comment recuperer ses photos et archive apres un trojan paycrypt Résolu/Fermé

Question

Bonjour, 



Configuration: Windows XP / Chrome 49.0.2623.87

salut 
etant sur un vieux xp (oui je sais faut que je tourne la page !!) tous mes fichiers photos archives et videos ont étaient encodés.j'ai fais cc cleaner et malwarebytes apparament tout est nickel maintenant sauf ces fichiers que je peux plus atteindre.si quelqu'un peut eclairer ma lanterne je suis coincé !
merci ;)

Malekal_morte- · Answer

Salut,

En général, ce n'est pas possible.
Quel extension a été mise sur les documents ?

lekriss · Answer

l'appli c'est MS-DOS

Malekal_morte- · Answer

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :

 FRST.txt
 Shortcut.txt
 Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

lekriss · Answer

voici les rapports

http://pjjoint.malekal.com/files.php?id=20160321_t6p12o11j5n8

http://pjjoint.malekal.com/files.php?id=FRST_20160321_v14g5q13x714

http://pjjoint.malekal.com/files.php?id=20160321_b9p6q7k1113

merci

Malekal_morte- · Answer

humm il s'agit bien d'un ransomware paycrypt@aol.com
c'est cette famille : https://forum.malekal.com/viewtopic.php?t=54461&start=
Si tu as une sauvegarde des documents, il faut les remettre.
L'ordinateur est encore infecté.

2016-03-20 13:39 - 2016-03-20 13:39 - 00196612 ____S C:\Documents and Settings\Elodie\Mes documents\courrier de refus de mutuele d'entreprise.jpg.id-9424025382770424-paycrypt@aol.com 
2016-03-20 13:39 - 2016-03-20 13:39 - 00169828 ____S C:\Documents and Settings\Elodie\Mes documents\julien marjo.jpg.id-9424025382770424-paycrypt@aol.com 
2016-03-20 13:39 - 2016-03-20 13:39 - 00021508 ____S C:\Documents and Settings\Elodie\Mes documents\Elodie BRO Aubenas.doc.id-9424025382770424-paycrypt@aol.com  

~~



Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R, 
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 

 HKU\S-1-5-21-3124144118-1083633373-2001309256-1006\...\Run: [Owbics] => regsvr32.exe C:\Documents and Settings\Elodie\Local Settings\Application Data\Owbics\FmPort8.dll   HKU\S-1-5-21-3124144118-1083633373-2001309256-1006\...409d6c4515e9\InprocServer32: [Default-shell32] C:\Documents and Settings\Elodie\Local Settings\Application Data\Egtion\IsCrtshell.dll ATTENTION   2016-03-19 22:16 - 2016-03-19 22:16 - 00049789 _____ C:\Documents and Settings\Elodie\Application Data\gre.hyp   2016-03-19 22:16 - 2016-03-19 22:16 - 00002292 _____ C:\Documents and Settings\Elodie\Application Data\Ventriculography  2016-03-19 21:57 - 2016-03-19 21:57 - 00010752 _____ ( ) C:\Documents and Settings\Elodie\Application Data\esthetes.dll  2016-03-18 19:01 - 2016-03-20 19:12 - 00000000 ____D C:\Documents and Settings\Elodie\Local Settings\Application Data\Egtion  2016-03-18 19:01 - 2016-03-18 19:01 - 00000000 ____D C:\Documents and Settings\Elodie\Local Settings\Application Data\Owbics  2016-03-18 08:19 - 2016-03-18 08:19 - 00049858 _____ C:\Documents and Settings\Elodie\Application Data\worksheet.xsd   2016-03-18 08:19 - 2016-03-18 08:19 - 00001484 _____ C:\Documents and Settings\Elodie\Application Data\PatternHotch  2016-03-16 11:10 - 2016-03-16 11:10 - 00075264 _____ (Apple Inc.) C:\Documents and Settings\Elodie\Application Data\wearable.dll  2016-03-14 18:32 - 2016-03-20 17:52 - 00000000 ____D C:\Documents and Settings\Elodie\Application Data\Koruic  2016-03-14 18:32 - 2016-03-14 20:12 - 00000000 ____D C:\Documents and Settings\Elodie\Application Data\Houn  2016-03-14 03:15 - 2016-03-20 13:37 - 00168695 _____ C:\Documents and Settings\Elodie\Application Data\slides.js.xml  2016-03-14 03:15 - 2016-03-14 03:15 - 00001794 _____ C:\Documents and Settings\Elodie\Application Data\IslandCartogramFruitlet  2016-03-11 10:14 - 2016-03-20 16:27 - 00018530 _____ C:\Documents and Settings\Elodie\Mes documents\PRO_BTP-ADH_-_Information_paie 2016-03-20 18:29 - 2007-12-05 05:29 - 00000000 __SHD C:\Documents and Settings\Elodie\Application Data\fadgtdsc 
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
 
Veuillez appuyer sur une touche pour continuer la désinfection...

lekriss · Answer

Résultats de correction de Farbar Recovery Scan Tool (x86) Version:05-03-2016 01
Exécuté par Elodie (2016-03-21 11:21:26) Run:1
Exécuté depuis C:\Documents and Settings\Elodie\Bureau
Profils chargés: Elodie (Profils disponibles: Elodie & Invité)
Mode d'amorçage: Normal

==============================================

fixlist contenu:


 HKU\S-1-5-21-3124144118-1083633373-2001309256-1006\...\Run: [Owbics] => regsvr32.exe C:\Documents and Settings\Elodie\Local Settings\Application Data\Owbics\FmPort8.dll  
 HKU\S-1-5-21-3124144118-1083633373-2001309256-1006\...409d6c4515e9\InprocServer32: [Default-shell32] C:\Documents and Settings\Elodie\Local Settings\Application Data\Egtion\IsCrtshell.dll ATTENTION  
 2016-03-19 22:16 - 2016-03-19 22:16 - 00049789 _____ C:\Documents and Settings\Elodie\Application Data\gre.hyp  
 2016-03-19 22:16 - 2016-03-19 22:16 - 00002292 _____ C:\Documents and Settings\Elodie\Application Data\Ventriculography 
 2016-03-19 21:57 - 2016-03-19 21:57 - 00010752 _____ ( ) C:\Documents and Settings\Elodie\Application Data\esthetes.dll 
 2016-03-18 19:01 - 2016-03-20 19:12 - 00000000 ____D C:\Documents and Settings\Elodie\Local Settings\Application Data\Egtion 
 2016-03-18 19:01 - 2016-03-18 19:01 - 00000000 ____D C:\Documents and Settings\Elodie\Local Settings\Application Data\Owbics 
 2016-03-18 08:19 - 2016-03-18 08:19 - 00049858 _____ C:\Documents and Settings\Elodie\Application Data\worksheet.xsd  
 2016-03-18 08:19 - 2016-03-18 08:19 - 00001484 _____ C:\Documents and Settings\Elodie\Application Data\PatternHotch 
 2016-03-16 11:10 - 2016-03-16 11:10 - 00075264 _____ (Apple Inc.) C:\Documents and Settings\Elodie\Application Data\wearable.dll 
 2016-03-14 18:32 - 2016-03-20 17:52 - 00000000 ____D C:\Documents and Settings\Elodie\Application Data\Koruic 
 2016-03-14 18:32 - 2016-03-14 20:12 - 00000000 ____D C:\Documents and Settings\Elodie\Application Data\Houn 
 2016-03-14 03:15 - 2016-03-20 13:37 - 00168695 _____ C:\Documents and Settings\Elodie\Application Data\slides.js.xml 
 2016-03-14 03:15 - 2016-03-14 03:15 - 00001794 _____ C:\Documents and Settings\Elodie\Application Data\IslandCartogramFruitlet 
 2016-03-11 10:14 - 2016-03-20 16:27 - 00018530 _____ C:\Documents and Settings\Elodie\Mes documents\PRO_BTP-ADH_-_Information_paie
 2016-03-20 18:29 - 2007-12-05 05:29 - 00000000 __SHD C:\Documents and Settings\Elodie\Application Data\fadgtdsc 



HKU\S-1-5-21-3124144118-1083633373-2001309256-1006\Software\Microsoft\Windows\CurrentVersion\Run\Owbics => valeur supprimé(es) avec succès
"HKU\S-1-5-21-3124144118-1083633373-2001309256-1006\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}" => clé supprimé(es) avec succès
C:\Documents and Settings\Elodie\Application Data\gre.hyp => déplacé(es) avec succès
C:\Documents and Settings\Elodie\Application Data\Ventriculography => déplacé(es) avec succès
C:\Documents and Settings\Elodie\Application Data\esthetes.dll => déplacé(es) avec succès
C:\Documents and Settings\Elodie\Local Settings\Application Data\Egtion => déplacé(es) avec succès
C:\Documents and Settings\Elodie\Local Settings\Application Data\Owbics => déplacé(es) avec succès
C:\Documents and Settings\Elodie\Application Data\worksheet.xsd => déplacé(es) avec succès
C:\Documents and Settings\Elodie\Application Data\PatternHotch => déplacé(es) avec succès
C:\Documents and Settings\Elodie\Application Data\wearable.dll => déplacé(es) avec succès
C:\Documents and Settings\Elodie\Application Data\Koruic => déplacé(es) avec succès
C:\Documents and Settings\Elodie\Application Data\Houn => déplacé(es) avec succès
C:\Documents and Settings\Elodie\Application Data\slides.js.xml => déplacé(es) avec succès
C:\Documents and Settings\Elodie\Application Data\IslandCartogramFruitlet => déplacé(es) avec succès
"C:\Documents and Settings\Elodie\Mes documents\PRO_BTP-ADH_-_Information_paie" => non trouvé(e).
C:\Documents and Settings\Elodie\Application Data\fadgtdsc => déplacé(es) avec succès
 Fin de Fixlog 11:21:28

Malekal_morte- · Answer

C'est bon, plus de malwares actifs.
Change tous tes mots de passe. 

Remets des sauvegardes des documents, si tu n'en as pas, c'est mort.

Quelques conseils : 

Pour tenter de prévenir les sites malicieux, tu peux installer Blockulicious.

Pour ne plus te faire avoir. 
A lire - Programmes parasites / PUPs : Dossier Adwares/PUPs : programmes indésirables et parasites
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)


Renforce la sécurité de ton Windows : Comment sécuriser mon Windows

Comment recuperer ses photos et archive apres un trojan paycrypt

7 réponses

Fin de Fixlog 11:21:28

Discussions similaires