Comment recuperer ses photos et archive apres un trojan paycrypt

Résolu

lekriss -
lekriss - 21 mars 2016 à 21:43

Bonjour,

salut
etant sur un vieux xp (oui je sais faut que je tourne la page !!) tous mes fichiers photos archives et videos ont étaient encodés.j'ai fais cc cleaner et malwarebytes apparament tout est nickel maintenant sauf ces fichiers que je peux plus atteindre.si quelqu'un peut eclairer ma lanterne je suis coincé !
merci ;)

Afficher la suite

A voir également:

Comment recuperer ses photos et archive apres un trojan paycrypt
Comment partager des photos - Guide
Comment recuperer un message supprimé sur whatsapp - Guide
Comment récupérer ses photos sur google - Guide
Comment récupérer un compte facebook piraté - Guide
Google photos - Télécharger - Albums photo

7 réponses

Réponse 1 / 7

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

Salut,

En général, ce n'est pas possible.
Quel extension a été mise sur les documents ?

Réponse 2 / 7

lekriss

l'appli c'est MS-DOS

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

???

lekriss

Salut et merci de m'avoir répondu .il est marqué avant que je clique sur ce fichier application MS-DOS et toutes mes photos je ne peux plus les voir (quand tu clique il y a marqué aucun aperçu ) et à côté de chaque de mes photos il y'a ce petit fichier que je ne peux pas ouvrir.je ne sais pas comment faire .est ce que tu veux que je poste des photos?

Réponse 3 / 7

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :

FRST.txt
Shortcut.txt
Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

lekriss

Ok je fais ca de suite merci encore

lekriss

excuses je ne sais meme pas si c'est un 32 ou 64 bits qu'il faut que je telecharge??!

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685 > lekriss

prends 32.

Réponse 4 / 7

lekriss

voici les rapports

http://pjjoint.malekal.com/files.php?id=20160321_t6p12o11j5n8

http://pjjoint.malekal.com/files.php?id=FRST_20160321_v14g5q13x714

http://pjjoint.malekal.com/files.php?id=20160321_b9p6q7k1113

merci

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 5 / 7

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

humm il s'agit bien d'un ransomware paycrypt@aol.com
c'est cette famille : https://forum.malekal.com/viewtopic.php?t=54461&start=
Si tu as une sauvegarde des documents, il faut les remettre.
L'ordinateur est encore infecté.

2016-03-20 13:39 - 2016-03-20 13:39 - 00196612 ____S C:\Documents and Settings\Elodie\Mes documents\courrier de refus de mutuele d'entreprise.jpg.id-9424025382770424-paycrypt@aol.com
2016-03-20 13:39 - 2016-03-20 13:39 - 00169828 ____S C:\Documents and Settings\Elodie\Mes documents\julien marjo.jpg.id-9424025382770424-paycrypt@aol.com
2016-03-20 13:39 - 2016-03-20 13:39 - 00021508 ____S C:\Documents and Settings\Elodie\Mes documents\Elodie BRO Aubenas.doc.id-9424025382770424-paycrypt@aol.com

~~

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :


 HKU\S-1-5-21-3124144118-1083633373-2001309256-1006\...\Run: [Owbics] => regsvr32.exe C:\Documents and Settings\Elodie\Local Settings\Application Data\Owbics\FmPort8.dll  
 HKU\S-1-5-21-3124144118-1083633373-2001309256-1006\...409d6c4515e9\InprocServer32: [Default-shell32] C:\Documents and Settings\Elodie\Local Settings\Application Data\Egtion\IsCrtshell.dll ATTENTION  
 2016-03-19 22:16 - 2016-03-19 22:16 - 00049789 _____ C:\Documents and Settings\Elodie\Application Data\gre.hyp  
 2016-03-19 22:16 - 2016-03-19 22:16 - 00002292 _____ C:\Documents and Settings\Elodie\Application Data\Ventriculography 
 2016-03-19 21:57 - 2016-03-19 21:57 - 00010752 _____ ( ) C:\Documents and Settings\Elodie\Application Data\esthetes.dll 
 2016-03-18 19:01 - 2016-03-20 19:12 - 00000000 ____D C:\Documents and Settings\Elodie\Local Settings\Application Data\Egtion 
 2016-03-18 19:01 - 2016-03-18 19:01 - 00000000 ____D C:\Documents and Settings\Elodie\Local Settings\Application Data\Owbics 
 2016-03-18 08:19 - 2016-03-18 08:19 - 00049858 _____ C:\Documents and Settings\Elodie\Application Data\worksheet.xsd  
 2016-03-18 08:19 - 2016-03-18 08:19 - 00001484 _____ C:\Documents and Settings\Elodie\Application Data\PatternHotch 
 2016-03-16 11:10 - 2016-03-16 11:10 - 00075264 _____ (Apple Inc.) C:\Documents and Settings\Elodie\Application Data\wearable.dll 
 2016-03-14 18:32 - 2016-03-20 17:52 - 00000000 ____D C:\Documents and Settings\Elodie\Application Data\Koruic 
 2016-03-14 18:32 - 2016-03-14 20:12 - 00000000 ____D C:\Documents and Settings\Elodie\Application Data\Houn 
 2016-03-14 03:15 - 2016-03-20 13:37 - 00168695 _____ C:\Documents and Settings\Elodie\Application Data\slides.js.xml 
 2016-03-14 03:15 - 2016-03-14 03:15 - 00001794 _____ C:\Documents and Settings\Elodie\Application Data\IslandCartogramFruitlet 
 2016-03-11 10:14 - 2016-03-20 16:27 - 00018530 _____ C:\Documents and Settings\Elodie\Mes documents\PRO_BTP-ADH_-_Information_paie
 2016-03-20 18:29 - 2007-12-05 05:29 - 00000000 __SHD C:\Documents and Settings\Elodie\Application Data\fadgtdsc

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

Veuillez appuyer sur une touche pour continuer la désinfection...

lekriss

par contre je n'ai pas de point de sauvegarde recent créé .est ce que toutes mes photos seront perdus du coup??

lekriss

les points de sauvegarde se créént manuellement c'est ca ?si oui je n'en ai pas fait depuis tres longtemps..et est ce que je suis obligé de faire cela pour faire l'etape que tu viens de me dire.merci encore

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685 > lekriss

oui c'est perdu.

lekriss

excuses ou se trouve la restauration systeme je ne trouve pas et j'aimerais essyaée au cas ou que ca me sauve quelques photos videos.merci encore

Réponse 6 / 7

lekriss

Résultats de correction de Farbar Recovery Scan Tool (x86) Version:05-03-2016 01
Exécuté par Elodie (2016-03-21 11:21:26) Run:1
Exécuté depuis C:\Documents and Settings\Elodie\Bureau
Profils chargés: Elodie (Profils disponibles: Elodie & Invité)
Mode d'amorçage: Normal

==============================================

fixlist contenu:

HKU\S-1-5-21-3124144118-1083633373-2001309256-1006\...\Run: [Owbics] => regsvr32.exe C:\Documents and Settings\Elodie\Local Settings\Application Data\Owbics\FmPort8.dll
HKU\S-1-5-21-3124144118-1083633373-2001309256-1006\...409d6c4515e9\InprocServer32: [Default-shell32] C:\Documents and Settings\Elodie\Local Settings\Application Data\Egtion\IsCrtshell.dll ATTENTION
2016-03-19 22:16 - 2016-03-19 22:16 - 00049789 _____ C:\Documents and Settings\Elodie\Application Data\gre.hyp
2016-03-19 22:16 - 2016-03-19 22:16 - 00002292 _____ C:\Documents and Settings\Elodie\Application Data\Ventriculography
2016-03-19 21:57 - 2016-03-19 21:57 - 00010752 _____ ( ) C:\Documents and Settings\Elodie\Application Data\esthetes.dll
2016-03-18 19:01 - 2016-03-20 19:12 - 00000000 ____D C:\Documents and Settings\Elodie\Local Settings\Application Data\Egtion
2016-03-18 19:01 - 2016-03-18 19:01 - 00000000 ____D C:\Documents and Settings\Elodie\Local Settings\Application Data\Owbics
2016-03-18 08:19 - 2016-03-18 08:19 - 00049858 _____ C:\Documents and Settings\Elodie\Application Data\worksheet.xsd
2016-03-18 08:19 - 2016-03-18 08:19 - 00001484 _____ C:\Documents and Settings\Elodie\Application Data\PatternHotch
2016-03-16 11:10 - 2016-03-16 11:10 - 00075264 _____ (Apple Inc.) C:\Documents and Settings\Elodie\Application Data\wearable.dll
2016-03-14 18:32 - 2016-03-20 17:52 - 00000000 ____D C:\Documents and Settings\Elodie\Application Data\Koruic
2016-03-14 18:32 - 2016-03-14 20:12 - 00000000 ____D C:\Documents and Settings\Elodie\Application Data\Houn
2016-03-14 03:15 - 2016-03-20 13:37 - 00168695 _____ C:\Documents and Settings\Elodie\Application Data\slides.js.xml
2016-03-14 03:15 - 2016-03-14 03:15 - 00001794 _____ C:\Documents and Settings\Elodie\Application Data\IslandCartogramFruitlet
2016-03-11 10:14 - 2016-03-20 16:27 - 00018530 _____ C:\Documents and Settings\Elodie\Mes documents\PRO_BTP-ADH_-_Information_paie
2016-03-20 18:29 - 2007-12-05 05:29 - 00000000 __SHD C:\Documents and Settings\Elodie\Application Data\fadgtdsc

HKU\S-1-5-21-3124144118-1083633373-2001309256-1006\Software\Microsoft\Windows\CurrentVersion\Run\\Owbics => valeur supprimé(es) avec succès
"HKU\S-1-5-21-3124144118-1083633373-2001309256-1006\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}" => clé supprimé(es) avec succès
C:\Documents and Settings\Elodie\Application Data\gre.hyp => déplacé(es) avec succès
C:\Documents and Settings\Elodie\Application Data\Ventriculography => déplacé(es) avec succès
C:\Documents and Settings\Elodie\Application Data\esthetes.dll => déplacé(es) avec succès
C:\Documents and Settings\Elodie\Local Settings\Application Data\Egtion => déplacé(es) avec succès
C:\Documents and Settings\Elodie\Local Settings\Application Data\Owbics => déplacé(es) avec succès
C:\Documents and Settings\Elodie\Application Data\worksheet.xsd => déplacé(es) avec succès
C:\Documents and Settings\Elodie\Application Data\PatternHotch => déplacé(es) avec succès
C:\Documents and Settings\Elodie\Application Data\wearable.dll => déplacé(es) avec succès
C:\Documents and Settings\Elodie\Application Data\Koruic => déplacé(es) avec succès
C:\Documents and Settings\Elodie\Application Data\Houn => déplacé(es) avec succès
C:\Documents and Settings\Elodie\Application Data\slides.js.xml => déplacé(es) avec succès
C:\Documents and Settings\Elodie\Application Data\IslandCartogramFruitlet => déplacé(es) avec succès
"C:\Documents and Settings\Elodie\Mes documents\PRO_BTP-ADH_-_Information_paie" => non trouvé(e).
C:\Documents and Settings\Elodie\Application Data\fadgtdsc => déplacé(es) avec succès

Fin de Fixlog 11:21:28

lekriss

le probleme aussi c'est que depuis quelques mois je ne peux pas arreter ou redemarrer l'ordi depuis le menu demarrer,comment faire donc pour le redemarrage??je seche complet !!Merci

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685 > lekriss

Ca n'a rien à voir avec les infections, je pense.

Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur http://pjjoint.malekal.com/ et donne le lien ici.

lekriss

apres 2 scan et que ca m'a supprimé apparement cheval de troie et autre le rapport est la

http://pjjoint.malekal.com/files.php?id=20160321_n7m8o8b7j13

Réponse 7 / 7

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

C'est bon, plus de malwares actifs.
Change tous tes mots de passe.

Remets des sauvegardes des documents, si tu n'en as pas, c'est mort.

Quelques conseils :

Pour tenter de prévenir les sites malicieux, tu peux installer Blockulicious.

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : Dossier Adwares/PUPs : programmes indésirables et parasites
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)

Renforce la sécurité de ton Windows : Comment sécuriser mon Windows

lekriss

ok merci pour toutes ces infos et pour laide pas a pas ;) .
question bete,comment tu mets des sauvegardes au documents?et vraiment aucun moyen de recuperer mes fichiers encodés y'avait des videos et photos de mes gamins j'ai perdu 5 ans .le pire c que j'etais juste connecté quand c arrivé,on mangé j'ai vu le bazard dans les fichiers !
en tout cas merci encore bonne soiree kriss

lekriss

et a ton avis est ce que je peux brancher un disque dur sans danger pour le contenu pour regarder tout ce qu'il m'a encodé??

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685 > lekriss

oui tu peux.
Pour les documents, copie les sur un disque dur externe.
Après tu as des logiciels qui peuvent faire cela, mais bon sur XP, pas dit que ça fonctionne.

lekriss

Ok dernier question comment j'ai pu chopé ça par l'ip ?ou est ce à cause que Xp ne reçoit plus les mise a jour aussi?

Discussions similaires

Colis shein terminal fret

Fin de Fixlog 11:21:28

Votre réponse

Discussions similaires