Pc infecté et fichiers cryptés - job crypter
cirdec21
Messages postés
213
Date d'inscription
Statut
Membre
Dernière intervention
-
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
Le pc d'un ami vient d'être infecté par un virus qui a crypté tous les fichiers.
Description du virus :
https://forum.malekal.com/viewtopic.php?t=54381&start=
Mes questions :
Comment savoir si le virus a bien été supprimé ?
Comment faire pour décrypter les fichiers ?
Merci d'avance pour votre aide.
Le pc d'un ami vient d'être infecté par un virus qui a crypté tous les fichiers.
Description du virus :
https://forum.malekal.com/viewtopic.php?t=54381&start=
Mes questions :
Comment savoir si le virus a bien été supprimé ?
Comment faire pour décrypter les fichiers ?
Merci d'avance pour votre aide.
A voir également:
- Pc infecté et fichiers cryptés - job crypter
- Reinitialiser pc - Guide
- Test performance pc - Guide
- Pc lent - Guide
- Downloader for pc - Télécharger - Téléchargement & Transfert
- Forcer demarrage pc - Guide
8 réponses
Salut,
Fais ceci :
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Fais ceci :
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Salut,
Question résolue : https://forums.commentcamarche.net/forum/affich-32867754-comment-recuperer-ses-donnees-apres-un-ransomware-vvv
Pour récupérer tes fichiers, c'est malheureusement impossible.
Question résolue : https://forums.commentcamarche.net/forum/affich-32867754-comment-recuperer-ses-donnees-apres-un-ransomware-vvv
Pour récupérer tes fichiers, c'est malheureusement impossible.
je n'arrive pas à envoyer les rapports sur le site http://pjjoint.malekal.com/
Dès je clique sur le bouton envoyer, j'arrive sur une page "page inaccessible"
--
Dès je clique sur le bouton envoyer, j'arrive sur une page "page inaccessible"
--
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
il n'y a pas d'antivirus sur ce PC ...
Voici les trois étapes à suivre.
1/
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
2/
Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
3/
Installe Avast!, active surtout les détections LPI pour détecter les programmes parasites et publicitaires.
Veuillez appuyer sur une touche pour continuer la désinfection...
Voici les trois étapes à suivre.
1/
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
CloseProcesses:
Startup: C:\Documents and Settings\Bob\Menu Démarrer\Programmes\Démarrage\Startup32.3.exe [2016-04-21] (Microsoft® Windows® Operating System)
Startup: C:\Documents and Settings\Bob\Menu Démarrer\Programmes\Démarrage\Startup32.3.exe.css [2016-04-21] ()
HKU\S-1-5-21-1114607951-2372006059-252219841-1006\...\Run: [Sidebar(32.3)] => C:\Documents and Settings\Bob\Application Data\ProgramFiles(32.3)\svchost.exe [116968 2016-04-21] (Microsoft® Windows® Operating System)
HKU\S-1-5-21-1114607951-2372006059-252219841-1006\...\Run: [application] => C:\Documents and Settings\Bob\Application Data\Locker.exe
C:\Documents and Settings\Bob\Application Data\Locker.exe
C:\Documents and Settings\Bob\Application Data\ProgramFiles(32.3)\svchost.exe
HKU\S-1-5-21-1114607951-2372006059-252219841-1006\...\Run: [RDReminder] => C:\Program Files\RCP\RegCleanPro.exe -rem
C:\Program Files\RCP
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
2/
Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
3/
Installe Avast!, active surtout les détections LPI pour détecter les programmes parasites et publicitaires.
Veuillez appuyer sur une touche pour continuer la désinfection...
J'ai fait les différentes modifications :
étape 1
après avoir cliquez sur le bouton "corriger/fix", une fenêtre s'est ouverte pour me demander de redémarrer le pc mais par contre je n'ai pas eu de fichier texte qui s'est ouvert.
Par contre j'ai un nouveau fichier sur le bureau qui s'appelle fixlog.txt, j'imagine que ça doit être ça
étape 2
j'ai bien mis le fichier zip sur http://upload.malekal.com
J'ai eu ce message "L'upload a r�ussi !" mais par contre je n'ai pas eu de lien vers le fichier déposé. C'est normal ?
étape 3
ok
ps
au démarrage du pc, j'ai 4 éléments qui se lance
1 : fatal error = failed to get proc address for getLocicalProcessorInformation (KERNEL32.dll)
2 : un fichier texte qui s'ouvre (bluetooth Manager.lnk)
3 : un autre fichier texte qui s'ouvre (windows desktop search.lnk)
4 : erreur = solution Menu Ex n'est pas correctement installé. Réinstallez-le puis réessayez
--
étape 1
après avoir cliquez sur le bouton "corriger/fix", une fenêtre s'est ouverte pour me demander de redémarrer le pc mais par contre je n'ai pas eu de fichier texte qui s'est ouvert.
Par contre j'ai un nouveau fichier sur le bureau qui s'appelle fixlog.txt, j'imagine que ça doit être ça
Résultats de correction de Farbar Recovery Scan Tool (x86) Version:18-04-2016 Exécuté par Bob (2016-04-22 09:19:10) Run:1 Exécuté depuis C:\Documents and Settings\Bob\Bureau Profils chargés: Bob (Profils disponibles: Bob) Mode d'amorçage: Normal ============================================== fixlist contenu: ***************** CreateRestorePoint: CloseProcesses: Startup: C:\Documents and Settings\Bob\Menu Démarrer\Programmes\Démarrage\Startup32.3.exe [2016-04-21] (Microsoft® Windows® Operating System) Startup: C:\Documents and Settings\Bob\Menu Démarrer\Programmes\Démarrage\Startup32.3.exe.css [2016-04-21] () HKU\S-1-5-21-1114607951-2372006059-252219841-1006\...\Run: [Sidebar(32.3)] => C:\Documents and Settings\Bob\Application Data\ProgramFiles(32.3)\svchost.exe [116968 2016-04-21] (Microsoft® Windows® Operating System) HKU\S-1-5-21-1114607951-2372006059-252219841-1006\...\Run: [application] => C:\Documents and Settings\Bob\Application Data\Locker.exe C:\Documents and Settings\Bob\Application Data\Locker.exe C:\Documents and Settings\Bob\Application Data\ProgramFiles(32.3)\svchost.exe HKU\S-1-5-21-1114607951-2372006059-252219841-1006\...\Run: [RDReminder] => C:\Program Files\RCP\RegCleanPro.exe -rem C:\Program Files\RCP Reboot: ***************** Le Point de restauration a été créé avec succès. Processus fermé avec succès. C:\Documents and Settings\Bob\Menu Démarrer\Programmes\Démarrage\Startup32.3.exe => déplacé(es) avec succès C:\Documents and Settings\Bob\Menu Démarrer\Programmes\Démarrage\Startup32.3.exe.css => déplacé(es) avec succès HKU\S-1-5-21-1114607951-2372006059-252219841-1006\Software\Microsoft\Windows\CurrentVersion\Run\\Sidebar(32.3) => valeur supprimé(es) avec succès HKU\S-1-5-21-1114607951-2372006059-252219841-1006\Software\Microsoft\Windows\CurrentVersion\Run\\application => valeur supprimé(es) avec succès "C:\Documents and Settings\Bob\Application Data\Locker.exe" => non trouvé(e). C:\Documents and Settings\Bob\Application Data\ProgramFiles(32.3)\svchost.exe => déplacé(es) avec succès HKU\S-1-5-21-1114607951-2372006059-252219841-1006\Software\Microsoft\Windows\CurrentVersion\Run\\RDReminder => valeur supprimé(es) avec succès "C:\Program Files\RCP" => non trouvé(e). Le système a dû redémarrer. ==== Fin de Fixlog 09:19:21 ====
étape 2
j'ai bien mis le fichier zip sur http://upload.malekal.com
J'ai eu ce message "L'upload a r�ussi !" mais par contre je n'ai pas eu de lien vers le fichier déposé. C'est normal ?
étape 3
ok
ps
au démarrage du pc, j'ai 4 éléments qui se lance
1 : fatal error = failed to get proc address for getLocicalProcessorInformation (KERNEL32.dll)
2 : un fichier texte qui s'ouvre (bluetooth Manager.lnk)
3 : un autre fichier texte qui s'ouvre (windows desktop search.lnk)
4 : erreur = solution Menu Ex n'est pas correctement installé. Réinstallez-le puis réessayez
--
ouaip le malware est plutôt bien détecté, comme d'habitude.
Change tous les mots de passe sensibles.
Name: Startup32.3.exe.xBAD
Detection ratio: 24 / 56
Analysis date: 2016-04-22 07:32:33 UTC ( 2 minutes ago )
Antivirus Result Update
AVware Trojan.Win32.Generic.pak!cobra 20160422
Ad-Aware Trojan.GenericKD.3169253 20160422
Arcabit Trojan.Generic.D305BE5 20160422
Avast Win32:Malware-gen 20160422
Baidu Win32.Trojan.WisdomEyes.151026.9950.9999 20160422
BitDefender Trojan.GenericKD.3169253 20160422
DrWeb Trojan.Siggen6.58585 20160422
ESET-NOD32 MSIL/Agent.ACU 20160422
Emsisoft Trojan.GenericKD.3169253 (B) 20160422
F-Secure Trojan.GenericKD.3169253 20160422
GData Trojan.GenericKD.3169253 20160422
Ikarus Trojan.MSIL.Spy 20160422
Kaspersky Trojan.Win32.Reconyc.fkan 20160422
Malwarebytes Trojan.Reconyc 20160422
McAfee RDN/Generic.bfg 20160422
McAfee-GW-Edition Artemis!Trojan 20160422
eScan Trojan.GenericKD.3169253 20160422
Panda Generic Suspicious 20160421
Qihoo-360 HEUR/QVM03.0.Malware.Gen 20160422
Rising PE:Malware.Generic/QRS!1.9E2D [F] 20160422
Sophos Troj/MSIL-GQC 20160422
Symantec Infostealer.Limitail 20160422
VIPRE Trojan.Win32.Generic.pak!cobra 20160422
Zillya Trojan.GenericCRTD.Win32.4 20160422
Change tous les mots de passe sensibles.
Name: Startup32.3.exe.xBAD
Detection ratio: 24 / 56
Analysis date: 2016-04-22 07:32:33 UTC ( 2 minutes ago )
Antivirus Result Update
AVware Trojan.Win32.Generic.pak!cobra 20160422
Ad-Aware Trojan.GenericKD.3169253 20160422
Arcabit Trojan.Generic.D305BE5 20160422
Avast Win32:Malware-gen 20160422
Baidu Win32.Trojan.WisdomEyes.151026.9950.9999 20160422
BitDefender Trojan.GenericKD.3169253 20160422
DrWeb Trojan.Siggen6.58585 20160422
ESET-NOD32 MSIL/Agent.ACU 20160422
Emsisoft Trojan.GenericKD.3169253 (B) 20160422
F-Secure Trojan.GenericKD.3169253 20160422
GData Trojan.GenericKD.3169253 20160422
Ikarus Trojan.MSIL.Spy 20160422
Kaspersky Trojan.Win32.Reconyc.fkan 20160422
Malwarebytes Trojan.Reconyc 20160422
McAfee RDN/Generic.bfg 20160422
McAfee-GW-Edition Artemis!Trojan 20160422
eScan Trojan.GenericKD.3169253 20160422
Panda Generic Suspicious 20160421
Qihoo-360 HEUR/QVM03.0.Malware.Gen 20160422
Rising PE:Malware.Generic/QRS!1.9E2D [F] 20160422
Sophos Troj/MSIL-GQC 20160422
Symantec Infostealer.Limitail 20160422
VIPRE Trojan.Win32.Generic.pak!cobra 20160422
Zillya Trojan.GenericCRTD.Win32.4 20160422
Je pense que des éditeurs d'antivirus comme Dr.WEB ou Kaspersky peuvent récupérer les données. L'auteur de ce ransomware n'étant pas très doué.
Par contre, comme tu n'es pas client chez eux, ils te feront surement payer, faut voir les prix.
Ca vient par des emails pourris, faut sensibiliser les internautes.
Bloquer les scripts aussi, ça limitera la casse :
Comment se protéger des scripts malicieux sur Windows
Par contre, comme tu n'es pas client chez eux, ils te feront surement payer, faut voir les prix.
Ca vient par des emails pourris, faut sensibiliser les internautes.
Bloquer les scripts aussi, ça limitera la casse :
Comment se protéger des scripts malicieux sur Windows
Bonjour,
J'ai aussi un soucis avec ces .locked j'ai pas voulu payer pensant trouvé une solution, me voilà bloqué depuis 2 mois.
Je vais vous faire part de mes rapports mais je veux que vous sachiez que j'utilise actuellement un pc " saint " sur lequel j'ai relié mon ancien disque via un boitier externe.
Je ne suis pas sûr que FRST soit allé le scanner.
FRST : https://pjjoint.malekal.com/files.php?id=FRST_20160625_w15v14v12s14q11
Addition : https://pjjoint.malekal.com/files.php?id=20160625_m9r13q6x9x11
Shortcut : https://pjjoint.malekal.com/files.php?id=20160625_q14x8z15i5s9
Si vous pourriez m'en dire plus..
Merci d'avance.
J'ai aussi un soucis avec ces .locked j'ai pas voulu payer pensant trouvé une solution, me voilà bloqué depuis 2 mois.
Je vais vous faire part de mes rapports mais je veux que vous sachiez que j'utilise actuellement un pc " saint " sur lequel j'ai relié mon ancien disque via un boitier externe.
Je ne suis pas sûr que FRST soit allé le scanner.
FRST : https://pjjoint.malekal.com/files.php?id=FRST_20160625_w15v14v12s14q11
Addition : https://pjjoint.malekal.com/files.php?id=20160625_m9r13q6x9x11
Shortcut : https://pjjoint.malekal.com/files.php?id=20160625_q14x8z15i5s9
Si vous pourriez m'en dire plus..
Merci d'avance.
Ben oui et ils resteront chiffrés.
Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.
A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.
Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.
A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.