Virus cryptage PC
Résolu/Fermé
titou337
Messages postés
8570
Date d'inscription
lundi 15 avril 2013
Statut
Contributeur
Dernière intervention
9 mars 2023
-
14 févr. 2016 à 17:41
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 15 févr. 2016 à 07:54
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 15 févr. 2016 à 07:54
A voir également:
- Virus cryptage PC
- Test performance pc - Guide
- Reinitialiser pc - Guide
- Pc lent - Guide
- Whatsapp pc - Télécharger - Messagerie
- Audacity enregistrer son pc - Guide
4 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
14 févr. 2016 à 17:44
14 févr. 2016 à 17:44
salut
Suis le tutoriel FRST https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
--
Suis le tutoriel FRST https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
--
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
Modifié par Malekal_morte- le 15/02/2016 à 07:54
Modifié par Malekal_morte- le 15/02/2016 à 07:54
ok donc extension .mp3
c'était mort pour récupérer les fichiers.
Pour ne pas réinfecter ton ordinateur :
Renforce la sécurité de ton Windows : Comment sécuriser mon Windows
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
c'était mort pour récupérer les fichiers.
Pour ne pas réinfecter ton ordinateur :
Renforce la sécurité de ton Windows : Comment sécuriser mon Windows
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
14 févr. 2016 à 19:00
14 févr. 2016 à 19:00
il s'agit de TeslaCrypt.
Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.
A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
~~
Envoie C:\Users\Utilisateur\Documents\ueqmsewuj.exe
sur http://upload.malekal.com
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Fais une recherche de fichiers sur Windows (aide : Comment rechercher des fichiers sur Windows) sur RECOVER+qsukw et supprime les fichiers trouvés.
Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.
A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
~~
Envoie C:\Users\Utilisateur\Documents\ueqmsewuj.exe
sur http://upload.malekal.com
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
HKU\S-1-5-21-4266849486-4129186925-4205007495-1000\...\Run: [addon_v57] => C:\Users\Utilisateur\Documents\ueqmsewuj.exe [606208 2016-02-14] ()
C:\Users\Utilisateur\Documents\ueqmsewuj.exe
Startup: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+qsukw.HTM [2016-02-14] ()
Startup: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+qsukw.PNG [2016-02-14] ()
Startup: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+qsukw.TXT [2016-02-14] ()
Startup: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+wxxbf.HTM [2016-02-14] ()
Startup: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+wxxbf.PNG [2016-02-14] ()
Startup: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+wxxbf.TXT [2016-02-14] ()
2016-02-14 13:48 - 2013-01-15 18:21 - 00000000 ____D C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1
2016-02-14 18:10 - 2010-08-18 10:54 - 00000000 ____D C:\Users\Utilisateur\AppData\Local\76561198022326057
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Fais une recherche de fichiers sur Windows (aide : Comment rechercher des fichiers sur Windows) sur RECOVER+qsukw et supprime les fichiers trouvés.
Résultats de correction de Farbar Recovery Scan Tool (x86) Version:07-02-2016
Exécuté par Utilisateur (2016-02-14 19:11:01) Run:1
Exécuté depuis C:\Users\Utilisateur\Desktop
Profils chargés: Utilisateur (Profils disponibles: Utilisateur & Juju & UpdatusUser & Rambo & Provisoire)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
HKU\S-1-5-21-4266849486-4129186925-4205007495-1000\...\Run: [addon_v57] => C:\Users\Utilisateur\Documents\ueqmsewuj.exe [606208 2016-02-14] ()
C:\Users\Utilisateur\Documents\ueqmsewuj.exe
Startup: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+qsukw.HTM [2016-02-14] ()
Startup: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+qsukw.PNG [2016-02-14] ()
Startup: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+qsukw.TXT [2016-02-14] ()
Startup: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+wxxbf.HTM [2016-02-14] ()
Startup: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+wxxbf.PNG [2016-02-14] ()
Startup: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+wxxbf.TXT [2016-02-14] ()
2016-02-14 13:48 - 2013-01-15 18:21 - 00000000 ____D C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1
2016-02-14 18:10 - 2010-08-18 10:54 - 00000000 ____D C:\Users\Utilisateur\AppData\Local\76561198022326057
HKU\S-1-5-21-4266849486-4129186925-4205007495-1000\Software\Microsoft\Windows\CurrentVersion\Run\\addon_v57 => valeur non trouvé(e).
"C:\Users\Utilisateur\Documents\ueqmsewuj.exe" => non trouvé(e).
C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+qsukw.HTM => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+qsukw.PNG => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+qsukw.TXT => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+wxxbf.HTM => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+wxxbf.PNG => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+wxxbf.TXT => déplacé(es) avec succès
C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1 => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Local\76561198022326057 => déplacé(es) avec succès
Exécuté par Utilisateur (2016-02-14 19:11:01) Run:1
Exécuté depuis C:\Users\Utilisateur\Desktop
Profils chargés: Utilisateur (Profils disponibles: Utilisateur & Juju & UpdatusUser & Rambo & Provisoire)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
HKU\S-1-5-21-4266849486-4129186925-4205007495-1000\...\Run: [addon_v57] => C:\Users\Utilisateur\Documents\ueqmsewuj.exe [606208 2016-02-14] ()
C:\Users\Utilisateur\Documents\ueqmsewuj.exe
Startup: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+qsukw.HTM [2016-02-14] ()
Startup: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+qsukw.PNG [2016-02-14] ()
Startup: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+qsukw.TXT [2016-02-14] ()
Startup: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+wxxbf.HTM [2016-02-14] ()
Startup: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+wxxbf.PNG [2016-02-14] ()
Startup: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+wxxbf.TXT [2016-02-14] ()
2016-02-14 13:48 - 2013-01-15 18:21 - 00000000 ____D C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1
2016-02-14 18:10 - 2010-08-18 10:54 - 00000000 ____D C:\Users\Utilisateur\AppData\Local\76561198022326057
HKU\S-1-5-21-4266849486-4129186925-4205007495-1000\Software\Microsoft\Windows\CurrentVersion\Run\\addon_v57 => valeur non trouvé(e).
"C:\Users\Utilisateur\Documents\ueqmsewuj.exe" => non trouvé(e).
C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+qsukw.HTM => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+qsukw.PNG => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+qsukw.TXT => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+wxxbf.HTM => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+wxxbf.PNG => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RECOVER+wxxbf.TXT => déplacé(es) avec succès
C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1 => déplacé(es) avec succès
C:\Users\Utilisateur\AppData\Local\76561198022326057 => déplacé(es) avec succès
Fin de Fixlog 19:11:11
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
14 févr. 2016 à 19:20
14 févr. 2016 à 19:20
voila fais le reste.
Les documents chiffrés sont avec l'extension .micro ?
Les documents chiffrés sont avec l'extension .micro ?
titou337
Messages postés
8570
Date d'inscription
lundi 15 avril 2013
Statut
Contributeur
Dernière intervention
9 mars 2023
1 893
15 févr. 2016 à 01:27
15 févr. 2016 à 01:27
Merci de nous avoir aidé, les fichiers étaient en .mp3 ou .mp4.
J'ai décidé de réinstaller Windows quitte à tout perdre.
Comment éviter ça a l'avenir ?
J'ai décidé de réinstaller Windows quitte à tout perdre.
Comment éviter ça a l'avenir ?
Modifié par titou337 le 14/02/2016 à 18:30
Les liens ne fonctionnent pas Hors Ligne... Les rapports viennent d'être cryptés, je recommence.
PS, le message qui s'affiche est celui ci :
14 févr. 2016 à 18:41
http://pjjoint.malekal.com/files.php?id=20160214_v7y8x14f8d12
http://pjjoint.malekal.com/files.php?id=FRST_20160214_q12q13b9u8x5
http://pjjoint.malekal.com/files.php?id=20160214_p9p13j15t10v11