Help RECOVER INSTRUCTIONS+iwu

Résolu
Angzhi Messages postés 83 Statut Membre -  
 Sou83 -
Bonjour,

Je suis victime d'une infection inconnue.

Ce matin lorsqu'on a démarré le pc, on s'est rendu compte que toutes les extensions de fichiers ont été changées en .xlsx.micro et .docx.micro

le navigateur internet s'ouvre automatiquement et affiche un fichier Help RECOVER INSTRUCTIONS+iwu

NOT YOUR LANGUAGE? USE https://translate.google.com avec une suite d'explications.

Que dois-je faire s'il vous plait?

8 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

    A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.

    Il faut d'abord vérifier qu'aucune menace ne soit encore active.
    Par précaution, pense aussi à changer tous tes mots de passe.

    1°) FRST
    Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

    Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
    • FRST.txt
    • Shortcut.txt
    • Additionnal.txt


    Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

    0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Le ransomware n'est plus actif.

    Fais une recherche de fichiers sur Windows (aide : Comment rechercher des fichiers sur Windows) sur _H_e_l_p_RECOVER_INSTRUCTIONS et supprime les fichiers trouvés.

    ~~

    Renforce la sécurité de ton Windows : Comment sécuriser mon Windows

    0
    1. Sou83
       
      Salut,
      Je suis aussi victime de ce virus, voici mes trois liens
      FRST
      http://pjjoint.malekal.com/files.php?id=FRST_20160608_i11x13c15q11v13

      Addition
      http://pjjoint.malekal.com/files.php?id=20160608_x8d14l10t8b5

      Shortcut
      http://pjjoint.malekal.com/files.php?id=20160608_y15u7w13v5j12
      0
      1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > Sou83
         
        Salut Sou83-,

        Ton ordinateur est très infecté, le mieux serait que tu créé ton propre sujet.
        0
      2. Sou83 > Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
         
        Je te remercie
        0
  3. Angzhi Messages postés 83 Statut Membre 14
     
    Bonjour,

    Comme vous me l'avez suggéré hier, j'ai supprimé les fichiers _H_e_l_p_RECOVER_INSTRUCTIONS et ce matin je les retrouve dans tous mes dossiers.
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Si tu les supprimes à nouveau, ils reviennent ?

      Parce que TeslaCrypt n'est plus actif.
      0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. marquil
     
    Bonsoir voici les trois rapports demandés

    Le lien FRST.txt :
    http://pjjoint.malekal.com/files.php?id=FRST_20160213_p10m6w14g11y5

    Le lien Shortcut.txt :
    http://pjjoint.malekal.com/files.php?id=20160213_e812u9i12e10

    Le lien Additionnal.txt :
    http://pjjoint.malekal.com/files.php?id=20160213_o12l13v12t12r11
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

      Ouvre le bloc-notes : Touche Windows + R,
      Dans le champs "Exécuter", saisir notepad et OK.
      Copie/Colle dedans ce qui suit :


      HKU\S-1-5-21-3247500429-148046701-3827577701-1001\...\Policies\Explorer\Run: [addon_v57] => C:\Users\Marine\AppData\Roaming\gtocifm.exe
      C:\Users\Marine\AppData\Roaming\gtocifm.exe
      Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\_H_e_l_p_RECOVER_INSTRUCTIONS+svm.html [2016-02-11] ()
      Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\_H_e_l_p_RECOVER_INSTRUCTIONS+svm.txt [2016-02-11] ()

      Une fois, le texte collé dans le Bloc-notes,
      Menu "Fichier" puis "Enregistrer sous",
      A gauche, place toi sur le Bureau,
      Dans le champs en bas, nom du fichier mets : fixlist.txt
      Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

      Relance FRST et clique sur le bouton "Corriger / Fix"
      Un redémarrage sera peut-être nécessaire ( pas obligatoire )
      Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


      Redémarre l'ordinateur.
      0
  6. marquil
     
    Résultats de correction de Farbar Recovery Scan Tool (x64) Version:07-02-2016
    Exécuté par Marine (2016-02-13 18:22:05) Run:1
    Exécuté depuis C:\Users\Marine\Desktop
    Profils chargés: Marine (Profils disponibles: Marine)
    Mode d'amorçage: Normal
    ==============================================

    fixlist contenu:

    HKU\S-1-5-21-3247500429-148046701-3827577701-1001\...\Policies\Explorer\Run: [addon_v57] => C:\Users\Marine\AppData\Roaming\gtocifm.exe
    C:\Users\Marine\AppData\Roaming\gtocifm.exe
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\_H_e_l_p_RECOVER_INSTRUCTIONS+svm.html [2016-02-11] ()
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\_H_e_l_p_RECOVER_INSTRUCTIONS+svm.txt [2016-02-11] ()

    HKU\S-1-5-21-3247500429-148046701-3827577701-1001\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\\addon_v57 => valeur supprimé(es) avec succès
    "C:\Users\Marine\AppData\Roaming\gtocifm.exe" => non trouvé(e).
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\_H_e_l_p_RECOVER_INSTRUCTIONS+svm.html => déplacé(es) avec succès
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\_H_e_l_p_RECOVER_INSTRUCTIONS+svm.txt => déplacé(es) avec succès

    Fin de Fixlog 18:22:05

    0
  7. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    voila c'est terminé,

    Renforce la sécurité de ton Windows : Comment sécuriser mon Windows

    0
  8. Angzhi Messages postés 83 Statut Membre 14
     
    Bonjour,

    Chez moi les fichiers _H_e_l_p_RECOVER_INSTRUCTIONS sont revenus avec l'extension .yyd

    Que faire ?

    Please help me again.
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      C'est aussi TeslaCrypt.
      0
      1. rou51 Messages postés 4 Statut Membre > Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
         
        bonjour Malekal_morte-,

        je me permet de te poster mes 3 rapports car très grosse infection de ce virus sur mon pc!
        Penses tu que tu aurais le temps de jeter un oeil et de me guider dans les démarches à suivre?

        merci beaucoup d'avance!

        FRST
        https://pjjoint.malekal.com/files.php?id=FRST_20160403_l13c9q8h15v8

        Shortcut
        https://pjjoint.malekal.com/files.php?id=20160403_s9u12s146l11

        Additionnel
        https://pjjoint.malekal.com/files.php?id=20160403_p10u5k56f14
        0