Infection extension .vvv
Fermé
callie22
Messages postés
32
Date d'inscription
vendredi 10 janvier 2014
Statut
Membre
Dernière intervention
12 janvier 2016
-
11 janv. 2016 à 09:38
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 12 janv. 2016 à 23:18
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 12 janv. 2016 à 23:18
A voir également:
- Infection extension .vvv
- Extension dat - Guide
- Changer extension fichier - Guide
- Extension .bin - Guide
- Extension 7z - Guide
- Extension odt - Guide
4 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
11 janv. 2016 à 09:42
11 janv. 2016 à 09:42
Salut,
Tu as été infecté par un Ransomware chiffreurs de fichiers.
Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.
il existe une procédure pour récupérer les documents.
Il faudra vérifier qu'aucun malware ne soit actif puis changer tous tes mots de passe.
Pour désinfecter l'ordinateur :
Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
Envoie comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.
Tu as été infecté par un Ransomware chiffreurs de fichiers.
Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.
il existe une procédure pour récupérer les documents.
Il faudra vérifier qu'aucun malware ne soit actif puis changer tous tes mots de passe.
Pour désinfecter l'ordinateur :
Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.
callie22
Messages postés
32
Date d'inscription
vendredi 10 janvier 2014
Statut
Membre
Dernière intervention
12 janvier 2016
11 janv. 2016 à 13:00
11 janv. 2016 à 13:00
Merci pour la rapidité !
Alors voici les 3 liens (FRST, Shortcut, Addition) :
https://pjjoint.malekal.com/files.php?id=20160111_g10g15e11b7e5
https://pjjoint.malekal.com/files.php?id=20160111_f9d5w5c11v12
https://pjjoint.malekal.com/files.php?id=20160111_r9b7t8m8r15
Par contre, les documents touchés s'affichent dans le dossier "commun serveur" et s'affichent sur le second pc mais n'ont pas été ouverts. Incidence ?
Alors voici les 3 liens (FRST, Shortcut, Addition) :
https://pjjoint.malekal.com/files.php?id=20160111_g10g15e11b7e5
https://pjjoint.malekal.com/files.php?id=20160111_f9d5w5c11v12
https://pjjoint.malekal.com/files.php?id=20160111_r9b7t8m8r15
Par contre, les documents touchés s'affichent dans le dossier "commun serveur" et s'affichent sur le second pc mais n'ont pas été ouverts. Incidence ?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
11 janv. 2016 à 13:10
11 janv. 2016 à 13:10
Le fichier FRST.txt est vide et Addition.txt est incomplet.
callie22
Messages postés
32
Date d'inscription
vendredi 10 janvier 2014
Statut
Membre
Dernière intervention
12 janvier 2016
11 janv. 2016 à 13:11
11 janv. 2016 à 13:11
Euh... Je relance ?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
>
callie22
Messages postés
32
Date d'inscription
vendredi 10 janvier 2014
Statut
Membre
Dernière intervention
12 janvier 2016
11 janv. 2016 à 13:18
11 janv. 2016 à 13:18
ce serait d'avoir les rapports oui.
L'infection a probablement été installée sur un PC client.
L'infection a probablement été installée sur un PC client.
callie22
Messages postés
32
Date d'inscription
vendredi 10 janvier 2014
Statut
Membre
Dernière intervention
12 janvier 2016
>
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
11 janv. 2016 à 13:23
11 janv. 2016 à 13:23
Dois-je faire la même manip sur le second pc ?
callie22
Messages postés
32
Date d'inscription
vendredi 10 janvier 2014
Statut
Membre
Dernière intervention
12 janvier 2016
11 janv. 2016 à 13:18
11 janv. 2016 à 13:18
Voici les "bons" liens (j'avais oublié Shortcut la 1ère fois, et les avais mis à la corbeille...) :
https://pjjoint.malekal.com/files.php?id=FRST_20160111_h15q13g9r15w15
https://pjjoint.malekal.com/files.php?id=20160111_w8m5l15r11y11
https://pjjoint.malekal.com/files.php?id=FRST_20160111_h15q13g9r15w15
https://pjjoint.malekal.com/files.php?id=20160111_w8m5l15r11y11
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
11 janv. 2016 à 13:40
11 janv. 2016 à 13:40
ha bha non c'est le serveur qui est infecté....
En plus Reimage a été installé, c'est une arnaque ce programe ...
Vous pouvez le désinstaller.
Y a un gros souci de sécurité.
Envoie ces fichiers sur http://upload.malekal.com :
C:\Users\besson\AppData\Roaming\fykkeacroic.exe
C:\Users\besson\AppData\Roaming\ibuhuacroic.exe
C:\Users\besson\AppData\Roaming\qxecsacroic.exe
C:\Users\besson\AppData\Roaming\wsmqeacroic.exe
~~
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
Startup: C:\Users\besson\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+djk.html [2015-12-14] ()
Startup: C:\Users\besson\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+djk.txt [2015-12-14] ()
Startup: C:\Users\besson\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+wsd.html [2015-12-14] ()
Startup: C:\Users\besson\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+wsd.txt [2015-12-14] ()
Startup: C:\Users\besson\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Mes services pro.lnk [2015-04-13]
HKU\S-1-5-21-2770805420-3761738670-2911465912-1164\...\Run: [Acrndtd] => C:\Users\besson\AppData\Roaming\aualcacroic.exe
C:\Users\besson\AppData\Roaming\aualcacroic.exe
2015-12-14 15:45 - 2015-01-27 18:16 - 00000000 ____D C:\ProgramData\Reimage Protector
2015-12-14 15:45 - 2015-01-27 18:15 - 00000000 ____D C:\rei
2015-12-14 15:45 - 2015-02-06 10:08 - 00000000 ____D C:\ProgramData\APN
2015-12-14 15:45 - 2012-09-03 15:26 - 00000000 ____D C:\Users\besson\AppData\Local\Apps\2.0
2015-12-14 14:16 - 2015-12-14 14:16 - 0353280 _____ () C:\Users\besson\AppData\Roaming\fykkeacroic.exe
2015-12-14 14:35 - 2015-12-14 14:35 - 0010441 _____ () C:\Users\besson\AppData\Roaming\how_recover+djk.html
2015-12-14 14:35 - 2015-12-14 14:35 - 0002446 _____ () C:\Users\besson\AppData\Roaming\how_recover+djk.txt
2015-12-14 15:47 - 2015-12-14 15:47 - 0010441 _____ () C:\Users\besson\AppData\Roaming\how_recover+wsd.html
2015-12-14 15:47 - 2015-12-14 15:47 - 0002446 _____ () C:\Users\besson\AppData\Roaming\how_recover+wsd.txt
2015-12-14 14:14 - 2015-12-14 14:14 - 0353280 _____ () C:\Users\besson\AppData\Roaming\ibuhuacroic.exe
2015-12-14 14:10 - 2015-12-14 14:10 - 0353280 _____ () C:\Users\besson\AppData\Roaming\qxecsacroic.exe
2015-12-14 14:09 - 2015-12-14 14:09 - 0353280 _____ () C:\Users\besson\AppData\Roaming\wsmqeacroic.exe
2015-12-14 14:34 - 2015-12-14 14:34 - 0010441 _____ () C:\Users\besson\AppData\Roaming\Microsoft\how_recover+djk.html
2015-12-14 14:34 - 2015-12-14 14:34 - 0002446 _____ () C:\Users\besson\AppData\Roaming\Microsoft\how_recover+djk.txt
2015-12-14 15:47 - 2015-12-14 15:47 - 0010441 _____ () C:\Users\besson\AppData\Roaming\Microsoft\how_recover+wsd.html
2015-12-14 15:47 - 2015-12-14 15:47 - 0002446 _____ () C:\Users\besson\AppData\Roaming\Microsoft\how_recover+wsd.txt
2014-01-06 15:27 - 2015-12-14 14:12 - 0429518 _____ () C:\Users\besson\AppData\Local\dd_vcredistMSI19CB.txt.vvv
2014-01-06 15:27 - 2015-12-14 14:12 - 0012062 _____ () C:\Users\besson\AppData\Local\dd_vcredistUI19CB.txt.vvv
2015-12-14 14:12 - 2015-12-14 14:55 - 0010441 _____ () C:\Users\besson\AppData\Local\how_recover+djk.html
2015-12-14 14:12 - 2015-12-14 14:55 - 0002446 _____ () C:\Users\besson\AppData\Local\how_recover+djk.txt
2015-12-14 15:45 - 2015-12-14 15:47 - 0010441 _____ () C:\Users\besson\AppData\Local\how_recover+wsd.html
2015-12-14 15:45 - 2015-12-14 15:47 - 0002446 _____ () C:\Users\besson\AppData\Local\how_recover+wsd.txt
Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Faire une recherche de fichiers Windows sur how_recover
et supprimer tout.
Pour la récupération des fichiers, ça se passe là : https://www.malekal.com/how_recover-teslacrypt-extension-vvv/
En plus Reimage a été installé, c'est une arnaque ce programe ...
Vous pouvez le désinstaller.
Y a un gros souci de sécurité.
Envoie ces fichiers sur http://upload.malekal.com :
C:\Users\besson\AppData\Roaming\fykkeacroic.exe
C:\Users\besson\AppData\Roaming\ibuhuacroic.exe
C:\Users\besson\AppData\Roaming\qxecsacroic.exe
C:\Users\besson\AppData\Roaming\wsmqeacroic.exe
~~
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
Startup: C:\Users\besson\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+djk.html [2015-12-14] ()
Startup: C:\Users\besson\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+djk.txt [2015-12-14] ()
Startup: C:\Users\besson\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+wsd.html [2015-12-14] ()
Startup: C:\Users\besson\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+wsd.txt [2015-12-14] ()
Startup: C:\Users\besson\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Mes services pro.lnk [2015-04-13]
HKU\S-1-5-21-2770805420-3761738670-2911465912-1164\...\Run: [Acrndtd] => C:\Users\besson\AppData\Roaming\aualcacroic.exe
C:\Users\besson\AppData\Roaming\aualcacroic.exe
2015-12-14 15:45 - 2015-01-27 18:16 - 00000000 ____D C:\ProgramData\Reimage Protector
2015-12-14 15:45 - 2015-01-27 18:15 - 00000000 ____D C:\rei
2015-12-14 15:45 - 2015-02-06 10:08 - 00000000 ____D C:\ProgramData\APN
2015-12-14 15:45 - 2012-09-03 15:26 - 00000000 ____D C:\Users\besson\AppData\Local\Apps\2.0
2015-12-14 14:16 - 2015-12-14 14:16 - 0353280 _____ () C:\Users\besson\AppData\Roaming\fykkeacroic.exe
2015-12-14 14:35 - 2015-12-14 14:35 - 0010441 _____ () C:\Users\besson\AppData\Roaming\how_recover+djk.html
2015-12-14 14:35 - 2015-12-14 14:35 - 0002446 _____ () C:\Users\besson\AppData\Roaming\how_recover+djk.txt
2015-12-14 15:47 - 2015-12-14 15:47 - 0010441 _____ () C:\Users\besson\AppData\Roaming\how_recover+wsd.html
2015-12-14 15:47 - 2015-12-14 15:47 - 0002446 _____ () C:\Users\besson\AppData\Roaming\how_recover+wsd.txt
2015-12-14 14:14 - 2015-12-14 14:14 - 0353280 _____ () C:\Users\besson\AppData\Roaming\ibuhuacroic.exe
2015-12-14 14:10 - 2015-12-14 14:10 - 0353280 _____ () C:\Users\besson\AppData\Roaming\qxecsacroic.exe
2015-12-14 14:09 - 2015-12-14 14:09 - 0353280 _____ () C:\Users\besson\AppData\Roaming\wsmqeacroic.exe
2015-12-14 14:34 - 2015-12-14 14:34 - 0010441 _____ () C:\Users\besson\AppData\Roaming\Microsoft\how_recover+djk.html
2015-12-14 14:34 - 2015-12-14 14:34 - 0002446 _____ () C:\Users\besson\AppData\Roaming\Microsoft\how_recover+djk.txt
2015-12-14 15:47 - 2015-12-14 15:47 - 0010441 _____ () C:\Users\besson\AppData\Roaming\Microsoft\how_recover+wsd.html
2015-12-14 15:47 - 2015-12-14 15:47 - 0002446 _____ () C:\Users\besson\AppData\Roaming\Microsoft\how_recover+wsd.txt
2014-01-06 15:27 - 2015-12-14 14:12 - 0429518 _____ () C:\Users\besson\AppData\Local\dd_vcredistMSI19CB.txt.vvv
2014-01-06 15:27 - 2015-12-14 14:12 - 0012062 _____ () C:\Users\besson\AppData\Local\dd_vcredistUI19CB.txt.vvv
2015-12-14 14:12 - 2015-12-14 14:55 - 0010441 _____ () C:\Users\besson\AppData\Local\how_recover+djk.html
2015-12-14 14:12 - 2015-12-14 14:55 - 0002446 _____ () C:\Users\besson\AppData\Local\how_recover+djk.txt
2015-12-14 15:45 - 2015-12-14 15:47 - 0010441 _____ () C:\Users\besson\AppData\Local\how_recover+wsd.html
2015-12-14 15:45 - 2015-12-14 15:47 - 0002446 _____ () C:\Users\besson\AppData\Local\how_recover+wsd.txt
Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Faire une recherche de fichiers Windows sur how_recover
et supprimer tout.
Pour la récupération des fichiers, ça se passe là : https://www.malekal.com/how_recover-teslacrypt-extension-vvv/
callie22
Messages postés
32
Date d'inscription
vendredi 10 janvier 2014
Statut
Membre
Dernière intervention
12 janvier 2016
11 janv. 2016 à 14:14
11 janv. 2016 à 14:14
Voici le lien du rapport Fixlog :
https://pjjoint.malekal.com/files.php?id=20160111_12m5q9j9y8
Je vais redémarrer
https://pjjoint.malekal.com/files.php?id=20160111_12m5q9j9y8
Je vais redémarrer
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
11 janv. 2016 à 14:16
11 janv. 2016 à 14:16
ok, sinon pour les fichiers envoyés, Panda le détecte..
SHA256: 2296cb1bf91a633f6deb89c39501d7f224e405fea99fb1fcb7e5d996dbb85e06
Nom du fichier : c184115efbd400db64dc6c3571031a6a82d77e6c
Ratio de détection : 47 / 55
Date d'analyse : 2016-01-11 13:02:53 UTC (il y a 0 minute)
Panda Trj/Kazy.AS 20160110
SHA256: 2296cb1bf91a633f6deb89c39501d7f224e405fea99fb1fcb7e5d996dbb85e06
Nom du fichier : c184115efbd400db64dc6c3571031a6a82d77e6c
Ratio de détection : 47 / 55
Date d'analyse : 2016-01-11 13:02:53 UTC (il y a 0 minute)
Panda Trj/Kazy.AS 20160110
callie22
Messages postés
32
Date d'inscription
vendredi 10 janvier 2014
Statut
Membre
Dernière intervention
12 janvier 2016
11 janv. 2016 à 14:28
11 janv. 2016 à 14:28
Qu'est-ce que je dois faire pour ça ? Pas clair...
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
>
callie22
Messages postés
32
Date d'inscription
vendredi 10 janvier 2014
Statut
Membre
Dernière intervention
12 janvier 2016
11 janv. 2016 à 15:04
11 janv. 2016 à 15:04
Simplement une remarque que Panda détecte les fichiers malicieux or encore présent sur ton serveur.
C'est donc assez étonnant qu'il n'ait pas émis d'alerte et supprimé les fichiers.
Vérifie que l'antivirus fonctionne bien et qu'il est aussi à jour.
C'est donc assez étonnant qu'il n'ait pas émis d'alerte et supprimé les fichiers.
Vérifie que l'antivirus fonctionne bien et qu'il est aussi à jour.
callie22
Messages postés
32
Date d'inscription
vendredi 10 janvier 2014
Statut
Membre
Dernière intervention
12 janvier 2016
11 janv. 2016 à 15:25
11 janv. 2016 à 15:25
Alors concernant Panda : je ne sais pas comment il est présent sur ce pc. La licence est expirée... donc il n'est pas à jour.
Par contre, pour supprimer tous les "how_recover" (recherche en cliquant sur Ordinateur), il m'en affiche encore 12 avec le logo "Internet explorer" et je n'arrive pas à les supprimer (erreur 0x80004002 + dans users/appdata/roaming/microsoft) ????
Par contre, pour supprimer tous les "how_recover" (recherche en cliquant sur Ordinateur), il m'en affiche encore 12 avec le logo "Internet explorer" et je n'arrive pas à les supprimer (erreur 0x80004002 + dans users/appdata/roaming/microsoft) ????
callie22
Messages postés
32
Date d'inscription
vendredi 10 janvier 2014
Statut
Membre
Dernière intervention
12 janvier 2016
11 janv. 2016 à 17:36
11 janv. 2016 à 17:36
J'ai fait un scan avec Panda : 2 sont neutralisés mais je ne sais pas utiliser cet antivirus pour supprimer
callie22
Messages postés
32
Date d'inscription
vendredi 10 janvier 2014
Statut
Membre
Dernière intervention
12 janvier 2016
12 janv. 2016 à 18:00
12 janv. 2016 à 18:00
Bonjour,
voilà je ne sais pas si c'est utile, mais voici 3 nouveaux rapports d'aujourd'hui avec FRST :
https://pjjoint.malekal.com/files.php?id=FRST_20160112_t9u13p9p6z13
https://pjjoint.malekal.com/files.php?id=20160112_p9d6s8t8o12
https://pjjoint.malekal.com/files.php?id=20160112_j14b11b10k13e10
Y a-t-il toujours quelque chose à signaler ? Merci
voilà je ne sais pas si c'est utile, mais voici 3 nouveaux rapports d'aujourd'hui avec FRST :
https://pjjoint.malekal.com/files.php?id=FRST_20160112_t9u13p9p6z13
https://pjjoint.malekal.com/files.php?id=20160112_p9d6s8t8o12
https://pjjoint.malekal.com/files.php?id=20160112_j14b11b10k13e10
Y a-t-il toujours quelque chose à signaler ? Merci