Ver informatique : impossible à effacer (MERRY I LOVE YOU)

Fermé
Nty_ Messages postés 14 Date d'inscription mercredi 25 janvier 2017 Statut Membre Dernière intervention 12 février 2017 - 25 janv. 2017 à 16:36
Nty_ Messages postés 14 Date d'inscription mercredi 25 janvier 2017 Statut Membre Dernière intervention 12 février 2017 - 31 janv. 2017 à 11:15
Bonjour,

j'ai un virus qui s'est propagé dans tout l'ordinateur. Il modifie les extensions de type images, mp3, film, documents, en rajoutant .MERRY à la fin. Du coup j'ai lancé mon antivirus, supprimé les trojans, mais c'est toujours là.
Je n'arrive pas à savoir si je dois tout supprimer un par un, et surtout comment récupérer mes fichiers.

Merci d'avance pour l'aide ^^

11 réponses

Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 577
25 janv. 2017 à 16:41
Salut,

Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.


puis :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.


0
Nty_ Messages postés 14 Date d'inscription mercredi 25 janvier 2017 Statut Membre Dernière intervention 12 février 2017
25 janv. 2017 à 17:13
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 577
25 janv. 2017 à 17:16
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3612256940-3223375586-1718127309-1002\...\Run: [Adobe2] => C:\Users\Wendy\Desktop\MERRY_I_LOVE_YOU_BRUCE.HTA
2016-12-23 15:21 - 2017-01-24 21:03 - 0000033 _____ () C:\Users\Wendy\AppData\Roaming\AdobeWLCMCache.dat.MERRY
2017-01-24 21:03 - 2017-01-24 21:03 - 0091845 _____ () C:\Users\Wendy\AppData\Roaming\MERRY_I_LOVE_YOU_BRUCE.HTA
2017-01-24 20:33 - 2017-01-24 20:33 - 0091845 _____ () C:\Users\Wendy\AppData\Local\MERRY_I_LOVE_YOU_BRUCE.HTA
2017-01-24 22:47 - 2017-01-24 22:47 - 00091845 _____ C:\Users\wendy_w7sbii2\MERRY_I_LOVE_YOU_BRUCE.HTA
2017-01-24 22:46 - 2017-01-24 22:46 - 00091845 _____ C:\Users\wendy_w7sbii2\Downloads\MERRY_I_LOVE_YOU_BRUCE.HTA
2017-01-24 22:46 - 2017-01-24 22:46 - 00091845 _____ C:\Users\wendy_w7sbii2\Documents\MERRY_I_LOVE_YOU_BRUCE.HTA
2017-01-24 22:46 - 2017-01-24 22:46 - 00091845 _____ C:\Users\wendy_w7sbii2\Desktop\MERRY_I_LOVE_YOU_BRUCE.HTA
2017-01-24 22:36 - 2017-01-24 22:36 - 00091845 _____ C:\Users\wendy_w7sbii2\AppData\Local\MERRY_I_LOVE_YOU_BRUCE.HTA
2017-01-24 21:32 - 2017-01-24 21:32 - 00091845 _____ C:\Users\Wendy\Documents\MERRY_I_LOVE_YOU_BRUCE.HTA
2017-01-24 21:03 - 2017-01-24 21:03 - 00091845 _____ C:\Users\Wendy\AppData\Roaming\MERRY_I_LOVE_YOU_BRUCE.HTA
2017-01-24 20:33 - 2017-01-24 20:33 - 00091845 _____ C:\Users\Wendy\AppData\Local\MERRY_I_LOVE_YOU_BRUCE.HTA
2017-01-24 20:32 - 2017-01-24 20:32 - 00091845 _____ C:\Users\Wendy\MERRY_I_LOVE_YOU_BRUCE.HTA
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.

0
Nty_ Messages postés 14 Date d'inscription mercredi 25 janvier 2017 Statut Membre Dernière intervention 12 février 2017
25 janv. 2017 à 17:32
Je l'ai fais et ça a redémarré mon pc, mais je n'ai pas de fichier texte qui est apparut.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Nty_ Messages postés 14 Date d'inscription mercredi 25 janvier 2017 Statut Membre Dernière intervention 12 février 2017
25 janv. 2017 à 20:09
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 577
25 janv. 2017 à 20:32
bon,
si tu as bien désactiver windows script hosting sur Marmiton, ton Windows devrait avoir la paix, faut nettoyer les cles USB maintenant

Pour nettoyer les disques amovibles, suivre dans l'ordre les étapes du tutoriel : insère un à un tes clefs USB et disques durs externes que tu as pour les nettoyer. Envoie ensuite les rapports sur http://pjjoint.malekal.com/ et donne les liens menant à ces rapports pour que l'on puisse les consulter.

1°) Remediate VBS Worm
  • Lancer l'option B
  • Taper la lettre de la clef USB, par exemple, E et entrée

[color=red]ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR ![/color]
  • Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.

Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.

0
Nty_ Messages postés 14 Date d'inscription mercredi 25 janvier 2017 Statut Membre Dernière intervention 12 février 2017
25 janv. 2017 à 21:18
Mes clés usb ne sont pas touchés.
Et par contre y a t-il une solution pour récupérer les fichiers corrompus ?
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 577
25 janv. 2017 à 21:49
Fais une capture d'écran du contenu avec les fichiers corrompus.
0
Nty_ Messages postés 14 Date d'inscription mercredi 25 janvier 2017 Statut Membre Dernière intervention 12 février 2017 > Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
25 janv. 2017 à 22:28
Bien par exemple ça fait ça, mais c'est tous mes fichiers qui sont touchés, je vais pas tout capturer.
https://pjjoint.malekal.com/files.php?id=20170125_y513m6w10o10
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 577 > Nty_ Messages postés 14 Date d'inscription mercredi 25 janvier 2017 Statut Membre Dernière intervention 12 février 2017
Modifié par Malekal_morte- le 25/01/2017 à 22:39
humm, si tu retires l'extension .merry ça donne quoi ?

Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
0
djsava Messages postés 40 Date d'inscription lundi 1 mars 2010 Statut Membre Dernière intervention 31 juillet 2022
25 janv. 2017 à 23:34
Nty_

Il te demande des sous ?.. Est-ce que tu as MERRY_I_LOVE_YOU_BRUCE.HTA dans tes répertoires infectés comme moi ?
0
Nty_ Messages postés 14 Date d'inscription mercredi 25 janvier 2017 Statut Membre Dernière intervention 12 février 2017 > djsava Messages postés 40 Date d'inscription lundi 1 mars 2010 Statut Membre Dernière intervention 31 juillet 2022
26 janv. 2017 à 09:18
Non il demande rien oui j'avais j'ai réussi que tout retirer
0
djsava Messages postés 40 Date d'inscription lundi 1 mars 2010 Statut Membre Dernière intervention 31 juillet 2022
25 janv. 2017 à 22:03
moi pareil depuis 23h30 hier..
impossible de le supprimer malgré tous les tutos en anglais qui disent d'utiliser SpyHunter. Moi j'ai une erreur lors de la suppression des 6 derniers trojans que SpyHunter detetecte..
J'ai essayé en mode manuel aussi, j'ai rien dans les regedit ni dans les clés..
on dirait que j'ai pas encore activé le processus pour payer ce Ransomware..
Tous les fichiers sont pourtant en .merry mais personne ne me demande de payer..
Je viens de faire un scan avc la derniere version de spybot, il trouve rien non plus.. c'est la mort !! j'ai une entreprise si je retrouve pas mes fichier je ferme boutique !!
0
Nty_ Messages postés 14 Date d'inscription mercredi 25 janvier 2017 Statut Membre Dernière intervention 12 février 2017
25 janv. 2017 à 22:12
Mais tu te rappelles de où tu aurais pu l'avoir ? Car il me semble que c'est avec google Chrome personnellement.
0
djsava Messages postés 40 Date d'inscription lundi 1 mars 2010 Statut Membre Dernière intervention 31 juillet 2022 > Nty_ Messages postés 14 Date d'inscription mercredi 25 janvier 2017 Statut Membre Dernière intervention 12 février 2017
25 janv. 2017 à 23:09
moi aussi et j'ai chopé ça sur le site de mon fournisseur en téléchargent une font..
le site était complètement crypté google m'a demandé de dl la font et j'ai mis oui et paff le chien
0
Nty_ Messages postés 14 Date d'inscription mercredi 25 janvier 2017 Statut Membre Dernière intervention 12 février 2017 > djsava Messages postés 40 Date d'inscription lundi 1 mars 2010 Statut Membre Dernière intervention 31 juillet 2022
25 janv. 2017 à 23:13
J'ai eu la même chose, en allant sur un site, pareil je devais télécharger une font, j'ai pas réfléchi.
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 577 > Nty_ Messages postés 14 Date d'inscription mercredi 25 janvier 2017 Statut Membre Dernière intervention 12 février 2017
25 janv. 2017 à 23:15
Quel site ?
0
Nty_ Messages postés 14 Date d'inscription mercredi 25 janvier 2017 Statut Membre Dernière intervention 12 février 2017 > Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
25 janv. 2017 à 23:16
Un site d'un établissement de Karting
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 577
26 janv. 2017 à 10:01
Les antivirus sont à la rue =)

https://www.virustotal.com/gui/file/0e13e10c502f1141293dd829b4cac53db2ef5f7a465633e686d66ccc6754392a

SHA256: 0e13e10c502f1141293dd829b4cac53db2ef5f7a465633e686d66ccc6754392a
Nom du fichier : MERRY_I_LOVE_YOU_BRUCE.HTA
Ratio de détection : 2 / 54

Antivirus Résultat Mise à jour
ESET-NOD32 Win32/Filecoder.Xmas 20170126
Rising Ransom.FileCryptor!8.1A7-yjCfolDrNcM (cloud) 20170126
0
djsava Messages postés 40 Date d'inscription lundi 1 mars 2010 Statut Membre Dernière intervention 31 juillet 2022
26 janv. 2017 à 10:11
J'ai vu ça hier, bien utile d'avoir un anti virus..
J'ai un copain qui m'a dit hier depuis que je paye mon AV, j'en ai plus.. (plutôt il en jamais autant eu qui se bloquent depuis qu'il paye lol)
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 577 > djsava Messages postés 40 Date d'inscription lundi 1 mars 2010 Statut Membre Dernière intervention 31 juillet 2022
Modifié par Malekal_morte- le 26/01/2017 à 10:19
Tu aurais le site source où tu l'as choppé ?
0
djsava Messages postés 40 Date d'inscription lundi 1 mars 2010 Statut Membre Dernière intervention 31 juillet 2022 > Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
26 janv. 2017 à 10:21
www.forest-distribution.com j'ai prévenu le patron
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 577
30 janv. 2017 à 22:21
Le concepteur du ransomware n'est pas content...

Emsisoft Website Hit by DDoS Attack as Company Releases Ransomware Decrypter.

Chez moi https://www.emsisoft.com/ransomware-decryption-tools/mrcr ne fonctionne pas ou rame à mort.

0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 577
Modifié par Malekal_morte- le 27/01/2017 à 21:32
Tentez cet outil pour récupérer vos documents : https://www.emsisoft.com/ransomware-decryption-tools/mrcr

Tentez aussi : les version précédentes avec Shadow Explorer

Veuillez appuyer sur une touche pour continuer la désinfection...
-1
djsava Messages postés 40 Date d'inscription lundi 1 mars 2010 Statut Membre Dernière intervention 31 juillet 2022
Modifié par djsava le 26/01/2017 à 10:01
tu es une pointure ;)
J'ai vu que c'était décryptable par le site que tu propose sur malekal où il faut uploader 2 fichiers.
0
djsava Messages postés 40 Date d'inscription lundi 1 mars 2010 Statut Membre Dernière intervention 31 juillet 2022
28 janv. 2017 à 01:47
@Nty_ et Malekal
le decrypter a été mis à jour hier soir, il décrypte pour l'instant tous les .doc
0
Nty_ Messages postés 14 Date d'inscription mercredi 25 janvier 2017 Statut Membre Dernière intervention 12 février 2017
28 janv. 2017 à 13:49
Bonjour,
je vas essayer alors, parce que ça s'est carrément infiltré dans ma dropbox -_- !
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 577 > Nty_ Messages postés 14 Date d'inscription mercredi 25 janvier 2017 Statut Membre Dernière intervention 12 février 2017
28 janv. 2017 à 14:33
@djasa : merci pour l'info.

@Nty_ : oui c'est le prob des synchros, ça synchro les changements et donc le chiffrement.
0
djsava Messages postés 40 Date d'inscription lundi 1 mars 2010 Statut Membre Dernière intervention 31 juillet 2022 > Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
28 janv. 2017 à 16:32
C'est bon à l'instant je viens de récupérer tous mes fichiers !!!!

En faite j'avais mis un .doc.merry et un .doc original mais ça me donnait une clé..
ça marchait que sur les .doc
Quand là j'ai mis un docx.merry et un docx original dans le MCMR et là ça m'a donné une autre clé !!
Je test, je vois que ya pas d'erreur sur le docx, et que le pdf pareil est revenu, j'essaye avec d'autres extensions et là miracle tout est revenu !!!
IMPECCABLE, tous les fichiers sont là !! Mp3, pdf, mp4, etc...
0