Sujet Précédent Sujet Suivant

Fichiers cryptés

Fermé
kobeymane23 Messages postés 4 Date d'inscription mardi 3 janvier 2017 Statut Membre Dernière intervention 11 janvier 2017 - Modifié par Malekal_morte- le 4/01/2017 à 10:39
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 11 janv. 2017 à 18:38
Bonjour,

Mon ordinateur s'est infecté par un virus qui a crypté mes fichiers et les mis en otage (cryptage à clé unique). J'ai trouvé une solution sur ce forum à l'aide de l'outil Farbar Recovery Scan Tool, sauf que les rapports d'analyse dépendent de chaque ordinateur. J'ai besoin d'un fichier texte qui contient les commandes à exécuter pour corriger les problèmes. Merci d'avance pour votre aide.

Voici le lien du rapport.

https://pjjoint.malekal.com/files.php?id=FRST_20161231_e13t9u8p7p8
A voir également:

4 réponses

Réponse 1 / 4
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 644
4 janv. 2017 à 10:39
Salut,


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 

CreateRestorePoint:
CloseProcesses:
CreateRestorePoint:
rtup: C:\Users\Soulaimane\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\34d9.lnk [2016-10-23]
Startup: C:\Users\Soulaimane\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\718f.lnk [2016-12-08])
2016-12-08 19:17 - 2016-10-01 20:06 - 00000000 ____D C:\Users\Soulaimane\AppData\Local\Exrstion
2016-12-08 13:35 - 2009-07-14 02:37 - 00000000 ____D C:\Windows\inf
2016-12-08 01:37 - 2016-10-01 10:20 - 00000000 ____D C:\Users\Soulaimane\AppData\Roaming\BrowserMe
2016-12-08 01:32 - 2016-10-01 19:05 - 00000000 ____D C:\Users\Soulaimane\AppData\Local\Ajtlworks
2016-10-01 10:20 - 2016-10-01 10:20 - 0000480 ____H () C:\Users\Soulaimane\AppData\Roaming\½ž’“Ó™œ‰
2016-10-01 10:21 - 2016-10-01 10:21 - 0000008 ____H () C:\ProgramData\@000001.dat
2016-10-01 10:21 - 2016-10-02 08:52 - 0000000 ____H () C:\ProgramData\@system.temp
2016-10-01 10:20 - 2016-10-01 22:26 - 0000656 ____H () C:\ProgramData\@system3.att
CHR HomePage: Default -> hxxp://search.babylon.com/?affID=112024&tt=270912_nocpc_3912_8&babsrc=""P_ss&mntrId=980cbd21000000000000e0ca94f8c18a
CHR StartupUrls: Default -> "hxxp://search.babylon.com/?affID=112024&tt=270912_nocpc_3912_8&babsrc=""P_ss&mntrId=980cbd21000000000000e0ca94f8c18a","hxxp://tuvaro.com/ws/?source=536c75e7&tbp=homepage&toolbarid=base&u=980cbd21000000000000000000000000","hxxp://search.b1.org/?bsrc=""mcor&chid=c162341","hxxp://websearch.lookforithere.info/?pid=727&r=2013/05/16&hid=3865363447&lg=EN&cc=MA&unqvl=14","hxxp://websearch.pu-result.info/?pid=724&r=2013/06/01&hid=3865363447&lg=EN&cc=MA","hxxp://www.search.ask.com/?o=APN10645A&gct=hp&d=406-1631&v=a12627-348&t=4","hxxp://www.istartsurf.com/?type=hp&ts=1423863049&from=pcm&uid=TOSHIBAXMQ01ABD050_22D4F3XJSXX22D4F3XJS"
  Hosts:
EmptyTemp:
RemoveProxy:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",

A gauche, place toi sur le Bureau,

Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.


Refais un scan et donne aussi le rapport Addition.txt
0
Réponse 2 / 4
kobeymane23 Messages postés 4 Date d'inscription mardi 3 janvier 2017 Statut Membre Dernière intervention 11 janvier 2017
4 janv. 2017 à 15:39
Bonjour Malekal_morte,

Merci pour ta réponse. J'ai suivi les étapes que tu m'as demandé. Après la correction, l'outil m'a demandé le redémarrage de l'ordinateur et à ma surprise l'écran devient bleu pendant des millisecondes puis un nouveau redémarrage... j'ai essayé la réparation avec l'outil windows mais ça n'a pas marché. Qu'est ce que je dois faire maintenant ?
0
Réponse 3 / 4
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 644
4 janv. 2017 à 16:46
ha c'est de ma faute, je pense, à cause du dossier Windows\INF.

Tente ceci :


Lancer une Restauration du Système à partir du menu "Réparer mon ordinateur". Pour cela, redémarre, avant le logo de Windows, tapote sur la touche F8, un menu va apparaître. Sélectionner Réparer mon ordinateur et appuyer sur la touche entrée du clavier. Laisse toi guider par le didacticiel. Pour plus d'informations ou de davantage d'aide, lire le paragraphe Restaurer mon ordinateur

[size=90]** PRENDRE SON TEMPS ET BIEN LIRE LES INSTRUCTIONS DE LA PAGE - NE PAS FAIRE UNE RESTAURATION D'USINE ! **

NB: La Restauration du Système ne provoque pas de perte de données, ça recharge une "image" de Windows précédente. Attention à bien lire, ne pas choisir une Restauration d'Usine sinon tu vas perdre toutes tes données !

0
Réponse 4 / 4
kobeymane23 Messages postés 4 Date d'inscription mardi 3 janvier 2017 Statut Membre Dernière intervention 11 janvier 2017
5 janv. 2017 à 16:02
Re,

On dirait que la situation devient plus grave. Windows ne trouve pas d'image ou point de restauration précédent. Je pense que je dois formater la partition C qui contient Windows et les autres programmes pour que ça marche même si mes fichiers restent cryptés sur E et je refais la manip. Est ce que tu peux revérifier ton fichier de correction ? Je PENSE que dans la 4ème ligne il faut mettre 'Startup' au lieu de 'rtup'. Est ce qu'il reste une autre solution avant le formatage ??
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 644
5 janv. 2017 à 19:08
oui pour Startup
c'est cette ligne qui pose problème :
2016-12-08 13:35 - 2009-07-14 02:37 - 00000000 ____D C:\Windows\inf

Depuis un CD live : https://www.malekal.com/malekal-live-cd-reparer-depanner-pc-windows/
ou en mettant le disque dur en esclave sur un autre ordinateur

tu dois avoir C:\FRST\quarantine\C\Windows\INF
tu peux remettre le dossier Inf dans le dossier Windows
et tenter de rédémarrer Windows.

C'est aussi possible de le faire depuis l'invite de commandes du DVD d'installation de Windows 7, tu as cela ?
0
kobeymane23 Messages postés 4 Date d'inscription mardi 3 janvier 2017 Statut Membre Dernière intervention 11 janvier 2017 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
11 janv. 2017 à 16:48
Bonjour,

Je viens de formater la partition système avec une image Windows 7 Integral sur une clé usb et créer un point de restauration. Mes fichiers sont toujours cryptés sur la partition 'Données'. J'ai relancé l'outil FRST et voici les liens des rapports d'analyse :

FRST : https://pjjoint.malekal.com/files.php?id=FRST_20170111_s97k14c6k6

Addition : https://pjjoint.malekal.com/files.php?id=20170111_p14e8q8m9p13

Merci de bien vérifier ton fichier de correction avant envoie.

Bonne journée.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 644 > kobeymane23 Messages postés 4 Date d'inscription mardi 3 janvier 2017 Statut Membre Dernière intervention 11 janvier 2017
11 janv. 2017 à 18:38
Si tu as formaté, il n'y a plus de virus.
Pour les fichiers cryptés, pas de solution pour les récupérer.
0

Discussions similaires

Extraire le contenu de plusieurs fichiers
politicus -
Syl_tls1 -

11 réponses