Ver informatique : impossible à effacer (MERRY I LOVE YOU)
Nty_
Messages postés
14
Date d'inscription
Statut
Membre
Dernière intervention
-
Nty_ Messages postés 14 Date d'inscription Statut Membre Dernière intervention -
Nty_ Messages postés 14 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
j'ai un virus qui s'est propagé dans tout l'ordinateur. Il modifie les extensions de type images, mp3, film, documents, en rajoutant .MERRY à la fin. Du coup j'ai lancé mon antivirus, supprimé les trojans, mais c'est toujours là.
Je n'arrive pas à savoir si je dois tout supprimer un par un, et surtout comment récupérer mes fichiers.
Merci d'avance pour l'aide ^^
j'ai un virus qui s'est propagé dans tout l'ordinateur. Il modifie les extensions de type images, mp3, film, documents, en rajoutant .MERRY à la fin. Du coup j'ai lancé mon antivirus, supprimé les trojans, mais c'est toujours là.
Je n'arrive pas à savoir si je dois tout supprimer un par un, et surtout comment récupérer mes fichiers.
Merci d'avance pour l'aide ^^
A voir également:
- Ver informatique : impossible à effacer (MERRY I LOVE YOU)
- Le code ascii en informatique - Guide
- Jargon informatique - Télécharger - Bureautique
- Que veut dire url en informatique - Guide
- Souris informatique - Guide
- Comment enlever un ver informatique - Guide
11 réponses
Salut,
Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.
puis :
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Pour te protéger des infections amovibles type Wscript (Windows Script Host)
Télécharger et installer Marmiton
Clic sur Désactiver au niveau de Windows Script Host.
Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.
puis :
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Merci de ta réponse rapide.
Voici les trois rapports :
https://pjjoint.malekal.com/files.php?id=FRST_20170125_c6t5x15f15i13
https://pjjoint.malekal.com/files.php?id=20170125_k15f13h8d13l11
https://pjjoint.malekal.com/files.php?id=20170125_t14d12c7w7o7
Voici les trois rapports :
https://pjjoint.malekal.com/files.php?id=FRST_20170125_c6t5x15f15i13
https://pjjoint.malekal.com/files.php?id=20170125_k15f13h8d13l11
https://pjjoint.malekal.com/files.php?id=20170125_t14d12c7w7o7
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3612256940-3223375586-1718127309-1002\...\Run: [Adobe2] => C:\Users\Wendy\Desktop\MERRY_I_LOVE_YOU_BRUCE.HTA
2016-12-23 15:21 - 2017-01-24 21:03 - 0000033 _____ () C:\Users\Wendy\AppData\Roaming\AdobeWLCMCache.dat.MERRY
2017-01-24 21:03 - 2017-01-24 21:03 - 0091845 _____ () C:\Users\Wendy\AppData\Roaming\MERRY_I_LOVE_YOU_BRUCE.HTA
2017-01-24 20:33 - 2017-01-24 20:33 - 0091845 _____ () C:\Users\Wendy\AppData\Local\MERRY_I_LOVE_YOU_BRUCE.HTA
2017-01-24 22:47 - 2017-01-24 22:47 - 00091845 _____ C:\Users\wendy_w7sbii2\MERRY_I_LOVE_YOU_BRUCE.HTA
2017-01-24 22:46 - 2017-01-24 22:46 - 00091845 _____ C:\Users\wendy_w7sbii2\Downloads\MERRY_I_LOVE_YOU_BRUCE.HTA
2017-01-24 22:46 - 2017-01-24 22:46 - 00091845 _____ C:\Users\wendy_w7sbii2\Documents\MERRY_I_LOVE_YOU_BRUCE.HTA
2017-01-24 22:46 - 2017-01-24 22:46 - 00091845 _____ C:\Users\wendy_w7sbii2\Desktop\MERRY_I_LOVE_YOU_BRUCE.HTA
2017-01-24 22:36 - 2017-01-24 22:36 - 00091845 _____ C:\Users\wendy_w7sbii2\AppData\Local\MERRY_I_LOVE_YOU_BRUCE.HTA
2017-01-24 21:32 - 2017-01-24 21:32 - 00091845 _____ C:\Users\Wendy\Documents\MERRY_I_LOVE_YOU_BRUCE.HTA
2017-01-24 21:03 - 2017-01-24 21:03 - 00091845 _____ C:\Users\Wendy\AppData\Roaming\MERRY_I_LOVE_YOU_BRUCE.HTA
2017-01-24 20:33 - 2017-01-24 20:33 - 00091845 _____ C:\Users\Wendy\AppData\Local\MERRY_I_LOVE_YOU_BRUCE.HTA
2017-01-24 20:32 - 2017-01-24 20:32 - 00091845 _____ C:\Users\Wendy\MERRY_I_LOVE_YOU_BRUCE.HTA
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
bon,
si tu as bien désactiver windows script hosting sur Marmiton, ton Windows devrait avoir la paix, faut nettoyer les cles USB maintenant
Pour nettoyer les disques amovibles, suivre dans l'ordre les étapes du tutoriel : insère un à un tes clefs USB et disques durs externes que tu as pour les nettoyer. Envoie ensuite les rapports sur http://pjjoint.malekal.com/ et donne les liens menant à ces rapports pour que l'on puisse les consulter.
1°) Remediate VBS Worm
[color=red]ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR ![/color]
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.
si tu as bien désactiver windows script hosting sur Marmiton, ton Windows devrait avoir la paix, faut nettoyer les cles USB maintenant
Pour nettoyer les disques amovibles, suivre dans l'ordre les étapes du tutoriel : insère un à un tes clefs USB et disques durs externes que tu as pour les nettoyer. Envoie ensuite les rapports sur http://pjjoint.malekal.com/ et donne les liens menant à ces rapports pour que l'on puisse les consulter.
1°) Remediate VBS Worm
- Lancer l'option B
- Taper la lettre de la clef USB, par exemple, E et entrée
[color=red]ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR ![/color]
- Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.
Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.
Mes clés usb ne sont pas touchés.
Et par contre y a t-il une solution pour récupérer les fichiers corrompus ?
Et par contre y a t-il une solution pour récupérer les fichiers corrompus ?
Bien par exemple ça fait ça, mais c'est tous mes fichiers qui sont touchés, je vais pas tout capturer.
https://pjjoint.malekal.com/files.php?id=20170125_y513m6w10o10
https://pjjoint.malekal.com/files.php?id=20170125_y513m6w10o10
humm, si tu retires l'extension .merry ça donne quoi ?
Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
moi pareil depuis 23h30 hier..
impossible de le supprimer malgré tous les tutos en anglais qui disent d'utiliser SpyHunter. Moi j'ai une erreur lors de la suppression des 6 derniers trojans que SpyHunter detetecte..
J'ai essayé en mode manuel aussi, j'ai rien dans les regedit ni dans les clés..
on dirait que j'ai pas encore activé le processus pour payer ce Ransomware..
Tous les fichiers sont pourtant en .merry mais personne ne me demande de payer..
Je viens de faire un scan avc la derniere version de spybot, il trouve rien non plus.. c'est la mort !! j'ai une entreprise si je retrouve pas mes fichier je ferme boutique !!
impossible de le supprimer malgré tous les tutos en anglais qui disent d'utiliser SpyHunter. Moi j'ai une erreur lors de la suppression des 6 derniers trojans que SpyHunter detetecte..
J'ai essayé en mode manuel aussi, j'ai rien dans les regedit ni dans les clés..
on dirait que j'ai pas encore activé le processus pour payer ce Ransomware..
Tous les fichiers sont pourtant en .merry mais personne ne me demande de payer..
Je viens de faire un scan avc la derniere version de spybot, il trouve rien non plus.. c'est la mort !! j'ai une entreprise si je retrouve pas mes fichier je ferme boutique !!
Les antivirus sont à la rue =)
https://www.virustotal.com/gui/file/0e13e10c502f1141293dd829b4cac53db2ef5f7a465633e686d66ccc6754392a
SHA256: 0e13e10c502f1141293dd829b4cac53db2ef5f7a465633e686d66ccc6754392a
Nom du fichier : MERRY_I_LOVE_YOU_BRUCE.HTA
Ratio de détection : 2 / 54
Antivirus Résultat Mise à jour
ESET-NOD32 Win32/Filecoder.Xmas 20170126
Rising Ransom.FileCryptor!8.1A7-yjCfolDrNcM (cloud) 20170126
https://www.virustotal.com/gui/file/0e13e10c502f1141293dd829b4cac53db2ef5f7a465633e686d66ccc6754392a
SHA256: 0e13e10c502f1141293dd829b4cac53db2ef5f7a465633e686d66ccc6754392a
Nom du fichier : MERRY_I_LOVE_YOU_BRUCE.HTA
Ratio de détection : 2 / 54
Antivirus Résultat Mise à jour
ESET-NOD32 Win32/Filecoder.Xmas 20170126
Rising Ransom.FileCryptor!8.1A7-yjCfolDrNcM (cloud) 20170126
Le concepteur du ransomware n'est pas content...
Emsisoft Website Hit by DDoS Attack as Company Releases Ransomware Decrypter.
Chez moi https://www.emsisoft.com/ransomware-decryption-tools/mrcr ne fonctionne pas ou rame à mort.
Emsisoft Website Hit by DDoS Attack as Company Releases Ransomware Decrypter.
Chez moi https://www.emsisoft.com/ransomware-decryption-tools/mrcr ne fonctionne pas ou rame à mort.
Tentez cet outil pour récupérer vos documents : https://www.emsisoft.com/ransomware-decryption-tools/mrcr
Tentez aussi : les version précédentes avec Shadow Explorer
Veuillez appuyer sur une touche pour continuer la désinfection...
Tentez aussi : les version précédentes avec Shadow Explorer
Veuillez appuyer sur une touche pour continuer la désinfection...
C'est bon à l'instant je viens de récupérer tous mes fichiers !!!!
En faite j'avais mis un .doc.merry et un .doc original mais ça me donnait une clé..
ça marchait que sur les .doc
Quand là j'ai mis un docx.merry et un docx original dans le MCMR et là ça m'a donné une autre clé !!
Je test, je vois que ya pas d'erreur sur le docx, et que le pdf pareil est revenu, j'essaye avec d'autres extensions et là miracle tout est revenu !!!
IMPECCABLE, tous les fichiers sont là !! Mp3, pdf, mp4, etc...
En faite j'avais mis un .doc.merry et un .doc original mais ça me donnait une clé..
ça marchait que sur les .doc
Quand là j'ai mis un docx.merry et un docx original dans le MCMR et là ça m'a donné une autre clé !!
Je test, je vois que ya pas d'erreur sur le docx, et que le pdf pareil est revenu, j'essaye avec d'autres extensions et là miracle tout est revenu !!!
IMPECCABLE, tous les fichiers sont là !! Mp3, pdf, mp4, etc...