Ransomware cryptage RSA-4096
Résolu
Cyboo
Messages postés
222
Date d'inscription
Statut
Membre
Dernière intervention
-
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
on m'a confié un Toshiba Satellite C660-2RP, Win 7x64 ayant attrapé un virus cryptant les fichiers et délivrant le message ci-dessous
Quelqu'un aurait-il la gentillesse de me guider dans la désinfection, s'il vous plait ?
De ce que j'ai lu la récupération des fichiers cryptés n'est pas possible il me semble.
__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!
NOT YOUR LANGUAGE? USE https://translate.google.com
What happened to your files ?
All of your files were protected by a strong encryption with RSA-4096.
More information about the encryption keys using RSA-4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
How did this happen ?
!!! Specially for your PC was generated personal RSA-4096 KEY, both public and private.
!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.
What do I do ?
So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BTC NOW, and restore your data easy way.
If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.
For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1. http://jf73ndna34df.ceorldess.com/9A71C1F38835D45
2. http://gecndhstrnsdf.gpay4it.com/9A71C1F38835D45
3. http://hrdsjrnvskdjnt.pay4softrn.com/9A71C1F38835D45
4. https://t7r67vsrpjcm5dfc.onion.to/9A71C1F38835D45
5. https://t7r67vsrpjcm5dfc.tor2web.org/9A71C1F38835D45
6. https://t7r67vsrpjcm5dfc.onion.cab/9A71C1F38835D45
If for some reasons the addresses are not available, follow these steps:
1. Download and install tor-browser: https://www.torproject.org/download/
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: t7r67vsrpjcm5dfc.onion/9A71C1F38835D45
4. Follow the instructions on the site.
!!! IMPORTANT INFORMATION:
!!! Your personal pages:
http://jf73ndna34df.ceorldess.com/9A71C1F38835D45
http://gecndhstrnsdf.gpay4it.com/9A71C1F38835D45
http://hrdsjrnvskdjnt.pay4softrn.com/9A71C1F38835D45
https://t7r67vsrpjcm5dfc.onion.to/9A71C1F38835D45
!!! Your personal page in TOR Browser: t7r67vsrpjcm5dfc.onion/9A71C1F38835D45
!!! Your personal identification ID: 9A71C1F38835D45
========!!!!!========!!!!!========!!!!!========!!!!!========!!!!!========!!!!!========!!!!!========!!!!!========!!!!!
on m'a confié un Toshiba Satellite C660-2RP, Win 7x64 ayant attrapé un virus cryptant les fichiers et délivrant le message ci-dessous
Quelqu'un aurait-il la gentillesse de me guider dans la désinfection, s'il vous plait ?
De ce que j'ai lu la récupération des fichiers cryptés n'est pas possible il me semble.
__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!
NOT YOUR LANGUAGE? USE https://translate.google.com
What happened to your files ?
All of your files were protected by a strong encryption with RSA-4096.
More information about the encryption keys using RSA-4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
How did this happen ?
!!! Specially for your PC was generated personal RSA-4096 KEY, both public and private.
!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.
What do I do ?
So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BTC NOW, and restore your data easy way.
If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.
For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1. http://jf73ndna34df.ceorldess.com/9A71C1F38835D45
2. http://gecndhstrnsdf.gpay4it.com/9A71C1F38835D45
3. http://hrdsjrnvskdjnt.pay4softrn.com/9A71C1F38835D45
4. https://t7r67vsrpjcm5dfc.onion.to/9A71C1F38835D45
5. https://t7r67vsrpjcm5dfc.tor2web.org/9A71C1F38835D45
6. https://t7r67vsrpjcm5dfc.onion.cab/9A71C1F38835D45
If for some reasons the addresses are not available, follow these steps:
1. Download and install tor-browser: https://www.torproject.org/download/
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: t7r67vsrpjcm5dfc.onion/9A71C1F38835D45
4. Follow the instructions on the site.
!!! IMPORTANT INFORMATION:
!!! Your personal pages:
http://jf73ndna34df.ceorldess.com/9A71C1F38835D45
http://gecndhstrnsdf.gpay4it.com/9A71C1F38835D45
http://hrdsjrnvskdjnt.pay4softrn.com/9A71C1F38835D45
https://t7r67vsrpjcm5dfc.onion.to/9A71C1F38835D45
!!! Your personal page in TOR Browser: t7r67vsrpjcm5dfc.onion/9A71C1F38835D45
!!! Your personal identification ID: 9A71C1F38835D45
========!!!!!========!!!!!========!!!!!========!!!!!========!!!!!========!!!!!========!!!!!========!!!!!========!!!!!
A voir également:
- Ransomware cryptage RSA-4096
- Ransomware solution protection - Guide
- Comment enlever le cryptage d'un samsung - Forum Bureautique
- Cryptage de l'appareil : impossible de déverrouiller mon mobile ✓ - Forum Virus
- Code 4096 fransat - Forum TNT / Satellite / Réception
- Cryptage en cours caméra - Forum Accessoires & objets connectés
8 réponses
Salut,
Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.
A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.
1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.
A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.
1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Merci de ton temps Malekal_morte-
FRST
https://pjjoint.malekal.com/index.php
Shortcuts
https://pjjoint.malekal.com/files.php?id=20160326_12y12o12m12j10
Addition
https://pjjoint.malekal.com/files.php?id=20160326_f11y13t11z12x9
FRST
https://pjjoint.malekal.com/index.php
Shortcuts
https://pjjoint.malekal.com/files.php?id=20160326_12y12o12m12j10
Addition
https://pjjoint.malekal.com/files.php?id=20160326_f11y13t11z12x9
Tu as eu deux ransomwares TeslaCrypt et Locky.
Je sais pas trop comment tu as fait Oo
Locky va exclusivement par email malicieux.
TeslaCrypt par des emails malicieux et Web Exploit.
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Je sais pas trop comment tu as fait Oo
Locky va exclusivement par email malicieux.
TeslaCrypt par des emails malicieux et Web Exploit.
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2410302341-94716826-2741797332-1000\...\Run: [Yahoo! Search] => C:\Users\Thoshiba\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.25.0\dsrlte.exe
Startup: C:\Users\Thoshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+dra.html [2015-12-20] ()
Startup: C:\Users\Thoshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+dra.txt [2015-12-20] ()
HKU\S-1-5-21-2410302341-94716826-2741797332-1000\...\Run: [santa_svc] => C:\Users\Thoshiba\AppData\Roaming\uroygacroic.exe
2015-12-20 16:16 - 2015-12-20 16:16 - 0010631 _____ () C:\Users\Thoshiba\AppData\Roaming\how_recover+dra.html
2015-12-20 16:16 - 2015-12-20 16:16 - 0002398 _____ () C:\Users\Thoshiba\AppData\Roaming\how_recover+dra.txt
2015-01-20 08:01 - 2015-01-20 08:01 - 0022528 _____ () C:\Users\Thoshiba\AppData\Local\dsisetup13119062.exe
2015-01-22 09:01 - 2015-01-22 09:01 - 0022528 _____ () C:\Users\Thoshiba\AppData\Local\dsisetup1763592.exe
2014-12-02 07:29 - 2014-12-02 07:29 - 0022528 _____ () C:\Users\Thoshiba\AppData\Local\dsisetup3149233832.exe
2014-12-17 07:05 - 2014-12-17 07:05 - 0022528 _____ () C:\Users\Thoshiba\AppData\Local\dsisetup359274512.exe
2014-11-22 09:20 - 2014-11-22 09:20 - 0022528 _____ () C:\Users\Thoshiba\AppData\Local\dsisetup4196164812.exe
2015-01-26 10:01 - 2015-01-26 10:01 - 0022528 _____ () C:\Users\Thoshiba\AppData\Local\dsisetup8338402.exe
2015-12-20 14:19 - 2015-12-20 16:35 - 0010631 _____ () C:\Users\Thoshiba\AppData\Local\how_recover+dra.html
2015-12-20 14:19 - 2015-12-20 16:35 - 0002398 _____ () C:\Users\Thoshiba\AppData\Local\how_recover+dra.txt
2014-09-24 15:55 - 2014-09-24 15:55 - 0000000 _____ () C:\Users\Thoshiba\AppData\Local\{CEEE10E0-F259-47DF-87FB-07FE15F12120}
2016-03-18 13:25 - 2016-03-18 13:25 - 0003234 ____N () C:\ProgramData\DC07F398AD4263A13CEF4ED49EB2BECC.locky
2015-12-20 14:19 - 2015-12-20 14:19 - 0010631 _____ () C:\ProgramData\how_recover+dra.html
2016-03-18 13:25 - 2016-03-18 13:25 - 0001125 _____ () C:\ProgramData\_Locky_recover_instructions.txt
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
lol je ne sais pas, ce n'est pas mon pc, la dame me l'a passé en disant que c'est arrivé quand sa fille a voulu installer un logiciel pour "nettoyer" l'ordinateur, mais en effet en regardant dans téléchargement avant le scan il semble que les dates clés soient le 20/12/12 pour les .vvv et le 18/03/16 pour les .locky
Le 18/03 apparaît un fichier "Pi ce jointe" (je n'ai pas oublié le "è", il est écrit comme cela) dont je ne connais pas l'extension qui était même déjà là en d'autres exemplaires à des dates précédentes. Pour le 20/12 je ne sais pas quel fichier est suspicieux, peut-être un zip, mais le fix a changé quelques trucs dans les dates.
Je regarderai aussi l'historique internet
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:05-03-2016 01
Exécuté par Thoshiba (2016-03-26 17:22:55) Run:1
Exécuté depuis C:\Users\Thoshiba\Desktop
Profils chargés: Thoshiba (Profils disponibles: Thoshiba)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2410302341-94716826-2741797332-1000\...\Run: [Yahoo! Search] => C:\Users\Thoshiba\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.25.0\dsrlte.exe
Startup: C:\Users\Thoshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+dra.html [2015-12-20] ()
Startup: C:\Users\Thoshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+dra.txt [2015-12-20] ()
HKU\S-1-5-21-2410302341-94716826-2741797332-1000\...\Run: [santa_svc] => C:\Users\Thoshiba\AppData\Roaming\uroygacroic.exe
2015-12-20 16:16 - 2015-12-20 16:16 - 0010631 _____ () C:\Users\Thoshiba\AppData\Roaming\how_recover+dra.html
2015-12-20 16:16 - 2015-12-20 16:16 - 0002398 _____ () C:\Users\Thoshiba\AppData\Roaming\how_recover+dra.txt
2015-01-20 08:01 - 2015-01-20 08:01 - 0022528 _____ () C:\Users\Thoshiba\AppData\Local\dsisetup13119062.exe
2015-01-22 09:01 - 2015-01-22 09:01 - 0022528 _____ () C:\Users\Thoshiba\AppData\Local\dsisetup1763592.exe
2014-12-02 07:29 - 2014-12-02 07:29 - 0022528 _____ () C:\Users\Thoshiba\AppData\Local\dsisetup3149233832.exe
2014-12-17 07:05 - 2014-12-17 07:05 - 0022528 _____ () C:\Users\Thoshiba\AppData\Local\dsisetup359274512.exe
2014-11-22 09:20 - 2014-11-22 09:20 - 0022528 _____ () C:\Users\Thoshiba\AppData\Local\dsisetup4196164812.exe
2015-01-26 10:01 - 2015-01-26 10:01 - 0022528 _____ () C:\Users\Thoshiba\AppData\Local\dsisetup8338402.exe
2015-12-20 14:19 - 2015-12-20 16:35 - 0010631 _____ () C:\Users\Thoshiba\AppData\Local\how_recover+dra.html
2015-12-20 14:19 - 2015-12-20 16:35 - 0002398 _____ () C:\Users\Thoshiba\AppData\Local\how_recover+dra.txt
2014-09-24 15:55 - 2014-09-24 15:55 - 0000000 _____ () C:\Users\Thoshiba\AppData\Local\{CEEE10E0-F259-47DF-87FB-07FE15F12120}
2016-03-18 13:25 - 2016-03-18 13:25 - 0003234 ____N () C:\ProgramData\DC07F398AD4263A13CEF4ED49EB2BECC.locky
2015-12-20 14:19 - 2015-12-20 14:19 - 0010631 _____ () C:\ProgramData\how_recover+dra.html
2016-03-18 13:25 - 2016-03-18 13:25 - 0001125 _____ () C:\ProgramData\_Locky_recover_instructions.txt
Reboot:
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKU\S-1-5-21-2410302341-94716826-2741797332-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Yahoo! Search => valeur supprimé(es) avec succès
C:\Users\Thoshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+dra.html => déplacé(es) avec succès
C:\Users\Thoshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+dra.txt => déplacé(es) avec succès
HKU\S-1-5-21-2410302341-94716826-2741797332-1000\Software\Microsoft\Windows\CurrentVersion\Run\\santa_svc => valeur supprimé(es) avec succès
C:\Users\Thoshiba\AppData\Roaming\how_recover+dra.html => déplacé(es) avec succès
C:\Users\Thoshiba\AppData\Roaming\how_recover+dra.txt => déplacé(es) avec succès
C:\Users\Thoshiba\AppData\Local\dsisetup13119062.exe => déplacé(es) avec succès
C:\Users\Thoshiba\AppData\Local\dsisetup1763592.exe => déplacé(es) avec succès
C:\Users\Thoshiba\AppData\Local\dsisetup3149233832.exe => déplacé(es) avec succès
C:\Users\Thoshiba\AppData\Local\dsisetup359274512.exe => déplacé(es) avec succès
C:\Users\Thoshiba\AppData\Local\dsisetup4196164812.exe => déplacé(es) avec succès
C:\Users\Thoshiba\AppData\Local\dsisetup8338402.exe => déplacé(es) avec succès
C:\Users\Thoshiba\AppData\Local\how_recover+dra.html => déplacé(es) avec succès
C:\Users\Thoshiba\AppData\Local\how_recover+dra.txt => déplacé(es) avec succès
C:\Users\Thoshiba\AppData\Local\{CEEE10E0-F259-47DF-87FB-07FE15F12120} => déplacé(es) avec succès
C:\ProgramData\DC07F398AD4263A13CEF4ED49EB2BECC.locky => déplacé(es) avec succès
C:\ProgramData\how_recover+dra.html => déplacé(es) avec succès
C:\ProgramData\_Locky_recover_instructions.txt => déplacé(es) avec succès
Le système a dû redémarrer.
Le 18/03 apparaît un fichier "Pi ce jointe" (je n'ai pas oublié le "è", il est écrit comme cela) dont je ne connais pas l'extension qui était même déjà là en d'autres exemplaires à des dates précédentes. Pour le 20/12 je ne sais pas quel fichier est suspicieux, peut-être un zip, mais le fix a changé quelques trucs dans les dates.
Je regarderai aussi l'historique internet
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:05-03-2016 01
Exécuté par Thoshiba (2016-03-26 17:22:55) Run:1
Exécuté depuis C:\Users\Thoshiba\Desktop
Profils chargés: Thoshiba (Profils disponibles: Thoshiba)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2410302341-94716826-2741797332-1000\...\Run: [Yahoo! Search] => C:\Users\Thoshiba\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.25.0\dsrlte.exe
Startup: C:\Users\Thoshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+dra.html [2015-12-20] ()
Startup: C:\Users\Thoshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+dra.txt [2015-12-20] ()
HKU\S-1-5-21-2410302341-94716826-2741797332-1000\...\Run: [santa_svc] => C:\Users\Thoshiba\AppData\Roaming\uroygacroic.exe
2015-12-20 16:16 - 2015-12-20 16:16 - 0010631 _____ () C:\Users\Thoshiba\AppData\Roaming\how_recover+dra.html
2015-12-20 16:16 - 2015-12-20 16:16 - 0002398 _____ () C:\Users\Thoshiba\AppData\Roaming\how_recover+dra.txt
2015-01-20 08:01 - 2015-01-20 08:01 - 0022528 _____ () C:\Users\Thoshiba\AppData\Local\dsisetup13119062.exe
2015-01-22 09:01 - 2015-01-22 09:01 - 0022528 _____ () C:\Users\Thoshiba\AppData\Local\dsisetup1763592.exe
2014-12-02 07:29 - 2014-12-02 07:29 - 0022528 _____ () C:\Users\Thoshiba\AppData\Local\dsisetup3149233832.exe
2014-12-17 07:05 - 2014-12-17 07:05 - 0022528 _____ () C:\Users\Thoshiba\AppData\Local\dsisetup359274512.exe
2014-11-22 09:20 - 2014-11-22 09:20 - 0022528 _____ () C:\Users\Thoshiba\AppData\Local\dsisetup4196164812.exe
2015-01-26 10:01 - 2015-01-26 10:01 - 0022528 _____ () C:\Users\Thoshiba\AppData\Local\dsisetup8338402.exe
2015-12-20 14:19 - 2015-12-20 16:35 - 0010631 _____ () C:\Users\Thoshiba\AppData\Local\how_recover+dra.html
2015-12-20 14:19 - 2015-12-20 16:35 - 0002398 _____ () C:\Users\Thoshiba\AppData\Local\how_recover+dra.txt
2014-09-24 15:55 - 2014-09-24 15:55 - 0000000 _____ () C:\Users\Thoshiba\AppData\Local\{CEEE10E0-F259-47DF-87FB-07FE15F12120}
2016-03-18 13:25 - 2016-03-18 13:25 - 0003234 ____N () C:\ProgramData\DC07F398AD4263A13CEF4ED49EB2BECC.locky
2015-12-20 14:19 - 2015-12-20 14:19 - 0010631 _____ () C:\ProgramData\how_recover+dra.html
2016-03-18 13:25 - 2016-03-18 13:25 - 0001125 _____ () C:\ProgramData\_Locky_recover_instructions.txt
Reboot:
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKU\S-1-5-21-2410302341-94716826-2741797332-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Yahoo! Search => valeur supprimé(es) avec succès
C:\Users\Thoshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+dra.html => déplacé(es) avec succès
C:\Users\Thoshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+dra.txt => déplacé(es) avec succès
HKU\S-1-5-21-2410302341-94716826-2741797332-1000\Software\Microsoft\Windows\CurrentVersion\Run\\santa_svc => valeur supprimé(es) avec succès
C:\Users\Thoshiba\AppData\Roaming\how_recover+dra.html => déplacé(es) avec succès
C:\Users\Thoshiba\AppData\Roaming\how_recover+dra.txt => déplacé(es) avec succès
C:\Users\Thoshiba\AppData\Local\dsisetup13119062.exe => déplacé(es) avec succès
C:\Users\Thoshiba\AppData\Local\dsisetup1763592.exe => déplacé(es) avec succès
C:\Users\Thoshiba\AppData\Local\dsisetup3149233832.exe => déplacé(es) avec succès
C:\Users\Thoshiba\AppData\Local\dsisetup359274512.exe => déplacé(es) avec succès
C:\Users\Thoshiba\AppData\Local\dsisetup4196164812.exe => déplacé(es) avec succès
C:\Users\Thoshiba\AppData\Local\dsisetup8338402.exe => déplacé(es) avec succès
C:\Users\Thoshiba\AppData\Local\how_recover+dra.html => déplacé(es) avec succès
C:\Users\Thoshiba\AppData\Local\how_recover+dra.txt => déplacé(es) avec succès
C:\Users\Thoshiba\AppData\Local\{CEEE10E0-F259-47DF-87FB-07FE15F12120} => déplacé(es) avec succès
C:\ProgramData\DC07F398AD4263A13CEF4ED49EB2BECC.locky => déplacé(es) avec succès
C:\ProgramData\how_recover+dra.html => déplacé(es) avec succès
C:\ProgramData\_Locky_recover_instructions.txt => déplacé(es) avec succès
Le système a dû redémarrer.
Fin de Fixlog 17:23:57
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
ok, histoire de :
MalwareBytes ( durée : environ 40min de scan ):
==================================================
Télécharge et installe MBAM. La version gratuite permet de nettoyer ( décoche bien la proposition d'essai de la version Premium à la fin de l'installation ) :
Mettre MBAM à jour puis lancer un examen.
A la fin du scan, clique sur "Supprimer Sélection" en bas à gauche.
Redémarrer l'ordinateur si nécessaire puis relancer Malwarebytes.
Vas chercher le rapport dans l'onglet "Historique".
A gauche "Journal d'analyse", double-clique sur l'examen dans la liste. Puis en bas "Copier dans le presse papier", va sur http://pjjoint.malekal.com/, clique droit "Coller" pour coller le contenu du rapport du scan. Clique sur "Envoyer". Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.
MalwareBytes ( durée : environ 40min de scan ):
==================================================
Télécharge et installe MBAM. La version gratuite permet de nettoyer ( décoche bien la proposition d'essai de la version Premium à la fin de l'installation ) :
- Tutoriel MBAM version gratuite
- Tutoriel MBAM version payante
Mettre MBAM à jour puis lancer un examen.
A la fin du scan, clique sur "Supprimer Sélection" en bas à gauche.
Redémarrer l'ordinateur si nécessaire puis relancer Malwarebytes.
Vas chercher le rapport dans l'onglet "Historique".
A gauche "Journal d'analyse", double-clique sur l'examen dans la liste. Puis en bas "Copier dans le presse papier", va sur http://pjjoint.malekal.com/, clique droit "Coller" pour coller le contenu du rapport du scan. Clique sur "Envoyer". Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.
Bonjour Malekal,
désolé je suis resté éloigné des pc jusqu'à ce matin
Le rapport mbam
https://pjjoint.malekal.com/files.php?id=20160329_w9s14v13s15b11
Tout est en quarantaine
En tout cas dès FRST il n'y avait plus de message de rançon au redémarrage
J'ai essayé "restaurer la version précédente" sur les fichiers .vvv et .locky mais évidement cela n'a pas fonctionné
désolé je suis resté éloigné des pc jusqu'à ce matin
Le rapport mbam
https://pjjoint.malekal.com/files.php?id=20160329_w9s14v13s15b11
Tout est en quarantaine
En tout cas dès FRST il n'y avait plus de message de rançon au redémarrage
J'ai essayé "restaurer la version précédente" sur les fichiers .vvv et .locky mais évidement cela n'a pas fonctionné
La restauration est impossible.
Fais ceci pour limiter la portée des mais malicieux en Trojan.JS.Downloader :
Comment se protéger des scripts malicieux sur Windows
et :
Renforce la sécurité de ton Windows : Comment sécuriser mon Windows
Fais ceci pour limiter la portée des mais malicieux en Trojan.JS.Downloader :
Comment se protéger des scripts malicieux sur Windows
et :
Renforce la sécurité de ton Windows : Comment sécuriser mon Windows
Ok
Merci beaucoup de ton aide Malekal et pour ces derniers liens, je n'avais pas encore lu ce dossier sur les scripts malicieux
Topic résolu
Cette infection est méchante, de plus la manière de payer la rançon me paraît quand même compliquée pour beaucoup d'internautes (utiliser Tor, acheter des BTC) à tel point que je me suis demandé si elle était rentable. Elle doit l'être sinon ils ne la feraient pas mais cela m'a surpris.
Bonne soirée
Merci beaucoup de ton aide Malekal et pour ces derniers liens, je n'avais pas encore lu ce dossier sur les scripts malicieux
Topic résolu
Cette infection est méchante, de plus la manière de payer la rançon me paraît quand même compliquée pour beaucoup d'internautes (utiliser Tor, acheter des BTC) à tel point que je me suis demandé si elle était rentable. Elle doit l'être sinon ils ne la feraient pas mais cela m'a surpris.
Bonne soirée
