Spora ransomware.
Résolu/Fermé
isso80
Messages postés
11
Date d'inscription
samedi 18 mars 2017
Statut
Membre
Dernière intervention
18 mars 2017
-
18 mars 2017 à 10:24
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 18 mars 2017 à 19:53
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 18 mars 2017 à 19:53
A voir également:
- Spora ransomware.
- Protection ransomware - Guide
- Comment se protéger des ransomware - Guide
- Ransomware - Guide
- Malwarebytes anti-ransomware - Télécharger - Antivirus & Antimalwares
- Ransomware forum - Forum Virus
7 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 629
18 mars 2017 à 10:47
18 mars 2017 à 10:47
Salut,
On peut désinfecter l'ordinateur, si tu ne souhaites pas formater.
Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.
A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Tu peux tout de même tenter les version précédentes avec Shadow Explorer
Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.
1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
On peut désinfecter l'ordinateur, si tu ne souhaites pas formater.
Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.
A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Tu peux tout de même tenter les version précédentes avec Shadow Explorer
Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.
1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 629
18 mars 2017 à 12:08
18 mars 2017 à 12:08
y a presque rien d'installé..
tu viens de réinstaller Windows ? et allant chercher un crack pouf ?
Désinstalle Intel® Security Assist
Envoie C:\Windows\system32\SearchIndexer.dll sur https://www.virustotal.com/gui/
Donne le lien ici.
Sinon il ne semble plus actif :
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
tu viens de réinstaller Windows ? et allant chercher un crack pouf ?
Désinstalle Intel® Security Assist
Envoie C:\Windows\system32\SearchIndexer.dll sur https://www.virustotal.com/gui/
Donne le lien ici.
Sinon il ne semble plus actif :
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe
C:\Program Files\Common Files\Wondershare
HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe
Startup: C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FR1ED-C3RKF-TXAFG-TATAT-RRAHT-HFOYY.html [2017-03-15] ()
2017-03-17 17:04 - 2017-03-17 17:09 - 00000140 _____ C:\Windows\Reimage.ini
2017-03-16 16:01 - 2017-03-16 16:09 - 00000000 ____D C:\Program Files (x86)\MunSoft
2017-03-16 15:59 - 2017-03-16 16:00 - 04918224 _____ C:\Users\USER\Downloads\EasyWordRecovery-2.0-Setup.exe
2017-03-15 11:29 - 2017-03-15 11:29 - 00000000 ____D C:\Users\USER\.cache
2017-03-15 09:04 - 2017-03-15 09:04 - 00016664 _____ C:\Users\USER\AppData\Roaming\FR1ED-C3RKF-TXAFG-TATAT-RRAHT-HFOYY.html
2017-03-15 09:02 - 2017-03-15 09:04 - 00697896 _____ C:\Users\USER\AppData\Roaming\3030777910
2017-03-11 10:24 - 2017-03-11 10:24 - 00000000 ____D C:\ProgramData\Wondershare
2017-03-11 10:23 - 2017-03-11 10:23 - 00000000 ____D C:\Users\USER\AppData\Local\Wondershare
2017-03-11 10:21 - 2017-03-11 10:40 - 00000000 ____D C:\Users\USER\Documents\Wondershare Filmora
2017-03-11 10:04 - 2017-03-11 10:21 - 00000000 ____D C:\Users\Public\Documents\Wondershare
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
isso80
Messages postés
11
Date d'inscription
samedi 18 mars 2017
Statut
Membre
Dernière intervention
18 mars 2017
18 mars 2017 à 13:53
18 mars 2017 à 13:53
https://www.virustotal.com/gui/file/5c2a7fd0f5f150f24df5ef754cfc218af4658a0737666ddf79c406ff9a5c65b6
J'espère que c'est le bon lien.
Merci encore.
J'espère que c'est le bon lien.
Merci encore.
isso80
Messages postés
11
Date d'inscription
samedi 18 mars 2017
Statut
Membre
Dernière intervention
18 mars 2017
18 mars 2017 à 14:04
18 mars 2017 à 14:04
Voici le rapport après la phase Réparation:
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 15-03-2017
Exécuté par USER (18-03-2017 12:57:45) Run:1
Exécuté depuis C:\Users\USER\Desktop
Profils chargés: USER (Profils disponibles: defaultuser0 & USER)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe
C:\Program Files\Common Files\Wondershare
HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe
Startup: C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FR1ED-C3RKF-TXAFG-TATAT-RRAHT-HFOYY.html [2017-03-15] ()
2017-03-17 17:04 - 2017-03-17 17:09 - 00000140 _____ C:\Windows\Reimage.ini
2017-03-16 16:01 - 2017-03-16 16:09 - 00000000 ____D C:\Program Files (x86)\MunSoft
2017-03-16 15:59 - 2017-03-16 16:00 - 04918224 _____ C:\Users\USER\Downloads\EasyWordRecovery-2.0-Setup.exe
2017-03-15 11:29 - 2017-03-15 11:29 - 00000000 ____D C:\Users\USER\.cache
2017-03-15 09:04 - 2017-03-15 09:04 - 00016664 _____ C:\Users\USER\AppData\Roaming\FR1ED-C3RKF-TXAFG-TATAT-RRAHT-HFOYY.html
2017-03-15 09:02 - 2017-03-15 09:04 - 00697896 _____ C:\Users\USER\AppData\Roaming\3030777910
2017-03-11 10:24 - 2017-03-11 10:24 - 00000000 ____D C:\ProgramData\Wondershare
2017-03-11 10:23 - 2017-03-11 10:23 - 00000000 ____D C:\Users\USER\AppData\Local\Wondershare
2017-03-11 10:21 - 2017-03-11 10:40 - 00000000 ____D C:\Users\USER\Documents\Wondershare Filmora
2017-03-11 10:04 - 2017-03-11 10:21 - 00000000 ____D C:\Users\Public\Documents\Wondershare
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Wondershare Helper Compact.exe => valeur supprimé(es) avec succès
"C:\Program Files\Common Files\Wondershare" => non trouvé(e).
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\Wondershare Helper Compact.exe => valeur supprimé(es) avec succès
C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FR1ED-C3RKF-TXAFG-TATAT-RRAHT-HFOYY.html => déplacé(es) avec succès
C:\Windows\Reimage.ini => déplacé(es) avec succès
"C:\Program Files (x86)\MunSoft" => non trouvé(e).
"C:\Users\USER\Downloads\EasyWordRecovery-2.0-Setup.exe" => non trouvé(e).
C:\Users\USER\.cache => déplacé(es) avec succès
C:\Users\USER\AppData\Roaming\FR1ED-C3RKF-TXAFG-TATAT-RRAHT-HFOYY.html => déplacé(es) avec succès
C:\Users\USER\AppData\Roaming\3030777910 => déplacé(es) avec succès
C:\ProgramData\Wondershare => déplacé(es) avec succès
C:\Users\USER\AppData\Local\Wondershare => déplacé(es) avec succès
C:\Users\USER\Documents\Wondershare Filmora => déplacé(es) avec succès
C:\Users\Public\Documents\Wondershare => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.
========= RemoveProxy: =========
HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-115921100-3011297091-523634707-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-115921100-3011297091-523634707-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
========= Fin de RemoveProxy: =========
=========== EmptyTemp: ==========
BITS transfer queue => 859088 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 155774386 B
Java, Flash, Steam htmlcache => 554 B
Windows/system/drivers => 41291042 B
Edge => 23504 B
Chrome => 409985051 B
Firefox => 0 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 128 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 498236 B
defaultuser0 => 7296 B
USER => 65982559 B
RecycleBin => 7235448 B
EmptyTemp: => 650.1 MB données temporaires supprimées.
================================
Le système a dû redémarrer.
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 15-03-2017
Exécuté par USER (18-03-2017 12:57:45) Run:1
Exécuté depuis C:\Users\USER\Desktop
Profils chargés: USER (Profils disponibles: defaultuser0 & USER)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe
C:\Program Files\Common Files\Wondershare
HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe
Startup: C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FR1ED-C3RKF-TXAFG-TATAT-RRAHT-HFOYY.html [2017-03-15] ()
2017-03-17 17:04 - 2017-03-17 17:09 - 00000140 _____ C:\Windows\Reimage.ini
2017-03-16 16:01 - 2017-03-16 16:09 - 00000000 ____D C:\Program Files (x86)\MunSoft
2017-03-16 15:59 - 2017-03-16 16:00 - 04918224 _____ C:\Users\USER\Downloads\EasyWordRecovery-2.0-Setup.exe
2017-03-15 11:29 - 2017-03-15 11:29 - 00000000 ____D C:\Users\USER\.cache
2017-03-15 09:04 - 2017-03-15 09:04 - 00016664 _____ C:\Users\USER\AppData\Roaming\FR1ED-C3RKF-TXAFG-TATAT-RRAHT-HFOYY.html
2017-03-15 09:02 - 2017-03-15 09:04 - 00697896 _____ C:\Users\USER\AppData\Roaming\3030777910
2017-03-11 10:24 - 2017-03-11 10:24 - 00000000 ____D C:\ProgramData\Wondershare
2017-03-11 10:23 - 2017-03-11 10:23 - 00000000 ____D C:\Users\USER\AppData\Local\Wondershare
2017-03-11 10:21 - 2017-03-11 10:40 - 00000000 ____D C:\Users\USER\Documents\Wondershare Filmora
2017-03-11 10:04 - 2017-03-11 10:21 - 00000000 ____D C:\Users\Public\Documents\Wondershare
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Wondershare Helper Compact.exe => valeur supprimé(es) avec succès
"C:\Program Files\Common Files\Wondershare" => non trouvé(e).
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\Wondershare Helper Compact.exe => valeur supprimé(es) avec succès
C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FR1ED-C3RKF-TXAFG-TATAT-RRAHT-HFOYY.html => déplacé(es) avec succès
C:\Windows\Reimage.ini => déplacé(es) avec succès
"C:\Program Files (x86)\MunSoft" => non trouvé(e).
"C:\Users\USER\Downloads\EasyWordRecovery-2.0-Setup.exe" => non trouvé(e).
C:\Users\USER\.cache => déplacé(es) avec succès
C:\Users\USER\AppData\Roaming\FR1ED-C3RKF-TXAFG-TATAT-RRAHT-HFOYY.html => déplacé(es) avec succès
C:\Users\USER\AppData\Roaming\3030777910 => déplacé(es) avec succès
C:\ProgramData\Wondershare => déplacé(es) avec succès
C:\Users\USER\AppData\Local\Wondershare => déplacé(es) avec succès
C:\Users\USER\Documents\Wondershare Filmora => déplacé(es) avec succès
C:\Users\Public\Documents\Wondershare => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.
========= RemoveProxy: =========
HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-115921100-3011297091-523634707-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-115921100-3011297091-523634707-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
========= Fin de RemoveProxy: =========
=========== EmptyTemp: ==========
BITS transfer queue => 859088 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 155774386 B
Java, Flash, Steam htmlcache => 554 B
Windows/system/drivers => 41291042 B
Edge => 23504 B
Chrome => 409985051 B
Firefox => 0 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 128 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 498236 B
defaultuser0 => 7296 B
USER => 65982559 B
RecycleBin => 7235448 B
EmptyTemp: => 650.1 MB données temporaires supprimées.
================================
Le système a dû redémarrer.
Fin de Fixlog 12:59:15
isso80
Messages postés
11
Date d'inscription
samedi 18 mars 2017
Statut
Membre
Dernière intervention
18 mars 2017
18 mars 2017 à 14:09
18 mars 2017 à 14:09
Il faut dire que la page intempestive de Spora a disparu au redémarrage. Après vérification les documents sont toujours cryptés mais si j'arrive à me débarrasser de cette horreur c'est déjà une excellente news.
Merci encore Malekal, héro de la toile, c'est rassurant de savoir que s'il y a des salauds pour nous rançonner il y a aussi des héros de l'ombre pour nous venir en aide.
Toute ma reconnaissance.
Merci encore Malekal, héro de la toile, c'est rassurant de savoir que s'il y a des salauds pour nous rançonner il y a aussi des héros de l'ombre pour nous venir en aide.
Toute ma reconnaissance.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 629
18 mars 2017 à 14:09
18 mars 2017 à 14:09
ok trojan bitcoin :
Win64/CoinMiner.B
Win32:BitCoinMiner-CB [Trj]
Pour le supprimer :
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Win64/CoinMiner.B
Win32:BitCoinMiner-CB [Trj]
Pour le supprimer :
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
CloseProcesses:
R2 SearchIndexer; C:\Windows\system32\SearchIndexer.dll [307712 2016-07-16] (Microsoft Corporation) [Fichier non signé]
NETSVC: SearchIndexer -> C:\Windows\system32\SearchIndexer.dll (Microsoft Corporation)
NETSVC: SearchIndexer -> C:\Windows\system32\SearchIndexer.dll (Microsoft Corporation)
NETSVC: SearchIndexer -> C:\Windows\system32\SearchIndexer.dll (Microsoft Corporation)
NETSVC: SearchIndexer -> C:\Windows\system32\SearchIndexer.dll (Microsoft Corporation)
NETSVC: SearchIndexer -> C:\Windows\system32\SearchIndexer.dll (Microsoft Corporation)
NETSVC: SearchIndexer -> C:\Windows\system32\SearchIndexer.dll (Microsoft Corporation)
C:\Windows\system32\SearchIndexer.dll
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
isso80
Messages postés
11
Date d'inscription
samedi 18 mars 2017
Statut
Membre
Dernière intervention
18 mars 2017
18 mars 2017 à 14:34
18 mars 2017 à 14:34
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 15-03-2017
Exécuté par USER (18-03-2017 13:16:36) Run:2
Exécuté depuis C:\Users\USER\Desktop
Profils chargés: USER (Profils disponibles: defaultuser0 & USER)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
R2 SearchIndexer; C:\Windows\system32\SearchIndexer.dll [307712 2016-07-16] (Microsoft Corporation) [Fichier non signé]
NETSVC: SearchIndexer -> C:\Windows\system32\SearchIndexer.dll (Microsoft Corporation)
NETSVC: SearchIndexer -> C:\Windows\system32\SearchIndexer.dll (Microsoft Corporation)
NETSVC: SearchIndexer -> C:\Windows\system32\SearchIndexer.dll (Microsoft Corporation)
NETSVC: SearchIndexer -> C:\Windows\system32\SearchIndexer.dll (Microsoft Corporation)
NETSVC: SearchIndexer -> C:\Windows\system32\SearchIndexer.dll (Microsoft Corporation)
NETSVC: SearchIndexer -> C:\Windows\system32\SearchIndexer.dll (Microsoft Corporation)
C:\Windows\system32\SearchIndexer.dll
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
SearchIndexer => Impossible d'arrêter le service.
HKLM\System\CurrentControlSet\Services\SearchIndexer => clé supprimé(es) avec succès
SearchIndexer => service supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\\netsvcs SearchIndexer impossible à supprimer.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\\netsvcs SearchIndexer impossible à supprimer.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\\netsvcs SearchIndexer => supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\\netsvcs SearchIndexer => non trouvé(e).
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\\netsvcs SearchIndexer => non trouvé(e).
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\\netsvcs SearchIndexer => non trouvé(e).
C:\Windows\system32\SearchIndexer.dll => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.
========= RemoveProxy: =========
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-115921100-3011297091-523634707-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-115921100-3011297091-523634707-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
========= Fin de RemoveProxy: =========
=========== EmptyTemp: ==========
BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 11989211 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 3014096 B
Edge => 0 B
Chrome => 17878535 B
Firefox => 0 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 2782 B
defaultuser0 => 0 B
USER => 372065 B
RecycleBin => 0 B
EmptyTemp: => 31.7 MB données temporaires supprimées.
================================
Le système a dû redémarrer.
Exécuté par USER (18-03-2017 13:16:36) Run:2
Exécuté depuis C:\Users\USER\Desktop
Profils chargés: USER (Profils disponibles: defaultuser0 & USER)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
R2 SearchIndexer; C:\Windows\system32\SearchIndexer.dll [307712 2016-07-16] (Microsoft Corporation) [Fichier non signé]
NETSVC: SearchIndexer -> C:\Windows\system32\SearchIndexer.dll (Microsoft Corporation)
NETSVC: SearchIndexer -> C:\Windows\system32\SearchIndexer.dll (Microsoft Corporation)
NETSVC: SearchIndexer -> C:\Windows\system32\SearchIndexer.dll (Microsoft Corporation)
NETSVC: SearchIndexer -> C:\Windows\system32\SearchIndexer.dll (Microsoft Corporation)
NETSVC: SearchIndexer -> C:\Windows\system32\SearchIndexer.dll (Microsoft Corporation)
NETSVC: SearchIndexer -> C:\Windows\system32\SearchIndexer.dll (Microsoft Corporation)
C:\Windows\system32\SearchIndexer.dll
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
SearchIndexer => Impossible d'arrêter le service.
HKLM\System\CurrentControlSet\Services\SearchIndexer => clé supprimé(es) avec succès
SearchIndexer => service supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\\netsvcs SearchIndexer impossible à supprimer.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\\netsvcs SearchIndexer impossible à supprimer.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\\netsvcs SearchIndexer => supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\\netsvcs SearchIndexer => non trouvé(e).
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\\netsvcs SearchIndexer => non trouvé(e).
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\\netsvcs SearchIndexer => non trouvé(e).
C:\Windows\system32\SearchIndexer.dll => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.
========= RemoveProxy: =========
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-115921100-3011297091-523634707-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-115921100-3011297091-523634707-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
========= Fin de RemoveProxy: =========
=========== EmptyTemp: ==========
BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 11989211 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 3014096 B
Edge => 0 B
Chrome => 17878535 B
Firefox => 0 B
Opera => 0 B
Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 2782 B
defaultuser0 => 0 B
USER => 372065 B
RecycleBin => 0 B
EmptyTemp: => 31.7 MB données temporaires supprimées.
================================
Le système a dû redémarrer.
Fin de Fixlog 13:17:57
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 629
>
isso80
Messages postés
11
Date d'inscription
samedi 18 mars 2017
Statut
Membre
Dernière intervention
18 mars 2017
18 mars 2017 à 18:15
18 mars 2017 à 18:15
Termine par un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite
isso80
Messages postés
11
Date d'inscription
samedi 18 mars 2017
Statut
Membre
Dernière intervention
18 mars 2017
18 mars 2017 à 19:17
18 mars 2017 à 19:17
ok, je le fais de suite.
Je ne dirai jamais suffisamment Merci Malekal.
Je ne dirai jamais suffisamment Merci Malekal.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 629
>
isso80
Messages postés
11
Date d'inscription
samedi 18 mars 2017
Statut
Membre
Dernière intervention
18 mars 2017
18 mars 2017 à 19:53
18 mars 2017 à 19:53
de rien et bon courage =)
BadiiiX
Messages postés
36
Date d'inscription
vendredi 17 mars 2017
Statut
Membre
Dernière intervention
26 mai 2017
2
18 mars 2017 à 10:28
18 mars 2017 à 10:28
Je Suis désoler mais Tu peux rien faire je pense
Ou tu paye (très déconseiller)[Car l put prendre tes coordonnée banquaire :(]
Ou tu formate (t'efface tout)
Mais comment ca t'ai arriver
Ou tu paye (très déconseiller)[Car l put prendre tes coordonnée banquaire :(]
Ou tu formate (t'efface tout)
Mais comment ca t'ai arriver
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
isso80
Messages postés
11
Date d'inscription
samedi 18 mars 2017
Statut
Membre
Dernière intervention
18 mars 2017
18 mars 2017 à 10:44
18 mars 2017 à 10:44
Bonjour Badiiix,
Si je n'ai pas le choix, je pourrais envisager le formatage. J'ai lu aussi que je peux conserver mes données cryptées en attendant que les choses évoluent vers une solution efficace.
Je voudrais savoir si je dois utiliser certains outils spécifique pour m'assurer qu'il n y a plus de menaces pour ma machine. Comment se débarrasser de cette M....?
Pour répondre à ta question je suspecte deux choses distinctes: J'ai reçu un CV d'un Iphone d'un ami pour le modifier (P jointe) et au même moment j'ai téléchargé un programme appelé Iskysoft qui permet de télécharger de la vidéo online. Je suspecte Iskysoft car il a été difficile à désinstaller, je retrouvais des dossiers Iskysoft partout même dans des partitions de mon disque où il n'avait pas à être. De plus sur mon historique on peut très clairement relier l'apparition de la page web intempestive de Spora avec le téléchargement de ce logiciel Itube Iskysoft. Mais j'avoue ne pas pouvoir le confirmer, il pourrait s'agir de tout à fait autre chose.
Alors il faut être plus que prudent.
Si je n'ai pas le choix, je pourrais envisager le formatage. J'ai lu aussi que je peux conserver mes données cryptées en attendant que les choses évoluent vers une solution efficace.
Je voudrais savoir si je dois utiliser certains outils spécifique pour m'assurer qu'il n y a plus de menaces pour ma machine. Comment se débarrasser de cette M....?
Pour répondre à ta question je suspecte deux choses distinctes: J'ai reçu un CV d'un Iphone d'un ami pour le modifier (P jointe) et au même moment j'ai téléchargé un programme appelé Iskysoft qui permet de télécharger de la vidéo online. Je suspecte Iskysoft car il a été difficile à désinstaller, je retrouvais des dossiers Iskysoft partout même dans des partitions de mon disque où il n'avait pas à être. De plus sur mon historique on peut très clairement relier l'apparition de la page web intempestive de Spora avec le téléchargement de ce logiciel Itube Iskysoft. Mais j'avoue ne pas pouvoir le confirmer, il pourrait s'agir de tout à fait autre chose.
Alors il faut être plus que prudent.
BadiiiX
Messages postés
36
Date d'inscription
vendredi 17 mars 2017
Statut
Membre
Dernière intervention
26 mai 2017
2
18 mars 2017 à 10:46
18 mars 2017 à 10:46
Je vois ca et je te dis mas c possible
isso80
Messages postés
11
Date d'inscription
samedi 18 mars 2017
Statut
Membre
Dernière intervention
18 mars 2017
18 mars 2017 à 10:50
18 mars 2017 à 10:50
Et toi tu l'as déjà choppé? si oui comment? Peut être que ça pourrait éviter à d'autres de tomber dans le panneau si l'on partage nos expériences. c'est déprimant de savoir que des données personnelles ont été perdues. Pour ma part il s'agit de mes recherches universitaires, de mes cours, de mes notes. Des données irrécupérables...
BadiiiX
Messages postés
36
Date d'inscription
vendredi 17 mars 2017
Statut
Membre
Dernière intervention
26 mai 2017
2
18 mars 2017 à 10:54
18 mars 2017 à 10:54
lis ca
Malekal_morte- 18 mars 2017 à 10:47
Salut,
On peut désinfecter l'ordinateur, si tu ne souhaites pas formater.
Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.
A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Tu peux tout de même tenter les version précédentes avec Shadow Explorer
Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.
1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
FRST.txt
Shortcut.txt
Additionnal.txt
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Et non j ai jamais eu ca
Malekal_morte- 18 mars 2017 à 10:47
Salut,
On peut désinfecter l'ordinateur, si tu ne souhaites pas formater.
Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.
A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Tu peux tout de même tenter les version précédentes avec Shadow Explorer
Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.
1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
FRST.txt
Shortcut.txt
Additionnal.txt
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Et non j ai jamais eu ca
BadiiiX
Messages postés
36
Date d'inscription
vendredi 17 mars 2017
Statut
Membre
Dernière intervention
26 mai 2017
2
18 mars 2017 à 10:48
18 mars 2017 à 10:48
Alors, Il est possible que c'etais un faux Iskysoft Mais j ai aussi vu que cela comporter des fois des Cheval De trois
Mais tu n a pas recu de fichier word ou autre Un fichier qui demander un telechargement avant pour lire le contenu Du ficher (Word ou autre)
Mais tu n a pas recu de fichier word ou autre Un fichier qui demander un telechargement avant pour lire le contenu Du ficher (Word ou autre)
isso80
Messages postés
11
Date d'inscription
samedi 18 mars 2017
Statut
Membre
Dernière intervention
18 mars 2017
18 mars 2017 à 11:21
18 mars 2017 à 11:21
J'ai reçu un doc word mais il s'est ouvert le plus normalement du monde. j'ai même pu le modifier et le renvoyer à l'Iphone qui me l'avait envoyé en premier...
isso80
Messages postés
11
Date d'inscription
samedi 18 mars 2017
Statut
Membre
Dernière intervention
18 mars 2017
18 mars 2017 à 11:19
18 mars 2017 à 11:19
isso80
Messages postés
11
Date d'inscription
samedi 18 mars 2017
Statut
Membre
Dernière intervention
18 mars 2017
18 mars 2017 à 11:20
18 mars 2017 à 11:20
Voici les trois liens Malekal.
Merci pour ton aide...
Merci pour ton aide...
