Ver informatique : impossible à effacer (MERRY I LOVE YOU)

Nty_ Messages postés 14 Statut Membre -  
Nty_ Messages postés 14 Statut Membre -
Bonjour,

j'ai un virus qui s'est propagé dans tout l'ordinateur. Il modifie les extensions de type images, mp3, film, documents, en rajoutant .MERRY à la fin. Du coup j'ai lancé mon antivirus, supprimé les trojans, mais c'est toujours là.
Je n'arrive pas à savoir si je dois tout supprimer un par un, et surtout comment récupérer mes fichiers.

Merci d'avance pour l'aide ^^

11 réponses

Résumé de la discussion

La problématique centrale est l’infection par un ransomware qui ajoute l’extension .MERRY aux fichiers (images, documents, médias, etc.), rendant l’accès et la récupération difficiles et compliquée. Plusieurs utilisateurs préconisent d’utiliser des outils de nettoyage et un tuto FRST, puis de vérifier les sauvegardes et les fichiers stockés dans le cloud avant les tentatives de récupération. Des tutoriels et échanges d’expérience publiés en ligne évoquent des risques de pertes persistantes, la suppression de points de restauration et l’importance des sauvegardes externes. En cas d’infection, certains rapports indiquent qu’un décryptage peut être possible via des services spécialisés, mais l’efficacité varie selon le type de ransomware et les sauvegardes disponibles.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Pour te protéger des infections amovibles type Wscript (Windows Script Host)
    Télécharger et installer Marmiton
    Clic sur Désactiver au niveau de Windows Script Host.
    Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky.

    puis :

    Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

    Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
    • FRST.txt
    • Shortcut.txt
    • Additionnal.txt


    Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

    0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

    Ouvre le bloc-notes : Touche Windows + R,
    Dans le champs "Exécuter", saisir notepad et OK.
    Copie/Colle dedans ce qui suit :

    CreateRestorePoint:
    CloseProcesses:
    HKU\S-1-5-21-3612256940-3223375586-1718127309-1002\...\Run: [Adobe2] => C:\Users\Wendy\Desktop\MERRY_I_LOVE_YOU_BRUCE.HTA
    2016-12-23 15:21 - 2017-01-24 21:03 - 0000033 _____ () C:\Users\Wendy\AppData\Roaming\AdobeWLCMCache.dat.MERRY
    2017-01-24 21:03 - 2017-01-24 21:03 - 0091845 _____ () C:\Users\Wendy\AppData\Roaming\MERRY_I_LOVE_YOU_BRUCE.HTA
    2017-01-24 20:33 - 2017-01-24 20:33 - 0091845 _____ () C:\Users\Wendy\AppData\Local\MERRY_I_LOVE_YOU_BRUCE.HTA
    2017-01-24 22:47 - 2017-01-24 22:47 - 00091845 _____ C:\Users\wendy_w7sbii2\MERRY_I_LOVE_YOU_BRUCE.HTA
    2017-01-24 22:46 - 2017-01-24 22:46 - 00091845 _____ C:\Users\wendy_w7sbii2\Downloads\MERRY_I_LOVE_YOU_BRUCE.HTA
    2017-01-24 22:46 - 2017-01-24 22:46 - 00091845 _____ C:\Users\wendy_w7sbii2\Documents\MERRY_I_LOVE_YOU_BRUCE.HTA
    2017-01-24 22:46 - 2017-01-24 22:46 - 00091845 _____ C:\Users\wendy_w7sbii2\Desktop\MERRY_I_LOVE_YOU_BRUCE.HTA
    2017-01-24 22:36 - 2017-01-24 22:36 - 00091845 _____ C:\Users\wendy_w7sbii2\AppData\Local\MERRY_I_LOVE_YOU_BRUCE.HTA
    2017-01-24 21:32 - 2017-01-24 21:32 - 00091845 _____ C:\Users\Wendy\Documents\MERRY_I_LOVE_YOU_BRUCE.HTA
    2017-01-24 21:03 - 2017-01-24 21:03 - 00091845 _____ C:\Users\Wendy\AppData\Roaming\MERRY_I_LOVE_YOU_BRUCE.HTA
    2017-01-24 20:33 - 2017-01-24 20:33 - 00091845 _____ C:\Users\Wendy\AppData\Local\MERRY_I_LOVE_YOU_BRUCE.HTA
    2017-01-24 20:32 - 2017-01-24 20:32 - 00091845 _____ C:\Users\Wendy\MERRY_I_LOVE_YOU_BRUCE.HTA
    Hosts:
    EmptyTemp:
    RemoveProxy:
    Reboot:


    Une fois, le texte collé dans le Bloc-notes,
    Menu "Fichier" puis "Enregistrer sous",
    A gauche, place toi sur le Bureau,
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

    Relance FRST et clique sur le bouton "Corriger / Fix"
    Un redémarrage sera peut-être nécessaire ( pas obligatoire )
    Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur.

    0
  3. Nty_ Messages postés 14 Statut Membre
     
    Je l'ai fais et ça a redémarré mon pc, mais je n'ai pas de fichier texte qui est apparut.
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    bon,
    si tu as bien désactiver windows script hosting sur Marmiton, ton Windows devrait avoir la paix, faut nettoyer les cles USB maintenant

    Pour nettoyer les disques amovibles, suivre dans l'ordre les étapes du tutoriel : insère un à un tes clefs USB et disques durs externes que tu as pour les nettoyer. Envoie ensuite les rapports sur http://pjjoint.malekal.com/ et donne les liens menant à ces rapports pour que l'on puisse les consulter.

    1°) Remediate VBS Worm
    • Lancer l'option B
    • Taper la lettre de la clef USB, par exemple, E et entrée

    [color=red]ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR ![/color]
    • Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver.

    Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.

    0
  6. Nty_ Messages postés 14 Statut Membre
     
    Mes clés usb ne sont pas touchés.
    Et par contre y a t-il une solution pour récupérer les fichiers corrompus ?
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Fais une capture d'écran du contenu avec les fichiers corrompus.
      0
    2. Nty_ Messages postés 14 Statut Membre > Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
       
      Bien par exemple ça fait ça, mais c'est tous mes fichiers qui sont touchés, je vais pas tout capturer.
      https://pjjoint.malekal.com/files.php?id=20170125_y513m6w10o10
      0
    3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > Nty_ Messages postés 14 Statut Membre
       
      humm, si tu retires l'extension .merry ça donne quoi ?

      Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
      Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
      Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
      Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
      0
    4. djsava Messages postés 41 Statut Membre
       
      Nty_

      Il te demande des sous ?.. Est-ce que tu as MERRY_I_LOVE_YOU_BRUCE.HTA dans tes répertoires infectés comme moi ?
      0
    5. Nty_ Messages postés 14 Statut Membre > djsava Messages postés 41 Statut Membre
       
      Non il demande rien oui j'avais j'ai réussi que tout retirer
      0
  7. djsava Messages postés 41 Statut Membre
     
    moi pareil depuis 23h30 hier..
    impossible de le supprimer malgré tous les tutos en anglais qui disent d'utiliser SpyHunter. Moi j'ai une erreur lors de la suppression des 6 derniers trojans que SpyHunter detetecte..
    J'ai essayé en mode manuel aussi, j'ai rien dans les regedit ni dans les clés..
    on dirait que j'ai pas encore activé le processus pour payer ce Ransomware..
    Tous les fichiers sont pourtant en .merry mais personne ne me demande de payer..
    Je viens de faire un scan avc la derniere version de spybot, il trouve rien non plus.. c'est la mort !! j'ai une entreprise si je retrouve pas mes fichier je ferme boutique !!
    0
    1. Nty_ Messages postés 14 Statut Membre
       
      Mais tu te rappelles de où tu aurais pu l'avoir ? Car il me semble que c'est avec google Chrome personnellement.
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Salut,

      Tu es tombé sur un pseudo site de désinfection, qui n'a qu'un but, te faire installer et surtout acheter Spyhunter.
      Ca sert à quedalle.

      Suis les instructions de ce topic.
      A savoir installe Marmiton et désactive Windows Script Hosting.
      Ensuite fais l'analyse FRST et donne les rapports ici.
      0
    3. djsava Messages postés 41 Statut Membre > Nty_ Messages postés 14 Statut Membre
       
      moi aussi et j'ai chopé ça sur le site de mon fournisseur en téléchargent une font..
      le site était complètement crypté google m'a demandé de dl la font et j'ai mis oui et paff le chien
      0
    4. Nty_ Messages postés 14 Statut Membre > djsava Messages postés 41 Statut Membre
       
      J'ai eu la même chose, en allant sur un site, pareil je devais télécharger une font, j'ai pas réfléchi.
      0
    5. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > Nty_ Messages postés 14 Statut Membre
       
      Quel site ?
      0
  8. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Les antivirus sont à la rue =)

    https://www.virustotal.com/gui/file/0e13e10c502f1141293dd829b4cac53db2ef5f7a465633e686d66ccc6754392a

    SHA256: 0e13e10c502f1141293dd829b4cac53db2ef5f7a465633e686d66ccc6754392a
    Nom du fichier : MERRY_I_LOVE_YOU_BRUCE.HTA
    Ratio de détection : 2 / 54

    Antivirus Résultat Mise à jour
    ESET-NOD32 Win32/Filecoder.Xmas 20170126
    Rising Ransom.FileCryptor!8.1A7-yjCfolDrNcM (cloud) 20170126
    0
    1. djsava Messages postés 41 Statut Membre
       
      J'ai vu ça hier, bien utile d'avoir un anti virus..
      J'ai un copain qui m'a dit hier depuis que je paye mon AV, j'en ai plus.. (plutôt il en jamais autant eu qui se bloquent depuis qu'il paye lol)
      0
      1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > djsava Messages postés 41 Statut Membre
         
        Tu aurais le site source où tu l'as choppé ?
        0
      2. djsava Messages postés 41 Statut Membre > Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
         
        www.forest-distribution.com j'ai prévenu le patron
        0
  9. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Tentez cet outil pour récupérer vos documents : https://www.emsisoft.com/ransomware-decryption-tools/mrcr

    Tentez aussi : les version précédentes avec Shadow Explorer

    Veuillez appuyer sur une touche pour continuer la désinfection...
    -1
    1. djsava Messages postés 41 Statut Membre
       
      tu es une pointure ;)
      J'ai vu que c'était décryptable par le site que tu propose sur malekal où il faut uploader 2 fichiers.
      0
    2. djsava Messages postés 41 Statut Membre
       
      @Nty_ et Malekal
      le decrypter a été mis à jour hier soir, il décrypte pour l'instant tous les .doc
      0
    3. Nty_ Messages postés 14 Statut Membre
       
      Bonjour,
      je vas essayer alors, parce que ça s'est carrément infiltré dans ma dropbox -_- !
      0
      1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > Nty_ Messages postés 14 Statut Membre
         
        @djasa : merci pour l'info.

        @Nty_ : oui c'est le prob des synchros, ça synchro les changements et donc le chiffrement.
        0
      2. djsava Messages postés 41 Statut Membre > Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
         
        C'est bon à l'instant je viens de récupérer tous mes fichiers !!!!

        En faite j'avais mis un .doc.merry et un .doc original mais ça me donnait une clé..
        ça marchait que sur les .doc
        Quand là j'ai mis un docx.merry et un docx original dans le MCMR et là ça m'a donné une autre clé !!
        Je test, je vois que ya pas d'erreur sur le docx, et que le pdf pareil est revenu, j'essaye avec d'autres extensions et là miracle tout est revenu !!!
        IMPECCABLE, tous les fichiers sont là !! Mp3, pdf, mp4, etc...
        0