Infection extension .vvv
callie22
Messages postés
32
Date d'inscription
Statut
Membre
Dernière intervention
-
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour, Et bonne année à tous
Voilà, comme indiqué en titre, je subis une infection de ce virus sur un des pc de l'entreprise, qui est de plus l'ordi administrateur du serveur (qui serait là depuis mi-décembre)... Apparemment le second ne serait pas (encore) concerné.
N'y connaissant pas grand chose, est-ce qu'une personne pourrait me guider svp ? J'ai vu une manip à suivre dans plusieurs sujets, mais je préfère être suivie afin de ne pas faire de bêtises. L'ordinateur ne m'est pas habituel.
Merci par avance pour le temps consacré
Voilà, comme indiqué en titre, je subis une infection de ce virus sur un des pc de l'entreprise, qui est de plus l'ordi administrateur du serveur (qui serait là depuis mi-décembre)... Apparemment le second ne serait pas (encore) concerné.
N'y connaissant pas grand chose, est-ce qu'une personne pourrait me guider svp ? J'ai vu une manip à suivre dans plusieurs sujets, mais je préfère être suivie afin de ne pas faire de bêtises. L'ordinateur ne m'est pas habituel.
Merci par avance pour le temps consacré
A voir également:
- Infection extension .vvv
- Changer extension fichier - Guide
- Extension .bin - Guide
- Extension dat - Guide
- Extension 7z - Guide
- Extension odt - Guide
4 réponses
Salut,
Tu as été infecté par un Ransomware chiffreurs de fichiers.
Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.
il existe une procédure pour récupérer les documents.
Il faudra vérifier qu'aucun malware ne soit actif puis changer tous tes mots de passe.
Pour désinfecter l'ordinateur :
Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
Envoie comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.
Tu as été infecté par un Ransomware chiffreurs de fichiers.
Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.
il existe une procédure pour récupérer les documents.
Il faudra vérifier qu'aucun malware ne soit actif puis changer tous tes mots de passe.
Pour désinfecter l'ordinateur :
Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.
Merci pour la rapidité !
Alors voici les 3 liens (FRST, Shortcut, Addition) :
https://pjjoint.malekal.com/files.php?id=20160111_g10g15e11b7e5
https://pjjoint.malekal.com/files.php?id=20160111_f9d5w5c11v12
https://pjjoint.malekal.com/files.php?id=20160111_r9b7t8m8r15
Par contre, les documents touchés s'affichent dans le dossier "commun serveur" et s'affichent sur le second pc mais n'ont pas été ouverts. Incidence ?
Alors voici les 3 liens (FRST, Shortcut, Addition) :
https://pjjoint.malekal.com/files.php?id=20160111_g10g15e11b7e5
https://pjjoint.malekal.com/files.php?id=20160111_f9d5w5c11v12
https://pjjoint.malekal.com/files.php?id=20160111_r9b7t8m8r15
Par contre, les documents touchés s'affichent dans le dossier "commun serveur" et s'affichent sur le second pc mais n'ont pas été ouverts. Incidence ?
Voici les "bons" liens (j'avais oublié Shortcut la 1ère fois, et les avais mis à la corbeille...) :
https://pjjoint.malekal.com/files.php?id=FRST_20160111_h15q13g9r15w15
https://pjjoint.malekal.com/files.php?id=20160111_w8m5l15r11y11
https://pjjoint.malekal.com/files.php?id=FRST_20160111_h15q13g9r15w15
https://pjjoint.malekal.com/files.php?id=20160111_w8m5l15r11y11
ha bha non c'est le serveur qui est infecté....
En plus Reimage a été installé, c'est une arnaque ce programe ...
Vous pouvez le désinstaller.
Y a un gros souci de sécurité.
Envoie ces fichiers sur http://upload.malekal.com :
C:\Users\besson\AppData\Roaming\fykkeacroic.exe
C:\Users\besson\AppData\Roaming\ibuhuacroic.exe
C:\Users\besson\AppData\Roaming\qxecsacroic.exe
C:\Users\besson\AppData\Roaming\wsmqeacroic.exe
~~
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
Startup: C:\Users\besson\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+djk.html [2015-12-14] ()
Startup: C:\Users\besson\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+djk.txt [2015-12-14] ()
Startup: C:\Users\besson\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+wsd.html [2015-12-14] ()
Startup: C:\Users\besson\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+wsd.txt [2015-12-14] ()
Startup: C:\Users\besson\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Mes services pro.lnk [2015-04-13]
HKU\S-1-5-21-2770805420-3761738670-2911465912-1164\...\Run: [Acrndtd] => C:\Users\besson\AppData\Roaming\aualcacroic.exe
C:\Users\besson\AppData\Roaming\aualcacroic.exe
2015-12-14 15:45 - 2015-01-27 18:16 - 00000000 ____D C:\ProgramData\Reimage Protector
2015-12-14 15:45 - 2015-01-27 18:15 - 00000000 ____D C:\rei
2015-12-14 15:45 - 2015-02-06 10:08 - 00000000 ____D C:\ProgramData\APN
2015-12-14 15:45 - 2012-09-03 15:26 - 00000000 ____D C:\Users\besson\AppData\Local\Apps\2.0
2015-12-14 14:16 - 2015-12-14 14:16 - 0353280 _____ () C:\Users\besson\AppData\Roaming\fykkeacroic.exe
2015-12-14 14:35 - 2015-12-14 14:35 - 0010441 _____ () C:\Users\besson\AppData\Roaming\how_recover+djk.html
2015-12-14 14:35 - 2015-12-14 14:35 - 0002446 _____ () C:\Users\besson\AppData\Roaming\how_recover+djk.txt
2015-12-14 15:47 - 2015-12-14 15:47 - 0010441 _____ () C:\Users\besson\AppData\Roaming\how_recover+wsd.html
2015-12-14 15:47 - 2015-12-14 15:47 - 0002446 _____ () C:\Users\besson\AppData\Roaming\how_recover+wsd.txt
2015-12-14 14:14 - 2015-12-14 14:14 - 0353280 _____ () C:\Users\besson\AppData\Roaming\ibuhuacroic.exe
2015-12-14 14:10 - 2015-12-14 14:10 - 0353280 _____ () C:\Users\besson\AppData\Roaming\qxecsacroic.exe
2015-12-14 14:09 - 2015-12-14 14:09 - 0353280 _____ () C:\Users\besson\AppData\Roaming\wsmqeacroic.exe
2015-12-14 14:34 - 2015-12-14 14:34 - 0010441 _____ () C:\Users\besson\AppData\Roaming\Microsoft\how_recover+djk.html
2015-12-14 14:34 - 2015-12-14 14:34 - 0002446 _____ () C:\Users\besson\AppData\Roaming\Microsoft\how_recover+djk.txt
2015-12-14 15:47 - 2015-12-14 15:47 - 0010441 _____ () C:\Users\besson\AppData\Roaming\Microsoft\how_recover+wsd.html
2015-12-14 15:47 - 2015-12-14 15:47 - 0002446 _____ () C:\Users\besson\AppData\Roaming\Microsoft\how_recover+wsd.txt
2014-01-06 15:27 - 2015-12-14 14:12 - 0429518 _____ () C:\Users\besson\AppData\Local\dd_vcredistMSI19CB.txt.vvv
2014-01-06 15:27 - 2015-12-14 14:12 - 0012062 _____ () C:\Users\besson\AppData\Local\dd_vcredistUI19CB.txt.vvv
2015-12-14 14:12 - 2015-12-14 14:55 - 0010441 _____ () C:\Users\besson\AppData\Local\how_recover+djk.html
2015-12-14 14:12 - 2015-12-14 14:55 - 0002446 _____ () C:\Users\besson\AppData\Local\how_recover+djk.txt
2015-12-14 15:45 - 2015-12-14 15:47 - 0010441 _____ () C:\Users\besson\AppData\Local\how_recover+wsd.html
2015-12-14 15:45 - 2015-12-14 15:47 - 0002446 _____ () C:\Users\besson\AppData\Local\how_recover+wsd.txt
Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Faire une recherche de fichiers Windows sur how_recover
et supprimer tout.
Pour la récupération des fichiers, ça se passe là : https://www.malekal.com/how_recover-teslacrypt-extension-vvv/
En plus Reimage a été installé, c'est une arnaque ce programe ...
Vous pouvez le désinstaller.
Y a un gros souci de sécurité.
Envoie ces fichiers sur http://upload.malekal.com :
C:\Users\besson\AppData\Roaming\fykkeacroic.exe
C:\Users\besson\AppData\Roaming\ibuhuacroic.exe
C:\Users\besson\AppData\Roaming\qxecsacroic.exe
C:\Users\besson\AppData\Roaming\wsmqeacroic.exe
~~
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
Startup: C:\Users\besson\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+djk.html [2015-12-14] ()
Startup: C:\Users\besson\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+djk.txt [2015-12-14] ()
Startup: C:\Users\besson\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+wsd.html [2015-12-14] ()
Startup: C:\Users\besson\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+wsd.txt [2015-12-14] ()
Startup: C:\Users\besson\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Mes services pro.lnk [2015-04-13]
HKU\S-1-5-21-2770805420-3761738670-2911465912-1164\...\Run: [Acrndtd] => C:\Users\besson\AppData\Roaming\aualcacroic.exe
C:\Users\besson\AppData\Roaming\aualcacroic.exe
2015-12-14 15:45 - 2015-01-27 18:16 - 00000000 ____D C:\ProgramData\Reimage Protector
2015-12-14 15:45 - 2015-01-27 18:15 - 00000000 ____D C:\rei
2015-12-14 15:45 - 2015-02-06 10:08 - 00000000 ____D C:\ProgramData\APN
2015-12-14 15:45 - 2012-09-03 15:26 - 00000000 ____D C:\Users\besson\AppData\Local\Apps\2.0
2015-12-14 14:16 - 2015-12-14 14:16 - 0353280 _____ () C:\Users\besson\AppData\Roaming\fykkeacroic.exe
2015-12-14 14:35 - 2015-12-14 14:35 - 0010441 _____ () C:\Users\besson\AppData\Roaming\how_recover+djk.html
2015-12-14 14:35 - 2015-12-14 14:35 - 0002446 _____ () C:\Users\besson\AppData\Roaming\how_recover+djk.txt
2015-12-14 15:47 - 2015-12-14 15:47 - 0010441 _____ () C:\Users\besson\AppData\Roaming\how_recover+wsd.html
2015-12-14 15:47 - 2015-12-14 15:47 - 0002446 _____ () C:\Users\besson\AppData\Roaming\how_recover+wsd.txt
2015-12-14 14:14 - 2015-12-14 14:14 - 0353280 _____ () C:\Users\besson\AppData\Roaming\ibuhuacroic.exe
2015-12-14 14:10 - 2015-12-14 14:10 - 0353280 _____ () C:\Users\besson\AppData\Roaming\qxecsacroic.exe
2015-12-14 14:09 - 2015-12-14 14:09 - 0353280 _____ () C:\Users\besson\AppData\Roaming\wsmqeacroic.exe
2015-12-14 14:34 - 2015-12-14 14:34 - 0010441 _____ () C:\Users\besson\AppData\Roaming\Microsoft\how_recover+djk.html
2015-12-14 14:34 - 2015-12-14 14:34 - 0002446 _____ () C:\Users\besson\AppData\Roaming\Microsoft\how_recover+djk.txt
2015-12-14 15:47 - 2015-12-14 15:47 - 0010441 _____ () C:\Users\besson\AppData\Roaming\Microsoft\how_recover+wsd.html
2015-12-14 15:47 - 2015-12-14 15:47 - 0002446 _____ () C:\Users\besson\AppData\Roaming\Microsoft\how_recover+wsd.txt
2014-01-06 15:27 - 2015-12-14 14:12 - 0429518 _____ () C:\Users\besson\AppData\Local\dd_vcredistMSI19CB.txt.vvv
2014-01-06 15:27 - 2015-12-14 14:12 - 0012062 _____ () C:\Users\besson\AppData\Local\dd_vcredistUI19CB.txt.vvv
2015-12-14 14:12 - 2015-12-14 14:55 - 0010441 _____ () C:\Users\besson\AppData\Local\how_recover+djk.html
2015-12-14 14:12 - 2015-12-14 14:55 - 0002446 _____ () C:\Users\besson\AppData\Local\how_recover+djk.txt
2015-12-14 15:45 - 2015-12-14 15:47 - 0010441 _____ () C:\Users\besson\AppData\Local\how_recover+wsd.html
2015-12-14 15:45 - 2015-12-14 15:47 - 0002446 _____ () C:\Users\besson\AppData\Local\how_recover+wsd.txt
Une fois, le texte collé dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Faire une recherche de fichiers Windows sur how_recover
et supprimer tout.
Pour la récupération des fichiers, ça se passe là : https://www.malekal.com/how_recover-teslacrypt-extension-vvv/
Voici le lien du rapport Fixlog :
https://pjjoint.malekal.com/files.php?id=20160111_12m5q9j9y8
Je vais redémarrer
https://pjjoint.malekal.com/files.php?id=20160111_12m5q9j9y8
Je vais redémarrer
ok, sinon pour les fichiers envoyés, Panda le détecte..
SHA256: 2296cb1bf91a633f6deb89c39501d7f224e405fea99fb1fcb7e5d996dbb85e06
Nom du fichier : c184115efbd400db64dc6c3571031a6a82d77e6c
Ratio de détection : 47 / 55
Date d'analyse : 2016-01-11 13:02:53 UTC (il y a 0 minute)
Panda Trj/Kazy.AS 20160110
SHA256: 2296cb1bf91a633f6deb89c39501d7f224e405fea99fb1fcb7e5d996dbb85e06
Nom du fichier : c184115efbd400db64dc6c3571031a6a82d77e6c
Ratio de détection : 47 / 55
Date d'analyse : 2016-01-11 13:02:53 UTC (il y a 0 minute)
Panda Trj/Kazy.AS 20160110
Alors concernant Panda : je ne sais pas comment il est présent sur ce pc. La licence est expirée... donc il n'est pas à jour.
Par contre, pour supprimer tous les "how_recover" (recherche en cliquant sur Ordinateur), il m'en affiche encore 12 avec le logo "Internet explorer" et je n'arrive pas à les supprimer (erreur 0x80004002 + dans users/appdata/roaming/microsoft) ????
Par contre, pour supprimer tous les "how_recover" (recherche en cliquant sur Ordinateur), il m'en affiche encore 12 avec le logo "Internet explorer" et je n'arrive pas à les supprimer (erreur 0x80004002 + dans users/appdata/roaming/microsoft) ????
Bonjour,
voilà je ne sais pas si c'est utile, mais voici 3 nouveaux rapports d'aujourd'hui avec FRST :
https://pjjoint.malekal.com/files.php?id=FRST_20160112_t9u13p9p6z13
https://pjjoint.malekal.com/files.php?id=20160112_p9d6s8t8o12
https://pjjoint.malekal.com/files.php?id=20160112_j14b11b10k13e10
Y a-t-il toujours quelque chose à signaler ? Merci
voilà je ne sais pas si c'est utile, mais voici 3 nouveaux rapports d'aujourd'hui avec FRST :
https://pjjoint.malekal.com/files.php?id=FRST_20160112_t9u13p9p6z13
https://pjjoint.malekal.com/files.php?id=20160112_p9d6s8t8o12
https://pjjoint.malekal.com/files.php?id=20160112_j14b11b10k13e10
Y a-t-il toujours quelque chose à signaler ? Merci