Fichiers vvv

Fermé
arturius07 Messages postés 2 Date d'inscription jeudi 31 décembre 2015 Statut Membre Dernière intervention 3 janvier 2016 - 31 déc. 2015 à 21:48
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 3 janv. 2016 à 20:25
Depuis le 22/12 j'ai un virus qui m'a transformé toute mes extensions de fichiers en VVV, impossible de lire mes fichiers, de visionner mes photos.
d'après un cas similaire sur le forum, il s'agirait d'un ramsonware, j'ai suivi la même démarche pour solutionner le problème, j'ai fait une analyse avec le logiciel FIRST.

voici les liens pour consulter les rapports:

https://pjjoint.malekal.com/files.php?id=FRST_20151231_v15c5z7o15u7
https://pjjoint.malekal.com/files.php?id=20151231_u9p14k10r8z9
https://pjjoint.malekal.com/files.php?id=20151231_i13e10v15g9s14

merci par avance à celui qui me permettra de retrouver mes documents et me débarrasser de ce virus.

3 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 1/01/2016 à 10:32
Salut,

Tu as été infecté par un Ransomware chiffreurs de fichiers.

Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.


Je te conseille de désinstaller Spybot, pas super efficace, selon moi.
Voir ce sujet : Adwares : Antispyware comment ne pas désinfecter son PC



Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

2015-12-23 22:50 - 2012-04-23 20:38 - 00000000 ____D C:\Documents and Settings\Utilisateur\Application Data\searchquband
2015-12-23 22:50 - 2012-01-16 21:24 - 00000000 ____D C:\Documents and Settings\Utilisateur\Application Data\searchqutoolbar
FF SearchPlugin: C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\l6kldmjz.default\searchplugins\how_recover+bby.html [2015-12-23]
FF SearchPlugin: C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\l6kldmjz.default\searchplugins\how_recover+bby.txt [2015-12-23]
FF SearchPlugin: C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\l6kldmjz.default\searchplugins\how_recover+pta.html [2015-12-23]
FF SearchPlugin: C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\l6kldmjz.default\searchplugins\how_recover+pta.txt [2015-12-23]
FF SearchPlugin: C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\l6kldmjz.default\searchplugins\how_recover+xbf.html [2015-12-22]
FF SearchPlugin: C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\l6kldmjz.default\searchplugins\how_recover+xbf.txt [2015-12-22]
FF SearchPlugin: C:\Documents and Settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\l6kldmjz.default\searchplugins\Search_Results.xml [2012-01-16]
AppInit_DLLs: c:\progra~1\wi9130~1\datamngr\datamngr.dll => c:\Program Files\Windows Searchqu Toolbar\Datamngr\datamngr.dll [1236368 2011-11-14] (Bandoo Media, inc)
AppInit_DLLs: c:\progra~1\wi9130~1\datamngr\iebho.dll => c:\Program Files\Windows Searchqu Toolbar\Datamngr\IEBHO.dll [1233816 2011-11-14] (Bandoo Media, inc)
c:\progra~1\wi9130~1
HKU\S-1-5-21-1757981266-484763869-725345543-1003\...\Run: [meryHmas] => C:\Documents and Settings\Utilisateur\Application Data\dspycskhf2.exe
Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\how_recover+bby.html [2015-12-23] ()
Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\how_recover+bby.txt [2015-12-23] ()
Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\how_recover+pta.html [2015-12-23] ()
Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\how_recover+pta.txt [2015-12-23] ()
Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\how_recover+xbf.html [2015-12-22] ()
Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\how_recover+xbf.txt [2015-12-22] ()
Startup: C:\Documents and Settings\Default User\Menu Démarrer\Programmes\Démarrage\how_recover+bby.html [2015-12-23] ()
Startup: C:\Documents and Settings\Default User\Menu Démarrer\Programmes\Démarrage\how_recover+bby.txt [2015-12-23] ()
Startup: C:\Documents and Settings\Default User\Menu Démarrer\Programmes\Démarrage\how_recover+pta.html [2015-12-23] ()
Startup: C:\Documents and Settings\Default User\Menu Démarrer\Programmes\Démarrage\how_recover+pta.txt [2015-12-23] ()
Startup: C:\Documents and Settings\Default User\Menu Démarrer\Programmes\Démarrage\how_recover+xbf.html [2015-12-22] ()
Startup: C:\Documents and Settings\Default User\Menu Démarrer\Programmes\Démarrage\how_recover+xbf.txt [2015-12-22] ()
Startup: C:\Documents and Settings\UpdatusUser\Menu Démarrer\Programmes\Démarrage\how_recover+bby.html [2015-12-23] ()
Startup: C:\Documents and Settings\UpdatusUser\Menu Démarrer\Programmes\Démarrage\how_recover+bby.txt [2015-12-23] ()
Startup: C:\Documents and Settings\UpdatusUser\Menu Démarrer\Programmes\Démarrage\how_recover+pta.html [2015-12-23] ()
Startup: C:\Documents and Settings\UpdatusUser\Menu Démarrer\Programmes\Démarrage\how_recover+pta.txt [2015-12-23] ()
Startup: C:\Documents and Settings\UpdatusUser\Menu Démarrer\Programmes\Démarrage\how_recover+xbf.html [2015-12-22] ()
Startup: C:\Documents and Settings\UpdatusUser\Menu Démarrer\Programmes\Démarrage\how_recover+xbf.txt [2015-12-22] ()


Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur



Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
arturius07 Messages postés 2 Date d'inscription jeudi 31 décembre 2015 Statut Membre Dernière intervention 3 janvier 2016
3 janv. 2016 à 20:13
voici le contenu du fichier:

Résultats de correction de Farbar Recovery Scan Tool (x86) Version:30-12-2015
Exécuté par Utilisateur (2016-01-01 23:07:05) Run:1
Exécuté depuis C:\Documents and Settings\Utilisateur\Bureau
Profils chargés: Utilisateur & UpdatusUser (Profils disponibles: Utilisateur & UpdatusUser)
Mode d'amorçage: Normal

==============================================

fixlist contenu:

HKU\S-1-5-21-1757981266-484763869-725345543-1003\...\Run: [meryHmas] => C:\Documents and Settings\Utilisateur\Application Data\dspycskhf2.exe
Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\how_recover+bby.html [2015-12-23] ()
Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\how_recover+bby.txt [2015-12-23] ()
Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\how_recover+pta.html [2015-12-23] ()
Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\how_recover+pta.txt [2015-12-23] ()
Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\how_recover+xbf.html [2015-12-22] ()
Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\how_recover+xbf.txt [2015-12-22] ()
Startup: C:\Documents and Settings\Default User\Menu Démarrer\Programmes\Démarrage\how_recover+bby.html [2015-12-23] ()
Startup: C:\Documents and Settings\Default User\Menu Démarrer\Programmes\Démarrage\how_recover+bby.txt [2015-12-23] ()
Startup: C:\Documents and Settings\Default User\Menu Démarrer\Programmes\Démarrage\how_recover+pta.html [2015-12-23] ()
Startup: C:\Documents and Settings\Default User\Menu Démarrer\Programmes\Démarrage\how_recover+pta.txt [2015-12-23] ()
Startup: C:\Documents and Settings\Default User\Menu Démarrer\Programmes\Démarrage\how_recover+xbf.html [2015-12-22] ()
Startup: C:\Documents and Settings\Default User\Menu Démarrer\Programmes\Démarrage\how_recover+xbf.txt [2015-12-22] ()
Startup: C:\Documents and Settings\UpdatusUser\Menu Démarrer\Programmes\Démarrage\how_recover+bby.html [2015-12-23] ()
Startup: C:\Documents and Settings\UpdatusUser\Menu Démarrer\Programmes\Démarrage\how_recover+bby.txt [2015-12-23] ()
Startup: C:\Documents and Settings\UpdatusUser\Menu Démarrer\Programmes\Démarrage\how_recover+pta.html [2015-12-23] ()
Startup: C:\Documents and Settings\UpdatusUser\Menu Démarrer\Programmes\Démarrage\how_recover+pta.txt [2015-12-23] ()
Startup: C:\Documents and Settings\UpdatusUser\Menu Démarrer\Programmes\Démarrage\how_recover+xbf.html [2015-12-22] ()
Startup: C:\Documents and Settings\UpdatusUser\Menu Démarrer\Programmes\Démarrage\how_recover+xbf.txt [2015-12-22] ()


HKU\S-1-5-21-1757981266-484763869-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run\\meryHmas => valeur supprimé(es) avec succès
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\how_recover+bby.html => déplacé(es) avec succès
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\how_recover+bby.txt => déplacé(es) avec succès
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\how_recover+pta.html => déplacé(es) avec succès
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\how_recover+pta.txt => déplacé(es) avec succès
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\how_recover+xbf.html => déplacé(es) avec succès
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\how_recover+xbf.txt => déplacé(es) avec succès
C:\Documents and Settings\Default User\Menu Démarrer\Programmes\Démarrage\how_recover+bby.html => déplacé(es) avec succès
C:\Documents and Settings\Default User\Menu Démarrer\Programmes\Démarrage\how_recover+bby.txt => déplacé(es) avec succès
C:\Documents and Settings\Default User\Menu Démarrer\Programmes\Démarrage\how_recover+pta.html => déplacé(es) avec succès
C:\Documents and Settings\Default User\Menu Démarrer\Programmes\Démarrage\how_recover+pta.txt => déplacé(es) avec succès
C:\Documents and Settings\Default User\Menu Démarrer\Programmes\Démarrage\how_recover+xbf.html => déplacé(es) avec succès
C:\Documents and Settings\Default User\Menu Démarrer\Programmes\Démarrage\how_recover+xbf.txt => déplacé(es) avec succès
C:\Documents and Settings\UpdatusUser\Menu Démarrer\Programmes\Démarrage\how_recover+bby.html => déplacé(es) avec succès
C:\Documents and Settings\UpdatusUser\Menu Démarrer\Programmes\Démarrage\how_recover+bby.txt => déplacé(es) avec succès
C:\Documents and Settings\UpdatusUser\Menu Démarrer\Programmes\Démarrage\how_recover+pta.html => déplacé(es) avec succès
C:\Documents and Settings\UpdatusUser\Menu Démarrer\Programmes\Démarrage\how_recover+pta.txt => déplacé(es) avec succès
C:\Documents and Settings\UpdatusUser\Menu Démarrer\Programmes\Démarrage\how_recover+xbf.html => déplacé(es) avec succès
C:\Documents and Settings\UpdatusUser\Menu Démarrer\Programmes\Démarrage\how_recover+xbf.txt => déplacé(es) avec succès

Fin de Fixlog 23:07:05

le lien internet lié au virus ne se lance plus au démarrage de mon ordi, par contre toujours impossible de lire les fichiers !!!
existes-t-il une solution pour les récupérer ?
est ce que le virus est encore dans mon ordi, comment le savoir ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 3/01/2016 à 20:25
C'est normal, c'est pas "magique".
Je veux dire, c'est pas parce qu'il n'est plus actif que tout va revenir à la normale, les fichiers ont été chiffrés.
C'est un peu comme si tu avais tous tes documents zippés (compressé en .zip) et un mot de passe, si tu préfères.

Fais une recherche de fichiers sur how_recover et supprime tout.


Pour la récupération des fichiers, voir ce tutoriel : Récupération/Décrypter les fichiers .vvv



Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0