Ransomware Spora

tom3232 Messages postés 51 Date d'inscription Statut Membre Dernière intervention -
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention - 1 mars 2017 à 11:07

Spora un ransomware est sur mon ordinateur.
Pouvez vous m'aidez a le désinstaller?
Merci d'avance.

Afficher la suite

A voir également:

Ransomware Spora
Ransomware solution protection - Guide
Ransomware - Accueil - Virus
Ransomware mcafee - Accueil - Piratage

3 réponses

Réponse 1 / 3

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

Salut,

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Tu peux tout de même tenter les version précédentes avec Shadow Explorer

Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.

1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :

FRST.txt
Shortcut.txt
Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

tom3232 Messages postés 51 Date d'inscription Statut Membre Dernière intervention

Merci je vais voir

tom3232 Messages postés 51 Date d'inscription Statut Membre Dernière intervention

https://pjjoint.malekal.com/files.php?id=20170227_r13h8j11r10l10 addition.txt https://pjjoint.malekal.com/files.php?id=FRST_20170227_w14m5x12z7x8 FRST.txt
https://pjjoint.malekal.com/files.php?id=20170227_h7b9l8g10k15 Shortcut.txt

tom3232 Messages postés 51 Date d'inscription Statut Membre Dernière intervention

Shadow Explorer me propose une heure ou j'avais déja le ransomware et puis quand je restaure un fichier il ne s'ouvre pas

tom3232 Messages postés 51 Date d'inscription Statut Membre Dernière intervention

Faut il réinstaller windows 7 pour rouvrir mes fichiers

Réponse 2 / 3

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

C4est donc mal barré si Shadow Explorer ne donne rien.

Affiche les fichiers cachés et systèmes : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/

envoie le fichier C:\e9ec7609cb5def85.exe
sur http://upload.malekal.com

Zip ce fichier :
C:\Users\FAMILLE\AppData\Roaming\FRF28-22RXK-GTFAZ-TXGTX-AFHTG-FXKTA-HZXYY.html
Envoie le zip sur http://upload.malekal.com

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
 HKU\S-1-5-18\...\Run: [Awrxworks] => C:\Windows\SysWOW64\regsvr32.exe C:\Windows\system32\config\systemprofile\AppData\Local\YcdhPack\nqskaznl.dll <===== ATTENTION  
 ShellIconOverlayIdentifiers: [ SkyDrivePro1 (ErrorConflict)] -> {8BA85C75-763B-4103-94EB-9470F12FE0F7} => -> Pas de fichier 
 ShellIconOverlayIdentifiers: [ SkyDrivePro2 (SyncInProgress)] -> {CD55129A-B1A1-438E-A425-CEBC7DC684EE} => -> Pas de fichier 
 ShellIconOverlayIdentifiers: [ SkyDrivePro3 (InSync)] -> {E768CD3B-BDDC-436D-9C13-E1B39CA257B1} => -> Pas de fichier 
 ShellIconOverlayIdentifiers-x32: [ SkyDrivePro1 (ErrorConflict)] -> {8BA85C75-763B-4103-94EB-9470F12FE0F7} => -> Pas de fichier 
 ShellIconOverlayIdentifiers-x32: [ SkyDrivePro2 (SyncInProgress)] -> {CD55129A-B1A1-438E-A425-CEBC7DC684EE} => -> Pas de fichier 
 ShellIconOverlayIdentifiers-x32: [ SkyDrivePro3 (InSync)] -> {E768CD3B-BDDC-436D-9C13-E1B39CA257B1} => -> Pas de fichier 
 2017-02-26 21:04 - 2017-02-26 21:04 - 00000942 _____ C:\WinDev 20 - Installation.lnk 
2017-02-26 21:04 - 2017-02-26 21:04 - 00000932 _____ C:\Program Files (x86).lnk 
2017-02-26 21:04 - 2017-02-26 21:04 - 00000924 _____ C:\Windows.old.001.lnk 
2017-02-26 21:04 - 2017-02-26 21:04 - 00000924 _____ C:\Windows.old.000.lnk 
2017-02-26 21:04 - 2017-02-26 21:04 - 00000920 _____ C:\Program Files.lnk 
2017-02-26 21:04 - 2017-02-26 21:04 - 00000916 _____ C:\Windows.old.lnk 
 2017-02-26 21:04 - 2017-02-26 21:04 - 00000916 _____ C:\Mes Projets.lnk 
 2017-02-26 21:04 - 2017-02-26 21:04 - 00000914 _____ C:\AdwCleaner.lnk  
 2017-02-26 21:04 - 2017-02-26 21:04 - 00000912 _____ C:\WinDev 20.lnk 
 2017-02-26 21:04 - 2017-02-26 21:04 - 00000912 _____ C:\Spacekace.lnk  
 2017-02-26 21:04 - 2017-02-26 21:04 - 00000910 _____ C:\PerfLogs.lnk  
2017-02-26 21:04 - 2017-02-26 21:04 - 00000908 _____ C:\Windows.lnk 
 2017-02-26 21:04 - 2017-02-26 21:04 - 00000908 _____ C:\inetpub.lnk  
 2017-02-26 21:04 - 2017-02-26 21:04 - 00000908 _____ C:\DRIVERS.lnk  
 2017-02-26 21:04 - 2017-02-26 21:04 - 00000906 _____ C:\sh4ldr.lnk  
 2017-02-26 21:04 - 2017-02-26 21:04 - 00000906 _____ C:\SERIES.lnk  
 2017-02-26 21:04 - 2017-02-26 21:04 - 00000906 _____ C:\NVIDIA.lnk  
 2017-02-26 21:04 - 2017-02-26 21:04 - 00000906 _____ C:\IMAGES.lnk  
 2017-02-26 21:04 - 2017-02-26 21:04 - 00000906 _____ C:\GvTemp.lnk  
 2017-02-26 21:04 - 2017-02-26 21:04 - 00000904 _____ C:\Users.lnk  
 2017-02-26 21:04 - 2017-02-26 21:04 - 00000904 _____ C:\Intel.lnk  
 2017-02-26 21:04 - 2017-02-26 21:04 - 00000904 _____ C:\Games.lnk  
 2017-02-26 21:04 - 2017-02-26 21:04 - 00000904 _____ C:\Fraps.lnk  
 2017-02-26 21:04 - 2017-02-26 21:04 - 00000904 _____ C:\FILMS.lnk  
 2017-02-26 21:04 - 2017-02-26 21:04 - 00000904 _____ C:\Ecole.lnk  
 2017-02-26 21:04 - 2017-02-26 21:04 - 00000900 _____ C:\Jts.lnk  
 2017-02-26 21:04 - 2017-02-26 21:04 - 00000900 _____ C:\cff.lnk  
 2017-02-26 21:04 - 2017-02-26 21:04 - 00000898 _____ C:\lk.lnk  
 2017-02-26 21:04 - 2017-02-26 21:04 - 00000898 _____ C:\DS.lnk  
 2017-02-26 21:04 - 2017-02-26 20:18 - 00069632 ____H C:\e9ec7609cb5def85.exe  
2017-02-26 20:22 - 2017-02-26 20:22 - 0016715 _____ () C:\Users\FAMILLE\AppData\Roaming\FRF28-22RXK-GTFAZ-TXGTX-AFHTG-FXKTA-HZXYY.html
Hosts:
RemoveProxy:
Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
Veuillez appuyer sur une touche pour continuer la désinfection...

tom3232 Messages postés 51 Date d'inscription Statut Membre Dernière intervention

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 27-02-2017 01
Exécuté par FAMILLE (28-02-2017 16:40:01) Run:1
Exécuté depuis C:\Users\FAMILLE\Desktop
Profils chargés: FAMILLE (Profils disponibles: FAMILLE & Administrateur)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-18\...\Run: [Awrxworks] => C:\Windows\SysWOW64\regsvr32.exe C:\Windows\system32\config\systemprofile\AppData\Local\YcdhPack\nqskaznl.dll <===== ATTENTION
ShellIconOverlayIdentifiers: [ SkyDrivePro1 (ErrorConflict)] -> {8BA85C75-763B-4103-94EB-9470F12FE0F7} => -> Pas de fichier
ShellIconOverlayIdentifiers: [ SkyDrivePro2 (SyncInProgress)] -> {CD55129A-B1A1-438E-A425-CEBC7DC684EE} => -> Pas de fichier
ShellIconOverlayIdentifiers: [ SkyDrivePro3 (InSync)] -> {E768CD3B-BDDC-436D-9C13-E1B39CA257B1} => -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ SkyDrivePro1 (ErrorConflict)] -> {8BA85C75-763B-4103-94EB-9470F12FE0F7} => -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ SkyDrivePro2 (SyncInProgress)] -> {CD55129A-B1A1-438E-A425-CEBC7DC684EE} => -> Pas de fichier
ShellIconOverlayIdentifiers-x32: [ SkyDrivePro3 (InSync)] -> {E768CD3B-BDDC-436D-9C13-E1B39CA257B1} => -> Pas de fichier
2017-02-26 21:04 - 2017-02-26 21:04 - 00000942 _____ C:\WinDev 20 - Installation.lnk
2017-02-26 21:04 - 2017-02-26 21:04 - 00000932 _____ C:\Program Files (x86).lnk
2017-02-26 21:04 - 2017-02-26 21:04 - 00000924 _____ C:\Windows.old.001.lnk
2017-02-26 21:04 - 2017-02-26 21:04 - 00000924 _____ C:\Windows.old.000.lnk
2017-02-26 21:04 - 2017-02-26 21:04 - 00000920 _____ C:\Program Files.lnk
2017-02-26 21:04 - 2017-02-26 21:04 - 00000916 _____ C:\Windows.old.lnk
2017-02-26 21:04 - 2017-02-26 21:04 - 00000916 _____ C:\Mes Projets.lnk
2017-02-26 21:04 - 2017-02-26 21:04 - 00000914 _____ C:\AdwCleaner.lnk
2017-02-26 21:04 - 2017-02-26 21:04 - 00000912 _____ C:\WinDev 20.lnk
2017-02-26 21:04 - 2017-02-26 21:04 - 00000912 _____ C:\Spacekace.lnk
2017-02-26 21:04 - 2017-02-26 21:04 - 00000910 _____ C:\PerfLogs.lnk
2017-02-26 21:04 - 2017-02-26 21:04 - 00000908 _____ C:\Windows.lnk
2017-02-26 21:04 - 2017-02-26 21:04 - 00000908 _____ C:\inetpub.lnk
2017-02-26 21:04 - 2017-02-26 21:04 - 00000908 _____ C:\DRIVERS.lnk
2017-02-26 21:04 - 2017-02-26 21:04 - 00000906 _____ C:\sh4ldr.lnk
2017-02-26 21:04 - 2017-02-26 21:04 - 00000906 _____ C:\SERIES.lnk
2017-02-26 21:04 - 2017-02-26 21:04 - 00000906 _____ C:\NVIDIA.lnk
2017-02-26 21:04 - 2017-02-26 21:04 - 00000906 _____ C:\IMAGES.lnk
2017-02-26 21:04 - 2017-02-26 21:04 - 00000906 _____ C:\GvTemp.lnk
2017-02-26 21:04 - 2017-02-26 21:04 - 00000904 _____ C:\Users.lnk
2017-02-26 21:04 - 2017-02-26 21:04 - 00000904 _____ C:\Intel.lnk
2017-02-26 21:04 - 2017-02-26 21:04 - 00000904 _____ C:\Games.lnk
2017-02-26 21:04 - 2017-02-26 21:04 - 00000904 _____ C:\Fraps.lnk
2017-02-26 21:04 - 2017-02-26 21:04 - 00000904 _____ C:\FILMS.lnk
2017-02-26 21:04 - 2017-02-26 21:04 - 00000904 _____ C:\Ecole.lnk
2017-02-26 21:04 - 2017-02-26 21:04 - 00000900 _____ C:\Jts.lnk
2017-02-26 21:04 - 2017-02-26 21:04 - 00000900 _____ C:\cff.lnk
2017-02-26 21:04 - 2017-02-26 21:04 - 00000898 _____ C:\lk.lnk
2017-02-26 21:04 - 2017-02-26 21:04 - 00000898 _____ C:\DS.lnk
2017-02-26 21:04 - 2017-02-26 20:18 - 00069632 ____H C:\e9ec7609cb5def85.exe
2017-02-26 20:22 - 2017-02-26 20:22 - 0016715 _____ () C:\Users\FAMILLE\AppData\Roaming\FRF28-22RXK-GTFAZ-TXGTX-AFHTG-FXKTA-HZXYY.html
Hosts:
RemoveProxy:
Reboot:

Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\Awrxworks => valeur supprimé(es) avec succès
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ SkyDrivePro1 (ErrorConflict) => clé supprimé(es) avec succès
HKCR\CLSID\{8BA85C75-763B-4103-94EB-9470F12FE0F7} => clé non trouvé(e).
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ SkyDrivePro2 (SyncInProgress) => clé supprimé(es) avec succès
HKCR\CLSID\{CD55129A-B1A1-438E-A425-CEBC7DC684EE} => clé non trouvé(e).
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ SkyDrivePro3 (InSync) => clé supprimé(es) avec succès
HKCR\CLSID\{E768CD3B-BDDC-436D-9C13-E1B39CA257B1} => clé non trouvé(e).
HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ SkyDrivePro1 (ErrorConflict) => clé supprimé(es) avec succès
HKCR\Wow6432Node\CLSID\{8BA85C75-763B-4103-94EB-9470F12FE0F7} => clé non trouvé(e).
HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ SkyDrivePro2 (SyncInProgress) => clé supprimé(es) avec succès
HKCR\Wow6432Node\CLSID\{CD55129A-B1A1-438E-A425-CEBC7DC684EE} => clé non trouvé(e).
HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ SkyDrivePro3 (InSync) => clé supprimé(es) avec succès
HKCR\Wow6432Node\CLSID\{E768CD3B-BDDC-436D-9C13-E1B39CA257B1} => clé non trouvé(e).
C:\WinDev 20 - Installation.lnk => déplacé(es) avec succès
C:\Program Files (x86).lnk => déplacé(es) avec succès
C:\Windows.old.001.lnk => déplacé(es) avec succès
C:\Windows.old.000.lnk => déplacé(es) avec succès
C:\Program Files.lnk => déplacé(es) avec succès
C:\Windows.old.lnk => déplacé(es) avec succès
C:\Mes Projets.lnk => déplacé(es) avec succès
C:\AdwCleaner.lnk => déplacé(es) avec succès
C:\WinDev 20.lnk => déplacé(es) avec succès
C:\Spacekace.lnk => déplacé(es) avec succès
C:\PerfLogs.lnk => déplacé(es) avec succès
C:\Windows.lnk => déplacé(es) avec succès
C:\inetpub.lnk => déplacé(es) avec succès
C:\DRIVERS.lnk => déplacé(es) avec succès
C:\sh4ldr.lnk => déplacé(es) avec succès
C:\SERIES.lnk => déplacé(es) avec succès
C:\NVIDIA.lnk => déplacé(es) avec succès
C:\IMAGES.lnk => déplacé(es) avec succès
C:\GvTemp.lnk => déplacé(es) avec succès
C:\Users.lnk => déplacé(es) avec succès
C:\Intel.lnk => déplacé(es) avec succès
C:\Games.lnk => déplacé(es) avec succès
C:\Fraps.lnk => déplacé(es) avec succès
C:\FILMS.lnk => déplacé(es) avec succès
C:\Ecole.lnk => déplacé(es) avec succès
C:\Jts.lnk => déplacé(es) avec succès
C:\cff.lnk => déplacé(es) avec succès
C:\lk.lnk => déplacé(es) avec succès
C:\DS.lnk => déplacé(es) avec succès
C:\e9ec7609cb5def85.exe => déplacé(es) avec succès
C:\Users\FAMILLE\AppData\Roaming\FRF28-22RXK-GTFAZ-TXGTX-AFHTG-FXKTA-HZXYY.html => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer => clé supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-2668141666-1754649668-3449575596-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-2668141666-1754649668-3449575596-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès

========= Fin de RemoveProxy: =========

Le système a dû redémarrer.

Fin de Fixlog 16:40:17

tom3232 Messages postés 51 Date d'inscription Statut Membre Dernière intervention

J'ai pprimé sans faire expres shortcut addition frst.txt cest pas grave j'espere.
Penser vous avoir une solution pour les fichiers cryptés svp

tom3232 Messages postés 51 Date d'inscription Statut Membre Dernière intervention

supprimé

tom3232 Messages postés 51 Date d'inscription Statut Membre Dernière intervention

Peut etre utiliser un logiciel nommée recuva

Réponse 3 / 3

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

il les masque les fichiers.
J'ai fait une fiche Spora, regarde là : http://forum.malekal.com/viewtopic.php?f=98&p=432499#p432499
Veuillez appuyer sur une touche pour continuer la désinfection...

tom3232 Messages postés 51 Date d'inscription Statut Membre Dernière intervention

D'accord je peux les lire mes fichiers mais pas mes document ce sont des hyerogliphes qui apparait en docx et meme en .doc peut tu m'aider

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685 > tom3232 Messages postés 51 Date d'inscription Statut Membre Dernière intervention

Si Shadow Explorer échoue et qu'aucun outil de récupération n'est disponible, c'est mort.
Vas falloir patienter pour voir si un outil est mis à disposition d'ici quelques mois.

Garder tes documents chiffrés en attendant.

En attendant : Fais un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite

Ransomware Spora

3 réponses

Fin de Fixlog 16:40:17

Votre réponse

Discussions similaires