Supprimer Ransomware TeslaCrypt
bilout85
Messages postés
9
Date d'inscription
Statut
Membre
Dernière intervention
-
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
Depuis hier soir j'ai été infecté par le Ransomware Teslacrypt, j'ai fais un scan avec Malwarebytes qui m'a trouvé 3 fichiers infectés "ransom.Teslacrypt" mais rien n'y fait
J'ai tenté une procédure mais je ne sais pas si le virus est toujours actif!
Les symptômes c'est que je ne peux plus ouvrir mes photos, ou fichiers pdf, j'ai des fichiers un peu partout nommés : xxx-HELP-xxxx+wxsnu-+-. ou qui finissent par "iackw" ou encore "ehpwx
Au démarrage j'ai ça sur mon ecran:
Depuis hier soir j'ai été infecté par le Ransomware Teslacrypt, j'ai fais un scan avec Malwarebytes qui m'a trouvé 3 fichiers infectés "ransom.Teslacrypt" mais rien n'y fait
J'ai tenté une procédure mais je ne sais pas si le virus est toujours actif!
Les symptômes c'est que je ne peux plus ouvrir mes photos, ou fichiers pdf, j'ai des fichiers un peu partout nommés : xxx-HELP-xxxx+wxsnu-+-. ou qui finissent par "iackw" ou encore "ehpwx
Au démarrage j'ai ça sur mon ecran:
A voir également:
- Supprimer Ransomware TeslaCrypt
- Supprimer rond bleu whatsapp - Guide
- Supprimer page word - Guide
- Supprimer pub youtube - Accueil - Streaming
- Fichier impossible à supprimer - Guide
- Supprimer compte instagram - Guide
6 réponses
Salut,
Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.
A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.
1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.
A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.
1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Fais une recherche de fichiers sur Windows (aide : Comment rechercher des fichiers sur Windows) sur xxx-HELP-xxx et supprime les fichiers trouvés.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CloseProcesses:
HKU\S-1-5-21-104212704-2861303946-3301801053-1001\...\Run: [svc-njgl] => C:\Windows\system32\cmd /C start " " "C:\Users\laurent\Documents\rdqtrii.exe"
HKU\S-1-5-21-104212704-2861303946-3301801053-1001\...\Run: [svc-aqln] => C:\Windows\system32\cmd /C start " " "C:\Users\laurent\Documents\rdqtrii.exe"
HKU\S-1-5-21-104212704-2861303946-3301801053-1001\...\Run: [svc-opxc] => C:\Windows\system32\cmd /C start " " "C:\Users\laurent\Documents\rdqtrii.exe"
HKU\S-1-5-21-104212704-2861303946-3301801053-1001\...\Run: [svc-bkpw] => C:\Windows\system32\cmd /C start " " "C:\Users\laurent\Documents\rdqtrii.exe"
HKU\S-1-5-21-104212704-2861303946-3301801053-1001\...\Run: [svc-sxot] => C:\Windows\system32\cmd /C start " " "C:\Users\laurent\Documents\rdqtrii.exe"
2016-03-23 22:46 - 2015-05-20 22:45 - 00000000 ____D C:\Users\laurent\AppData\Roaming\chc.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1
2016-03-23 22:44 - 2015-03-04 23:01 - 00000000 ____D C:\Users\laurent\AppData\Roaming\16835
2016-03-23 22:44 - 2015-03-04 22:52 - 00000000 ____D C:\Users\laurent\AppData\Roaming\15101
2016-03-23 22:44 - 2014-12-03 11:28 - 00000000 ____D C:\Users\laurent\AppData\Roaming\26825
2016-03-24 14:51 - 2016-03-24 14:51 - 00000000 ____D C:\Users\laurent\AppData\Roaming\6662
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Fais une recherche de fichiers sur Windows (aide : Comment rechercher des fichiers sur Windows) sur xxx-HELP-xxx et supprime les fichiers trouvés.
voilà : https://pjjoint.malekal.com/files.php?id=20160324_o5q11n15x5j9
déjà je n'ai plus le message d'erreur au démarrage du pc (cf; screen +haut)
déjà je n'ai plus le message d'erreur au démarrage du pc (cf; screen +haut)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
ouaip le ransomware TeslaCrypt a été supprimé.
Fais du nettoyage pour supprimer les fichiers instructions xxx-HELP-xxx.
Remets une sauvegarde des documents, si tu n'en as pas, c'est mort.
Comme expliqué dans mon premier message, ça vient par des emails malicieux ou des Web Exploit.
Les mails sont en anglais, tu as des exemples là : https://forum.malekal.com/viewtopic.php?t=53347&start=
Désactive Windows Script Host pour limiter la portée des emails. :
Comment se protéger des scripts malicieux sur Windows
et pour sécuriser ton ordinateur contre les Web Exploit :
Renforce la sécurité de ton Windows : Comment sécuriser mon Windows
Fais du nettoyage pour supprimer les fichiers instructions xxx-HELP-xxx.
Remets une sauvegarde des documents, si tu n'en as pas, c'est mort.
Comme expliqué dans mon premier message, ça vient par des emails malicieux ou des Web Exploit.
Les mails sont en anglais, tu as des exemples là : https://forum.malekal.com/viewtopic.php?t=53347&start=
Désactive Windows Script Host pour limiter la portée des emails. :
Comment se protéger des scripts malicieux sur Windows
et pour sécuriser ton ordinateur contre les Web Exploit :
Renforce la sécurité de ton Windows : Comment sécuriser mon Windows
Merci infiniment pour ton aide et ta réactivité! pour moi perso ça venait d'un logiciel que j'ai installé...j'avais pourtant fais au préalable un scan avec mon antivirus..mais bon ..ça n'a pas suffit.