Cryptage de fichier - Photo impossible à lire
Fermé
daconrilcy
Messages postés
18
Date d'inscription
mardi 7 février 2017
Statut
Membre
Dernière intervention
10 février 2017
-
8 févr. 2017 à 11:02
daconrilcy Messages postés 18 Date d'inscription mardi 7 février 2017 Statut Membre Dernière intervention 10 février 2017 - 10 févr. 2017 à 17:34
daconrilcy Messages postés 18 Date d'inscription mardi 7 février 2017 Statut Membre Dernière intervention 10 février 2017 - 10 févr. 2017 à 17:34
A voir également:
- Cryptage de fichier - Photo impossible à lire
- Lire fichier epub - Guide
- Fichier rar - Guide
- Lire fichier bin - Guide
- Fichier host - Guide
- Impossible de supprimer un fichier - Guide
4 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
8 févr. 2017 à 11:03
8 févr. 2017 à 11:03
Salut,
Pour voir cela :
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Pour voir cela :
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
Modifié par Malekal_morte- le 8/02/2017 à 17:26
Modifié par Malekal_morte- le 8/02/2017 à 17:26
Le ransomware n'est plus actif...
Peut-être infecté par Sathurbot
Je vois que tu as déjà installé ShadowExplorer.
S'il ne trouve rien, c'est mort pour la récupération des fichiers.
1°)
Désinstalle SpyHunter 4
sert à rien.
Du coup tu as installé plein de programmes inutiles comme
File Repair
Paretologic
EaseUS Data Recovery Wizard c'est pour la récupération de fichiers supprimés.
Désinstalle tout ça.
2°)
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
3°)
Je pense qu'une réinitialisation de Chrome s'impose aussi.
Tu as installé l'extension parasite FromDocToPDF
et plein d'autres qu'on ne sait pas d'où ça sort...
Réinitialise/Répare les navigateurs WEB :
Evite d'installer tous les logiciels que tu trouves, tu vas avoir des problèmes à coup sûr...
puis :
4°)
MalwareBytes ( durée : environ 40min de scan ):
==================================================
Télécharge et installe MBAM. La version gratuite permet de nettoyer ( décoche bien la proposition d'essai de la version Premium à la fin de l'installation ) :
Mettre MBAM à jour puis lancer un examen.
A la fin du scan, clique sur "Supprimer Sélection" en bas à gauche.
Redémarrer l'ordinateur si nécessaire puis relancer Malwarebytes.
Vas chercher le rapport dans l'onglet "Historique".
A gauche "Journal d'analyse", double-clique sur l'examen dans la liste. Puis en bas "Copier dans le presse papier", va sur http://pjjoint.malekal.com/, clique droit "Coller" pour coller le contenu du rapport du scan. Clique sur "Envoyer". Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.
Veuillez appuyer sur une touche pour continuer la désinfection...
Peut-être infecté par Sathurbot
Je vois que tu as déjà installé ShadowExplorer.
S'il ne trouve rien, c'est mort pour la récupération des fichiers.
1°)
Désinstalle SpyHunter 4
sert à rien.
Du coup tu as installé plein de programmes inutiles comme
File Repair
Paretologic
EaseUS Data Recovery Wizard c'est pour la récupération de fichiers supprimés.
Désinstalle tout ça.
2°)
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
CloseProcesses:
CreateRestorePoint:
Task: C:\WINDOWS\Tasks\ParetoLogic Registration3.job => rundll32.exe � C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\UUS3.dll <==== ATTENTION
Task: C:\WINDOWS\Tasks\ParetoLogic Update Version3 Startup Task.job => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\ParetoLogic Update Version3.job => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
2017-02-07 10:58 - 2017-02-07 13:33 - 00000486 _____ C:\WINDOWS\Tasks\ParetoLogic Registration3.job
2017-02-07 10:58 - 2017-02-07 10:58 - 00003298 _____ C:\WINDOWS\System32\Tasks\ParetoLogic Registration3
2017-02-07 10:57 - 2017-02-07 13:33 - 00000512 _____ C:\WINDOWS\Tasks\ParetoLogic Update Version3 Startup Task.job
2017-02-07 10:57 - 2017-02-07 13:33 - 00000460 _____ C:\WINDOWS\Tasks\ParetoLogic Update Version3.job
2017-02-07 10:57 - 2017-02-07 10:57 - 00003428 _____ C:\WINDOWS\System32\Tasks\ParetoLogic Update Version3
2017-02-07 10:57 - 2017-02-07 10:57 - 00003116 _____ C:\WINDOWS\System32\Tasks\ParetoLogic Update Version3 Startup Task
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
3°)
Je pense qu'une réinitialisation de Chrome s'impose aussi.
Tu as installé l'extension parasite FromDocToPDF
et plein d'autres qu'on ne sait pas d'où ça sort...
Réinitialise/Répare les navigateurs WEB :
- Réparer Google Chrome (seulement le premier paragraphe).
Evite d'installer tous les logiciels que tu trouves, tu vas avoir des problèmes à coup sûr...
puis :
4°)
MalwareBytes ( durée : environ 40min de scan ):
==================================================
Télécharge et installe MBAM. La version gratuite permet de nettoyer ( décoche bien la proposition d'essai de la version Premium à la fin de l'installation ) :
Mettre MBAM à jour puis lancer un examen.
A la fin du scan, clique sur "Supprimer Sélection" en bas à gauche.
Redémarrer l'ordinateur si nécessaire puis relancer Malwarebytes.
Vas chercher le rapport dans l'onglet "Historique".
A gauche "Journal d'analyse", double-clique sur l'examen dans la liste. Puis en bas "Copier dans le presse papier", va sur http://pjjoint.malekal.com/, clique droit "Coller" pour coller le contenu du rapport du scan. Clique sur "Envoyer". Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.
Veuillez appuyer sur une touche pour continuer la désinfection...
daconrilcy
Messages postés
18
Date d'inscription
mardi 7 février 2017
Statut
Membre
Dernière intervention
10 février 2017
1
9 févr. 2017 à 11:51
9 févr. 2017 à 11:51
Bonjour Malekal,
Pour faire suite à ton message :
1 - J'ai désinstallé tous les programmes que tu listes. J'ai installé un bon nombre d'entre eux, sans me soucier du risque en me disant perdu pour perdu ...
2 - Voici le lien du fixlog que FRST a affiché après avoir suivi ta procédure
https://pjjoint.malekal.com/files.php?id=20170209_15p10y13i14r7
3 - Chrome a été re initialisé selon tes instructions
4- Voici le lien vers le compte rendu de MBAM
https://pjjoint.malekal.com/files.php?id=20170209_q5v11h8m6h11
Ce qui est étonnant c'est que je m'aperçois que mes droits utilisateurs sur mon poste ont également changé. Je dois être désormais en admin pour enregistrer des fichiers sur le bureau ...!
En te remerciant pour ton aide,
Pour faire suite à ton message :
1 - J'ai désinstallé tous les programmes que tu listes. J'ai installé un bon nombre d'entre eux, sans me soucier du risque en me disant perdu pour perdu ...
2 - Voici le lien du fixlog que FRST a affiché après avoir suivi ta procédure
https://pjjoint.malekal.com/files.php?id=20170209_15p10y13i14r7
3 - Chrome a été re initialisé selon tes instructions
4- Voici le lien vers le compte rendu de MBAM
https://pjjoint.malekal.com/files.php?id=20170209_q5v11h8m6h11
Ce qui est étonnant c'est que je m'aperçois que mes droits utilisateurs sur mon poste ont également changé. Je dois être désormais en admin pour enregistrer des fichiers sur le bureau ...!
En te remerciant pour ton aide,
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
9 févr. 2017 à 12:31
9 févr. 2017 à 12:31
Ce qui est étonnant c'est que je m'aperçois que mes droits utilisateurs sur mon poste ont également changé. Je dois être désormais en admin pour enregistrer des fichiers sur le bureau ...!
Comment ça ? quel message as-tu ?
Tu peux envoyer ce fichier C:\Users\dacon\AppData\Local\Microsoft\Performance\Monitor\PerformanceMonitor.dll sur https://www.virustotal.com/gui/
et donner le lien de scan ici.
Comment ça ? quel message as-tu ?
Tu peux envoyer ce fichier C:\Users\dacon\AppData\Local\Microsoft\Performance\Monitor\PerformanceMonitor.dll sur https://www.virustotal.com/gui/
et donner le lien de scan ici.
daconrilcy
Messages postés
18
Date d'inscription
mardi 7 février 2017
Statut
Membre
Dernière intervention
10 février 2017
1
9 févr. 2017 à 20:20
9 févr. 2017 à 20:20
Bonsoir,
Il est intéressant ce fichier. J'ai été obligé de trouver le détail de la tache qui l'exécutait pour l'arrêter et le faire scanner par VirusTotal (impossible autrement). Il s'exécutait sous un rundll32 dans le gestionnaire des taches. Malgré son nettoyage, MBAM me remontait des alertes de connexion sortante vers 2 ou 3 IP différentes très régulièrement . Et depuis l'arrêt de cette tache, plus aucune alerte.
Voici le lien du scan sur VirusTotal :
https://www.virustotal.com/gui/file/84d0ba748ad9ac4ed296863e0587594d2f8daa593aeb719fda1242aeea8a2e26
Fichier reconnu comme virus par 15 sur 55 moteurs ...
Quand à mes droits c'est simple : Depuis quelques jours, si j'essaie d'enregistrer un document à partir d'une application qui n'a pas été ouverte en signifiant "ouvrir en tant qu'administrateur", je ne peux rien enregistrer sur le bureau ou dans mes documents. J'ai le message "Vous n'avez pas l'autorisation d'écrire à cet emplacement. Consulter l'administrateur pour obtenir l'autorisation" (!!!). Le message Windows m'invite alors à enregistrer le document dans le dossier de mon profil utilisateur. Mais refuse également au final (re !!!).
Je n'ai pas changé quoique se soit sur mon profil d'utilisateur. Celui ci a toujours eu les droits admin sur le poste (Je sais c'est pas bien de travailler sur son poste avec les droits admin) ...
Cdt,
Il est intéressant ce fichier. J'ai été obligé de trouver le détail de la tache qui l'exécutait pour l'arrêter et le faire scanner par VirusTotal (impossible autrement). Il s'exécutait sous un rundll32 dans le gestionnaire des taches. Malgré son nettoyage, MBAM me remontait des alertes de connexion sortante vers 2 ou 3 IP différentes très régulièrement . Et depuis l'arrêt de cette tache, plus aucune alerte.
Voici le lien du scan sur VirusTotal :
https://www.virustotal.com/gui/file/84d0ba748ad9ac4ed296863e0587594d2f8daa593aeb719fda1242aeea8a2e26
Fichier reconnu comme virus par 15 sur 55 moteurs ...
Quand à mes droits c'est simple : Depuis quelques jours, si j'essaie d'enregistrer un document à partir d'une application qui n'a pas été ouverte en signifiant "ouvrir en tant qu'administrateur", je ne peux rien enregistrer sur le bureau ou dans mes documents. J'ai le message "Vous n'avez pas l'autorisation d'écrire à cet emplacement. Consulter l'administrateur pour obtenir l'autorisation" (!!!). Le message Windows m'invite alors à enregistrer le document dans le dossier de mon profil utilisateur. Mais refuse également au final (re !!!).
Je n'ai pas changé quoique se soit sur mon profil d'utilisateur. Celui ci a toujours eu les droits admin sur le poste (Je sais c'est pas bien de travailler sur son poste avec les droits admin) ...
Cdt,
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
Modifié le 29 juin 2017 à 19:58
Modifié le 29 juin 2017 à 19:58
bon, c'est bien le Sathurbot, que j'ai mentionné plus haut.
C'est probablement lui qui a installé le ransomware pour monétiser...
Mais je comprends pas pourquoi Malwarebytes ne l'a pas viré.
SHA256: 84d0ba748ad9ac4ed296863e0587594d2f8daa593aeb719fda1242aeea8a2e26
File name: PerformanceMonitor.dll
Detection ratio: 15 / 55
Antivirus Result Update
AVG Agent5.AXBV 20170209
Avast Win64:Dropper-gen [Drp] 20170209
Baidu Win32.Trojan.WisdomEyes.16070401.9500.9943 20170209
CrowdStrike Falcon (ML) malicious_confidence_84% (D) 20170130
ESET-NOD32 a variant of Win64/Agent.GP 20170209
Ikarus Trojan.Win64.Agent 20170209
K7AntiVirus Trojan ( 005039381 ) 20170209
K7GW Trojan ( 005039381 ) 20170209
McAfee Artemis!C28BC2E297FF 20170209
McAfee-GW-Edition BehavesLike.Win64.Dropper.rh 20170209
Rising Malware.Generic!Wm0dG6iYfRC@6 (thunder) 20170209
Symantec Trojan.Gen.2 20170209
TrendMicro BKDR64_SATHURBOT.AUS 20170209
VIPRE Trojan.Win32.Generic!BT 20170209
ViRobot Trojan.Win32.Z.Agent.4930560.B[h] 20170209
Pour tes prob de fichiers/enregistrements
rappelle le moi plus tard, on va déjà s'occuper de lui.
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
2/
Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur http://pjjoint.malekal.com/ et donne le lien ici.
Veuillez appuyer sur une touche pour continuer la désinfection...
C'est probablement lui qui a installé le ransomware pour monétiser...
Mais je comprends pas pourquoi Malwarebytes ne l'a pas viré.
SHA256: 84d0ba748ad9ac4ed296863e0587594d2f8daa593aeb719fda1242aeea8a2e26
File name: PerformanceMonitor.dll
Detection ratio: 15 / 55
Antivirus Result Update
AVG Agent5.AXBV 20170209
Avast Win64:Dropper-gen [Drp] 20170209
Baidu Win32.Trojan.WisdomEyes.16070401.9500.9943 20170209
CrowdStrike Falcon (ML) malicious_confidence_84% (D) 20170130
ESET-NOD32 a variant of Win64/Agent.GP 20170209
Ikarus Trojan.Win64.Agent 20170209
K7AntiVirus Trojan ( 005039381 ) 20170209
K7GW Trojan ( 005039381 ) 20170209
McAfee Artemis!C28BC2E297FF 20170209
McAfee-GW-Edition BehavesLike.Win64.Dropper.rh 20170209
Rising Malware.Generic!Wm0dG6iYfRC@6 (thunder) 20170209
Symantec Trojan.Gen.2 20170209
TrendMicro BKDR64_SATHURBOT.AUS 20170209
VIPRE Trojan.Win32.Generic!BT 20170209
ViRobot Trojan.Win32.Z.Agent.4930560.B[h] 20170209
Pour tes prob de fichiers/enregistrements
rappelle le moi plus tard, on va déjà s'occuper de lui.
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-3004903763-4288674696-1906483801-1001\...\Run: [Windows Performance Monitor] => rundll32.exe C:\Users\dacon\AppData\Local\Microsoft\Performance\Monitor\PerformanceMonitor.dll,DllInstall
C:\Users\dacon\AppData\Local\Microsoft\Performance\Monitor\PerformanceMonitor.dll
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
2/
Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur http://pjjoint.malekal.com/ et donne le lien ici.
Veuillez appuyer sur une touche pour continuer la désinfection...
daconrilcy
Messages postés
18
Date d'inscription
mardi 7 février 2017
Statut
Membre
Dernière intervention
10 février 2017
1
10 févr. 2017 à 17:34
10 févr. 2017 à 17:34
Bonjour,
Désolé pour le délai mais j'ai fait un scan complet de tous mes disques avec NOD32 et le PC a mouliné pendant 15 heures !!!
Bien m'en a pris : NOD32 a trouvé une trace de CERBER dans mon répertoire ITUNE et dans un dossier sur un tuto que j'ai téléchargée (je pense que ma connerie viens de la) ... C'est donc une bonne piste concernant le cryptage.
Ci joint le lien du rapport NODE32
https://pjjoint.malekal.com/files.php?id=20170210_k6p13v12b11y11
Voici également lien du rapport FRST
https://pjjoint.malekal.com/files.php?id=20170210_5c11f13s15f15
Ce qui m'étonne c'est que je pensais que CERBER changeait les extensions de fichiers. En plus ca doit être une version récente car j'ai tenté en vain de décrypter les fichiers avec les outils mis à dispo pour ce faire par Kaspery
Voila ... on avance peu à peu dans l'enquête !
Cdt,
Désolé pour le délai mais j'ai fait un scan complet de tous mes disques avec NOD32 et le PC a mouliné pendant 15 heures !!!
Bien m'en a pris : NOD32 a trouvé une trace de CERBER dans mon répertoire ITUNE et dans un dossier sur un tuto que j'ai téléchargée (je pense que ma connerie viens de la) ... C'est donc une bonne piste concernant le cryptage.
Ci joint le lien du rapport NODE32
https://pjjoint.malekal.com/files.php?id=20170210_k6p13v12b11y11
Voici également lien du rapport FRST
https://pjjoint.malekal.com/files.php?id=20170210_5c11f13s15f15
Ce qui m'étonne c'est que je pensais que CERBER changeait les extensions de fichiers. En plus ca doit être une version récente car j'ai tenté en vain de décrypter les fichiers avec les outils mis à dispo pour ce faire par Kaspery
Voila ... on avance peu à peu dans l'enquête !
Cdt,
8 févr. 2017 à 16:50
8 févr. 2017 à 17:03
Les fichiers sont uploadés.
Voici les liens :
https://pjjoint.malekal.com/files.php?id=FRST_20170208_q9h11u7i7b11
https://pjjoint.malekal.com/files.php?id=20170208_p13q7t5f8g13
https://pjjoint.malekal.com/files.php?id=20170208_x5l9c7r12u5
Merci pour votre aide.