Fichier crypter
Fermé
kiki91470
Messages postés
4
Date d'inscription
dimanche 25 mai 2008
Statut
Membre
Dernière intervention
23 mai 2016
-
Modifié par Malekal_morte- le 22/05/2016 à 17:45
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 20 déc. 2016 à 12:02
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 20 déc. 2016 à 12:02
A voir également:
- Fichier crypter
- Fichier rar - Guide
- Fichier host - Guide
- Fichier iso - Guide
- Comment réduire la taille d'un fichier - Guide
- Ouvrir fichier .bin - Guide
3 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
22 mai 2016 à 17:44
22 mai 2016 à 17:44
Salut,
Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.
A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.
1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.
A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.
1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
Modifié par Malekal_morte- le 22/05/2016 à 21:10
Modifié par Malekal_morte- le 22/05/2016 à 21:10
Tu as trois antivirus, ça doit bien ramer.
Panneau de configuration > Programmes et fonctionnalités.
Désinstalle tout et garde Avast! OU AVG.
AV: Lavasoft Ad-Watch Live! Anti-Virus (Disabled - Up to date) {9FF26384-70D4-CE6B-3ECB-E759A6A40116}
AV: Lavasoft Ad-Aware (Enabled - Out of date) {E0D97DD4-42BA-B3F2-A5A7-22E9ACE81FC7}
AV: avast! Antivirus (Enabled - Up to date) {17AD7D40-BA12-9C46-7131-94903A54AD8B}
AV: AVG Internet Security 2012 (Disabled - Up to date) {5A2746B1-DEE9-F85A-FBCD-ADB11639C5F0}
AS: AVG Internet Security 2012 (Disabled - Up to date) {E146A755-F8D3-F7D4-C17D-96C36DBE8F4D}
sinon je ne vois pas de fichiers .crypt
il y a cependant des restes d'adwares.
C'est bien ce PC qui a été touché par le ransomware ?
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fixnote explicative avec des captures d'écran].
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Veuillez appuyer sur une touche pour continuer la désinfection...
Panneau de configuration > Programmes et fonctionnalités.
Désinstalle tout et garde Avast! OU AVG.
AV: Lavasoft Ad-Watch Live! Anti-Virus (Disabled - Up to date) {9FF26384-70D4-CE6B-3ECB-E759A6A40116}
AV: Lavasoft Ad-Aware (Enabled - Out of date) {E0D97DD4-42BA-B3F2-A5A7-22E9ACE81FC7}
AV: avast! Antivirus (Enabled - Up to date) {17AD7D40-BA12-9C46-7131-94903A54AD8B}
AV: AVG Internet Security 2012 (Disabled - Up to date) {5A2746B1-DEE9-F85A-FBCD-ADB11639C5F0}
AS: AVG Internet Security 2012 (Disabled - Up to date) {E146A755-F8D3-F7D4-C17D-96C36DBE8F4D}
sinon je ne vois pas de fichiers .crypt
il y a cependant des restes d'adwares.
C'est bien ce PC qui a été touché par le ransomware ?
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fixnote explicative avec des captures d'écran].
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
ProxyEnable: [.DEFAULT] => Proxy est activé.
ProxyServer: [.DEFAULT] => http=127.0.0.1:49466;https=127.0.0.1:49466 [Attention - Possible Proxy Malicieux]
AutoConfigURL: [.DEFAULT] => http=127.0.0.1:49466;https=127.0.0.1:49466 [Attention - Possible Proxy Malicieux]
CHR HomePage: Default -> hxxps://nl.search.yahoo.com/?type=926458&fr=yo-yhp-ch [Pays - ]
CHR StartupUrls: Default -> hxxps://nl.search.yahoo.com/?type=926458&fr=yo-yhp-ch [Pays - ]
R2 SafeguardService; C:\Program Files\nvkhjiyviht\SafeguardService.exe [1161216 2015-05-19] () [Fichier non signé]
C:\Program Files\nvkhjiyviht
Task: {ED5CA709-D23A-4A2C-9966-F89847E5A34C} - System32\Tasks\$dMM6KqyKu+JyN+{$ => C:\Users\ARMAND\AppData\Roaming\playnowradio\playnowradio\1.3.4.8\playnowradio.exe
C:\Users\ARMAND\AppData\Roaming\playnowradio
Task: {6398C3B2-6384-46B1-89C3-66129C65206E} - System32\Tasks\{FB75BF5C-D653-4CF9-AA61-BB7C70046E06} => pcalua.exe -a "E:\Nero_9\Nero 8 Ultra Edition 8.2.8.0\Nero 7.9.6.0 + keygen\Nero_7.9.6.0\Nero-7.9.6.0_all_trial.exe" -d "E:\Nero_9\Nero 8 Ultra Edition 8.2.8.0\Nero 7.9.6.0 + keygen\Nero_7.9.6.0"
Task: {370167AD-C503-4CA8-9236-BD4E4BB8AB46} - System32\Tasks\{4624dc92-f5ae-4bf5-9bad-f74821924559} => C:\Program Files\7408f5ea-5b44-44c3-9582-83de408766c3\MzNmYjNiMjItMmMyYS00OThjLThhYjQtNmE3OTk3ZWY2MDQ4.exe [2015-05-29] ()
Task: {126D1F83-4A4C-40D9-9EEE-BEB01663F5FD} - System32\Tasks\{5c24a865-3daa-46fa-b39c-30cefa400dd7} => C:\Program Files\23db8fd0-dfc3-4bb3-adf2-084207d3f7df\NTBkZTNiODktODk2YS00NmI3LWFlZGYtNTYxZmU2MTJhYzFi.exe [2015-05-29] ()
Task: {13AFFE5C-D7BE-40FE-857E-84FEDC3FC771} - System32\Tasks\SimpleFiles Update Service => C:\Program Files\SimpleFilesUpdater\SimpleFilesUpdater.exe
2016-05-01 16:21 - 2016-05-01 16:21 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{FD216C81-1A2C-4E25-8E3A-377BF8A4F2CE}
2016-04-30 22:31 - 2016-04-30 22:31 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{1E011462-B48E-4337-8239-4DC15088075A}
2016-04-29 23:10 - 2016-04-29 23:10 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{972704E4-C8ED-4BCC-A96F-2F78720A1518}
2016-04-28 19:36 - 2016-04-28 19:36 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{5DE26E87-A667-4350-B6CA-AB3864386714}
2016-04-27 23:11 - 2016-04-27 23:11 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{04559956-514C-4228-9C19-C6414AFECB7B}
2016-04-27 22:46 - 2016-04-27 22:46 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{1C58B872-3D7D-43F8-97DD-AF70B225473E}
2016-04-26 14:45 - 2016-04-26 14:45 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{A51C844F-D8A4-49D1-8CD6-8F5267548F90}
2016-04-25 22:59 - 2016-04-25 22:59 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{AA2E30EB-1831-4565-BEE1-DFB5BAC07F2C}
2016-04-24 22:44 - 2016-04-24 22:44 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{F7609006-489C-4A31-A15E-3377DECED569}
2016-05-12 17:32 - 2016-05-12 17:33 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{90D06969-7AEA-4616-98FE-C421DC15304C}
2016-05-11 14:32 - 2016-05-11 14:32 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{57577601-E4AC-4905-B1FC-FFF79AEF0FD1}
2016-05-10 14:39 - 2016-05-10 14:39 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{B1729DB7-B612-4109-840A-03B2D290C79F}
2016-05-09 14:20 - 2016-05-09 14:20 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{073ACEAD-AFAD-4F11-81C0-A250EFDBA7D0}
2016-05-08 20:40 - 2016-05-08 20:40 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{4E00349D-13EE-4995-B602-D7999EF9994F}
2016-05-08 00:16 - 2016-05-08 00:17 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{C180F8FC-F69F-4FDB-ABDA-1D797B5CDCB4}
2016-05-06 14:31 - 2016-05-06 14:31 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{8AEF37AD-5078-4A43-BEBC-BD96C45361CF}
2016-05-05 23:21 - 2016-05-05 23:21 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{F1562473-7548-45D0-91E8-195A65584868}
2016-05-05 23:20 - 2016-05-05 23:20 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{66766F04-980A-499B-AF3B-6537A54C44CF}
2016-05-05 09:35 - 2016-05-05 09:36 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{ACA2EE2F-4E10-41D0-8F5E-CFAF384F3654}
2016-05-04 21:17 - 2016-05-04 21:17 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{5FF1BA1B-6718-4C5C-8953-6E276D0B1750}
2016-05-03 14:31 - 2016-05-03 14:31 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{7F9AC3F1-3C2E-4B17-AEC0-F5B31DD866DE}
2016-05-02 19:55 - 2016-05-02 19:55 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{5ED077F4-38C9-44D0-A508-75E39937059F}
2016-04-23 20:40 - 2016-04-23 20:40 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{CF64A5C5-654C-4019-80EB-3BE82E1D7FBD}
2016-04-22 16:28 - 2016-04-22 16:28 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{732799F6-8B06-40A7-B79D-E1E7D6098959}
2016-05-15 11:10 - 2016-05-15 11:10 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{8B2DA448-670D-4EEF-AF42-BA5E212ABB5F}
2016-05-14 23:09 - 2016-05-14 23:09 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{CDA53571-5AEF-419A-B0C5-E26CFB511FF9}
2016-05-14 09:15 - 2016-05-14 09:16 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{AED128D7-AF68-4FC2-9EE5-A4147053C3DE}
2016-05-13 14:32 - 2016-05-13 14:32 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{16154C9A-489B-4D8B-A300-8F4D2CED2F82}
2016-05-22 13:11 - 2016-05-22 13:11 - 03286400 _____ (Enigma Software Group USA, LLC.) C:\Users\ARMAND\Downloads\SpyHunter-Installer (2).exe
2016-05-22 12:54 - 2016-05-22 12:54 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{BAE7CA2A-9652-49CB-BAB5-DBB9E2FBA64A}
2016-05-20 16:18 - 2016-05-20 16:19 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{5827EFF6-4028-4074-AA40-85F04DACADF3}
2016-05-20 04:18 - 2016-05-20 04:18 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{250D0E79-BB9B-4E79-94CE-3E53F703498A}
2016-05-19 15:36 - 2016-05-19 15:36 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{4B1F8C45-321C-4066-A860-2D97934ED35A}
2016-05-18 17:01 - 2016-05-18 17:01 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{1A2F66DB-3E28-4FA4-B38A-BA06541C5096}
2016-05-17 14:52 - 2016-05-17 14:52 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{57B1558B-FBF7-4638-B0CE-C4EE2655CA63}
2016-05-16 16:00 - 2016-05-16 16:01 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{F9C7812C-36E2-48B1-83EF-D60DCD38C5E3}
2016-05-15 23:24 - 2016-05-15 23:25 - 00000000 ____D C:\Users\ARMAND\AppData\Local\{14ADEC6E-5BEF-4815-92AD-AA64ACD6EBE3}
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Veuillez appuyer sur une touche pour continuer la désinfection...
kiki91470
Messages postés
4
Date d'inscription
dimanche 25 mai 2008
Statut
Membre
Dernière intervention
23 mai 2016
23 mai 2016 à 21:51
23 mai 2016 à 21:51
Bonsoir
Un grand merci, Malekal _Morte
Un grand soulagement d’avoir répondu à mas demande,
C’est bien, ce pc qui a été toucher et toute mes photos, PDF, et fichier texte on changer d extensions .maintenant il ce terminent . crypt
Je vais mettre les fichiers de coter si un jour ont peux les débloquer..
Merci
Cdt
KIKI91470
Un grand merci, Malekal _Morte
Un grand soulagement d’avoir répondu à mas demande,
C’est bien, ce pc qui a été toucher et toute mes photos, PDF, et fichier texte on changer d extensions .maintenant il ce terminent . crypt
Je vais mettre les fichiers de coter si un jour ont peux les débloquer..
Merci
Cdt
KIKI91470
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
>
kiki91470
Messages postés
4
Date d'inscription
dimanche 25 mai 2008
Statut
Membre
Dernière intervention
23 mai 2016
24 mai 2016 à 07:33
24 mai 2016 à 07:33
essaye l'outil Kaspersky donné sur cette page mais pas dit que ça puisse permettre de récupérer les fichiers : Ransomware CryptXXX - .crypt.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
20 déc. 2016 à 12:02
20 déc. 2016 à 12:02
Kaspersky vient de mettre en ligne un outil qui permet de récupérer les fichiers .crypt
Plus d'informations, sur la fiche CryptXXX.
Plus d'informations, sur la fiche CryptXXX.
22 mai 2016 à 19:16
merci pour avoir repondu rapidement , je vient de vous faire parvenir les 3 fichiers
merci
22 mai 2016 à 19:24
22 mai 2016 à 20:58
https://pjjoint.malekal.com/files.php?id=20160522_g12i13b6q15p12
https://pjjoint.malekal.com/files.php?id=20160522_l9h8j14j9g7
https://pjjoint.malekal.com/files.php?id=FRST_20160522_e7u8h8t11b6
Cdt