus d'un élément dans hosts. Voir la section Hosts de Addition.txt
C:\ProgramData\OACFKVRUXMRL.dat
HKU\S-1-5-21-2579682028-4231300233-3490792781-1000\...\Run: [Acrndtd] => C:\Users\Cyril\AppData\Roaming\hydobacroic.exe
Startup: C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+erq.html [2015-12-15] ()
Startup: C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+erq.txt [2015-12-15] ()
Startup: C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+xhw.html [2015-12-07] ()
Startup: C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+xhw.txt [2015-12-07] ()
C:\Users\Cyril\AppData\Roaming\hydobacroic.exe
Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Faire une recherche de fichiers sur Windows, pour supprimer tous les how_recover
Faudra sécuriser l'ordinateur, voir mon premier message : https://forums.commentcamarche.net/forum/affich-32965243-virus-ransomware-extension-vvv-et-how-recover-ybh#1
Pour la récupération des fichiers, voir ce message : https://forums.commentcamarche.net/forum/affich-32965243-virus-ransomware-extension-vvv-et-how-recover-ybh#15
MacWinux
Messages postés
7
Date d'inscription
lundi 11 janvier 2016
Statut
Membre
Dernière intervention
11 janvier 2016
>
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
11 janv. 2016 à 14:35
11 janv. 2016 à 14:35
voici les résultats du FRST
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:10-01-2015 01
Exécuté par Cyril (2016-01-11 14:33:47) Run:1
Exécuté depuis C:\Users\Cyril\Desktop
Profils chargés: Cyril (Profils disponibles: Cyril)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
HKU\S-1-5-21-2579682028-4231300233-3490792781-1000\...\Run: [Acronis] => C:\Users\Cyril\AppData\Roaming\nfqhm-bc.exe
ProxyEnable: [.DEFAULT] => Proxy est activé.
ProxyServer: [.DEFAULT] => http=127.0.0.1:50039;https=127.0.0.1:50039 [Attention - Possible Proxy Malicieux]
Hosts: Il y a plus d'un élément dans hosts. Voir la section Hosts de Addition.txt
C:\ProgramData\OACFKVRUXMRL.dat
HKU\S-1-5-21-2579682028-4231300233-3490792781-1000\...\Run: [Acrndtd] => C:\Users\Cyril\AppData\Roaming\hydobacroic.exe
Startup: C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+erq.html [2015-12-15] ()
Startup: C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+erq.txt [2015-12-15] ()
Startup: C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+xhw.html [2015-12-07] ()
Startup: C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+xhw.txt [2015-12-07] ()
C:\Users\Cyril\AppData\Roaming\hydobacroic.exe
HKU\S-1-5-21-2579682028-4231300233-3490792781-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Acronis => valeur non trouvé(e).
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable => valeur supprimé(es) avec succès
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer => valeur supprimé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.
C:\ProgramData\OACFKVRUXMRL.dat => déplacé(es) avec succès
HKU\S-1-5-21-2579682028-4231300233-3490792781-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Acrndtd => valeur non trouvé(e).
C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+erq.html => déplacé(es) avec succès
C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+erq.txt => déplacé(es) avec succès
C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+xhw.html => déplacé(es) avec succès
C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+xhw.txt => déplacé(es) avec succès
"C:\Users\Cyril\AppData\Roaming\hydobacroic.exe" => non trouvé(e).
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:10-01-2015 01
Exécuté par Cyril (2016-01-11 14:33:47) Run:1
Exécuté depuis C:\Users\Cyril\Desktop
Profils chargés: Cyril (Profils disponibles: Cyril)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
HKU\S-1-5-21-2579682028-4231300233-3490792781-1000\...\Run: [Acronis] => C:\Users\Cyril\AppData\Roaming\nfqhm-bc.exe
ProxyEnable: [.DEFAULT] => Proxy est activé.
ProxyServer: [.DEFAULT] => http=127.0.0.1:50039;https=127.0.0.1:50039 [Attention - Possible Proxy Malicieux]
Hosts: Il y a plus d'un élément dans hosts. Voir la section Hosts de Addition.txt
C:\ProgramData\OACFKVRUXMRL.dat
HKU\S-1-5-21-2579682028-4231300233-3490792781-1000\...\Run: [Acrndtd] => C:\Users\Cyril\AppData\Roaming\hydobacroic.exe
Startup: C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+erq.html [2015-12-15] ()
Startup: C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+erq.txt [2015-12-15] ()
Startup: C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+xhw.html [2015-12-07] ()
Startup: C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+xhw.txt [2015-12-07] ()
C:\Users\Cyril\AppData\Roaming\hydobacroic.exe
HKU\S-1-5-21-2579682028-4231300233-3490792781-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Acronis => valeur non trouvé(e).
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable => valeur supprimé(es) avec succès
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer => valeur supprimé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.
C:\ProgramData\OACFKVRUXMRL.dat => déplacé(es) avec succès
HKU\S-1-5-21-2579682028-4231300233-3490792781-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Acrndtd => valeur non trouvé(e).
C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+erq.html => déplacé(es) avec succès
C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+erq.txt => déplacé(es) avec succès
C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+xhw.html => déplacé(es) avec succès
C:\Users\Cyril\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+xhw.txt => déplacé(es) avec succès
"C:\Users\Cyril\AppData\Roaming\hydobacroic.exe" => non trouvé(e).
Fin de Fixlog 14:33:59
MacWinux
Messages postés
7
Date d'inscription
lundi 11 janvier 2016
Statut
Membre
Dernière intervention
11 janvier 2016
11 janv. 2016 à 14:36
11 janv. 2016 à 14:36
et de nouveau MERCI pour l'expertise !
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
>
MacWinux
Messages postés
7
Date d'inscription
lundi 11 janvier 2016
Statut
Membre
Dernière intervention
11 janvier 2016
11 janv. 2016 à 14:58
11 janv. 2016 à 14:58
De rien, décrypte les fichiers et sécurise ton ordinateur : http://forum.malekal.com/comment-securiser-son-ordinateur.html
29 déc. 2015 à 19:48
29 déc. 2015 à 20:25
29 déc. 2015 à 20:38
Modifié par coiffeur le 30/12/2015 à 13:28
je m'attaque au nettoyage
il faut suivre le lien ci-dessus ? j'ai un doute puisque c'est écrite recuperation des fichiers .vvv
https://www.malekal.com/how_recover-teslacrypt-extension-vvv/#decrypter_extension_vvv/
30 déc. 2015 à 16:32