Your files are locked !!
Résolu
benkhelil45
Messages postés
11
Date d'inscription
Statut
Membre
Dernière intervention
-
benkhelil45 Messages postés 11 Date d'inscription Statut Membre Dernière intervention -
benkhelil45 Messages postés 11 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
aider moi s'ils vous plait je suis bloquer depuis ce matin je ne peut plus ouvrir mes fichier word exel photo etc
un fichier text s'affiche sur le bureau avec le titre "Your files are locked !!"
et voila le texte qui contiens
qu'es que je peux faire aider moi
aider moi s'ils vous plait je suis bloquer depuis ce matin je ne peut plus ouvrir mes fichier word exel photo etc
un fichier text s'affiche sur le bureau avec le titre "Your files are locked !!"
et voila le texte qui contiens
"Your personal files encryption produced on this computer: photos, videos, documents, etc.
Encryption was produced using a unique public key RSA-2048 generated for this computer.
To decrypt files you need to obtain the private key.
If your time is up, or you or your antivirus deleted CryptoLocker from your computer,
and you do not see CryptoLocker window - the latest copy of the key remains our support.
To obtain the private key for this computer, you need pay 0.4 Bitcoin (~422 USD)
---------------------------------------------------------------------------------------------------
Your Bitcoin address:
15LvcKeSxpfGFssugexhBhN5LhYkiH65LN
You must send 0.4 Bitcoin to the specified address and report it to e-mail customer support.
In the letter title you must specify your Bitcoin address to which the payment was made.
Support e-mail: buruk01@india.com buruk02@india.com
Please do not contact customer support with the request to get the key for free.
Such messages will be marked as spam and decryption in the future will be impossible.
Thank you for understanding.
---------------------------------------------------------------------------------------------------
The most convenient tool for buying Bitcoins in our opinion is the site:
https://localbitcoins.com/
There you can buy Bitcoins in your country in any way you like, including electronic payment systems,
credit and debit cards, money orders, and others.
Instructions for purchasing Bitcoins on account localbitcoins.com read here:
https://localbitcoins.com/guides/how-to-buy-bitcoins
Video tutorial detailing on buying Bitcoins using the site localbitcoins.com here:
https://www.youtube.com/watch?v=JA6TXjhqomI
Please check other ways to buy bitcoins:
https://www.google.com/search?q=how+to+buy+bitcoins
https://www.youtube.com/results?search_query=how+to+buy+bitcoins
Also you can use to buy Bitcoins these sites:
https://www.bitstamp.net/ - Big BTC exchanger
https://www.coinbase.com/ - Other big BTC exchanger
https://btcdirect.eu/ - Best for Europe
https://coincafe.com/ - Recommended for fast, many payment methods
https://bittylicious.com/ - Good service for Europe and World
https://www.247exchange.com/ - Other exchanger
---------------------------------------------------------------------------------------------------
Please do not try to decrypt the files by third-party decryptors, an error that allowed
to decrypt files for free, it has been found and corrected as early as one of the earliest versions.
Decrypt the files for free at the moment is impossible. Do not waste your time!
Attention!
After 168 hours, we reserve the right to increase the amount of the payment at its discretion.
qu'es que je peux faire aider moi
A voir également:
- Your files are locked !!
- Your device ran into a problem and needs to restart - Forum Windows 10
- The requested url was rejected. please consult with your administrator. ✓ - Forum Réseaux sociaux
- Bin files - Guide
- Osd locked - Forum Ecran
- Recover my files - Télécharger - Récupération de données
14 réponses
Salut,
Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.
A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Tu peux tout de même tenter les version précédentes avec Shadow Explorer
Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.
1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.
A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Tu peux tout de même tenter les version précédentes avec Shadow Explorer
Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.
1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Ton ordinateur est bourré de trojan.
Trojan Kovter
Sathurbot..
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
2°)
Réinitialise/Répare les navigateurs WEB concernés par les problèmes :
3°)
Fais un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite
4°)
Refais un scan FRST et donne les nouveaux rapports via pjjoint
Trojan Kovter
Sathurbot..
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
CloseProcesses:
reg: reg delete "HKCU\software\qxac\uqzxffk"
HKU\S-1-5-21-3329684625-3984026737-902014430-1001\Software\Classes\6638b7b5: "C:\Windows\system32\mshta.exe" "javascript:jZhi1GM5h="0tWkQED";qL43=new ActiveXObject("WScript.Shell");d1N1oONF="93B";I0Udk=qL43.RegRead("HKCU\\software\\qxac\\uqzxffk");uXdXDUm46="O5";eval(I0Udk);GX2wum="bzOvin";" <===== ATTENTION
HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [Odtsics] => regsvr32.exe C:\Users\TARGET 03\AppData\Local\Odtsics\jzxpotds.dll <===== ATTENTION
HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [Amsxworks] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\TARGET 03\AppData\Local\Etttion\rhxkidwj.dll <===== ATTENTION
HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [*cvumh<*>] => C:\Users\TARGET 03\AppData\Local\6bae7f1f\0e83c706.bat <===== ATTENTION (Nom de valeur avec caractères invalides)
HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [51475f32] => C:\Users\TARGET 03\AppData\Roaming\Microsoft\ntwsys.exe
HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [NetworkLan] => C:\Users\TARGET 03\AppData\Roaming\network\GoogleUpdate.exe [59161088 2017-03-24] ()
HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [Network] => C:\Users\TARGET 03\AppData\Roaming\network\GoogleUpdate.exe [59161088 2017-03-24] ()
ShellIconOverlayIdentifiers: [0TheftProtectionDll] -> {3B5B973C-92A4-4855-9D3F-0F3D23332208} => C:\ProgramData\Microsoft\Performance\TheftProtection\TheftProtection.dll [2017-03-14] ()
C:\ProgramData\Microsoft\Performance\TheftProtection
2017-03-30 16:07 - 2017-03-30 16:07 - 00001600 _____ C:\EsgInstallerResumeAction_d0f0112f31a82dce19f6f1539add3443
2017-03-30 10:40 - 2017-03-30 10:40 - 00000000 ____D C:\Users\TARGET 03\AppData\Roaming\Enigma Software Group
2017-03-30 10:36 - 2017-03-30 16:11 - 00000000 ____D C:\Program Files\Enigma Software Group
2017-03-28 12:21 - 2017-03-28 12:21 - 00002770 _____ C:\Users\TARGET 03\Desktop\Your files are locked !.txt
2017-03-28 12:21 - 2017-03-28 12:21 - 00002770 _____ C:\Users\TARGET 03\Desktop\Your files are locked !!.txt
2017-03-28 12:21 - 2017-03-28 12:21 - 00002770 _____ C:\Users\TARGET 03\Desktop\Your files are locked !!!.txt
2017-03-28 12:21 - 2017-03-28 12:21 - 00002770 _____ C:\Users\TARGET 03\Desktop\Your files are locked !!!!.txt
2017-03-28 12:21 - 2017-03-28 12:21 - 00002770 _____ C:\Users\TARGET 03\Desktop\Your files are locked !!!!!.txt
2017-03-28 12:21 - 2017-03-28 12:21 - 00001011 _____ C:\Users\TARGET 03\Desktop\CryptoLocker.lnk
2017-03-28 12:20 - 2017-03-28 12:20 - 06349831 _____ C:\Users\TARGET 03\cl_data_15LvcKeSxpfGFssugexhBhN5LhYkiH65LN.bak
2017-03-28 10:55 - 2017-03-30 16:39 - 00000904 ____H C:\ProgramData\@system.temp
2017-03-28 10:55 - 2017-03-30 16:18 - 00004184 _____ C:\Windows\System32\Tasks\User_Feed_Synchronization-{795FF7F7-10A6-4335-8902-DC9642DCADAF}
2017-03-28 10:55 - 2017-03-28 10:55 - 00000008 ____H C:\ProgramData\@000001.dat
2017-03-24 17:03 - 2017-03-30 16:39 - 00000640 ____H C:\ProgramData\int.bin
2017-03-24 17:03 - 2017-03-30 16:38 - 00000000 ____D C:\Users\TARGET 03\AppData\Roaming\network
2017-03-14 10:17 - 2017-03-14 10:17 - 00000000 ____D C:\Users\TARGET 03\AppData\Local\6bae7f1f
2017-03-28 12:21 - 2017-03-28 12:21 - 4320054 _____ () C:\Users\TARGET 03\AppData\Roaming\Microsoft\wp.jpg
2017-03-14 10:04 - 2017-03-30 11:18 - 00000000 ____D C:\Users\TARGET 03\AppData\Local\Odtsics
2017-03-14 10:00 - 2017-03-16 10:36 - 00000000 ____D C:\Users\TARGET 03\AppData\Local\Etttion
2017-03-14 10:00 - 2017-03-14 10:13 - 00000000 ___HD C:\Users\TARGET 03\AppData\Local\SysHashTable
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
2°)
Réinitialise/Répare les navigateurs WEB concernés par les problèmes :
- Réparer Mozilla Firefox (premier paragraphe)
- Réparer Google Chrome (seulement le premier paragraphe).
- Réinitialiser et réparer Internet Explorer
3°)
Fais un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite
4°)
Refais un scan FRST et donne les nouveaux rapports via pjjoint
bonjour
voila le texte apparu
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 15-03-2017
Exécuté par TARGET 03 (31-03-2017 11:57:27) Run:4
Exécuté depuis C:\Users\TARGET 03\Desktop
Profils chargés: TARGET 03 (Profils disponibles: defaultuser0 & TARGET 03)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
reg: reg delete "HKCU\software\qxac\uqzxffk"
HKU\S-1-5-21-3329684625-3984026737-902014430-1001\Software\Classes\6638b7b5: "C:\Windows\system32\mshta.exe" "javascript:jZhi1GM5h="0tWkQED";qL43=new ActiveXObject("WScript.Shell");d1N1oONF="93B";I0Udk=qL43.RegRead("HKCU\\software\\qxac\\uqzxffk");uXdXDUm46="O5";eval(I0Udk);GX2wum="bzOvin";" <===== ATTENTION
HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [Odtsics] => regsvr32.exe C:\Users\TARGET 03\AppData\Local\Odtsics\jzxpotds.dll <===== ATTENTION
HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [Amsxworks] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\TARGET 03\AppData\Local\Etttion\rhxkidwj.dll <===== ATTENTION
HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [*cvumh<*>] => C:\Users\TARGET 03\AppData\Local\6bae7f1f\0e83c706.bat <===== ATTENTION (Nom de valeur avec caractères invalides)
HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [51475f32] => C:\Users\TARGET 03\AppData\Roaming\Microsoft\ntwsys.exe
HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [NetworkLan] => C:\Users\TARGET 03\AppData\Roaming\network\GoogleUpdate.exe [59161088 2017-03-24] ()
HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [Network] => C:\Users\TARGET 03\AppData\Roaming\network\GoogleUpdate.exe [59161088 2017-03-24] ()
ShellIconOverlayIdentifiers: [0TheftProtectionDll] -> {3B5B973C-92A4-4855-9D3F-0F3D23332208} => C:\ProgramData\Microsoft\Performance\TheftProtection\TheftProtection.dll [2017-03-14] ()
C:\ProgramData\Microsoft\Performance\TheftProtection
2017-03-30 16:07 - 2017-03-30 16:07 - 00001600 _____ C:\EsgInstallerResumeAction_d0f0112f31a82dce19f6f1539add3443
2017-03-30 10:40 - 2017-03-30 10:40 - 00000000 ____D C:\Users\TARGET 03\AppData\Roaming\Enigma Software Group
2017-03-30 10:36 - 2017-03-30 16:11 - 00000000 ____D C:\Program Files\Enigma Software Group
2017-03-28 12:21 - 2017-03-28 12:21 - 00002770 _____ C:\Users\TARGET 03\Desktop\Your files are locked !.txt
2017-03-28 12:21 - 2017-03-28 12:21 - 00002770 _____ C:\Users\TARGET 03\Desktop\Your files are locked !!.txt
2017-03-28 12:21 - 2017-03-28 12:21 - 00002770 _____ C:\Users\TARGET 03\Desktop\Your files are locked !!!.txt
2017-03-28 12:21 - 2017-03-28 12:21 - 00002770 _____ C:\Users\TARGET 03\Desktop\Your files are locked !!!!.txt
2017-03-28 12:21 - 2017-03-28 12:21 - 00002770 _____ C:\Users\TARGET 03\Desktop\Your files are locked !!!!!.txt
2017-03-28 12:21 - 2017-03-28 12:21 - 00001011 _____ C:\Users\TARGET 03\Desktop\CryptoLocker.lnk
2017-03-28 12:20 - 2017-03-28 12:20 - 06349831 _____ C:\Users\TARGET 03\cl_data_15LvcKeSxpfGFssugexhBhN5LhYkiH65LN.bak
2017-03-28 10:55 - 2017-03-30 16:39 - 00000904 ____H C:\ProgramData\@system.temp
2017-03-28 10:55 - 2017-03-30 16:18 - 00004184 _____ C:\Windows\System32\Tasks\User_Feed_Synchronization-{795FF7F7-10A6-4335-8902-DC9642DCADAF}
2017-03-28 10:55 - 2017-03-28 10:55 - 00000008 ____H C:\ProgramData\@000001.dat
2017-03-24 17:03 - 2017-03-30 16:39 - 00000640 ____H C:\ProgramData\int.bin
2017-03-24 17:03 - 2017-03-30 16:38 - 00000000 ____D C:\Users\TARGET 03\AppData\Roaming\network
2017-03-14 10:17 - 2017-03-14 10:17 - 00000000 ____D C:\Users\TARGET 03\AppData\Local\6bae7f1f
2017-03-28 12:21 - 2017-03-28 12:21 - 4320054 _____ () C:\Users\TARGET 03\AppData\Roaming\Microsoft\wp.jpg
2017-03-14 10:04 - 2017-03-30 11:18 - 00000000 ____D C:\Users\TARGET 03\AppData\Local\Odtsics
2017-03-14 10:00 - 2017-03-16 10:36 - 00000000 ____D C:\Users\TARGET 03\AppData\Local\Etttion
2017-03-14 10:00 - 2017-03-14 10:13 - 00000000 ___HD C:\Users\TARGET 03\AppData\Local\SysHashTable
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
========= reg delete "HKCU\software\qxac\uqzxffk" =========
merci pour votre aide
voila le texte apparu
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 15-03-2017
Exécuté par TARGET 03 (31-03-2017 11:57:27) Run:4
Exécuté depuis C:\Users\TARGET 03\Desktop
Profils chargés: TARGET 03 (Profils disponibles: defaultuser0 & TARGET 03)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
reg: reg delete "HKCU\software\qxac\uqzxffk"
HKU\S-1-5-21-3329684625-3984026737-902014430-1001\Software\Classes\6638b7b5: "C:\Windows\system32\mshta.exe" "javascript:jZhi1GM5h="0tWkQED";qL43=new ActiveXObject("WScript.Shell");d1N1oONF="93B";I0Udk=qL43.RegRead("HKCU\\software\\qxac\\uqzxffk");uXdXDUm46="O5";eval(I0Udk);GX2wum="bzOvin";" <===== ATTENTION
HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [Odtsics] => regsvr32.exe C:\Users\TARGET 03\AppData\Local\Odtsics\jzxpotds.dll <===== ATTENTION
HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [Amsxworks] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\TARGET 03\AppData\Local\Etttion\rhxkidwj.dll <===== ATTENTION
HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [*cvumh<*>] => C:\Users\TARGET 03\AppData\Local\6bae7f1f\0e83c706.bat <===== ATTENTION (Nom de valeur avec caractères invalides)
HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [51475f32] => C:\Users\TARGET 03\AppData\Roaming\Microsoft\ntwsys.exe
HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [NetworkLan] => C:\Users\TARGET 03\AppData\Roaming\network\GoogleUpdate.exe [59161088 2017-03-24] ()
HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [Network] => C:\Users\TARGET 03\AppData\Roaming\network\GoogleUpdate.exe [59161088 2017-03-24] ()
ShellIconOverlayIdentifiers: [0TheftProtectionDll] -> {3B5B973C-92A4-4855-9D3F-0F3D23332208} => C:\ProgramData\Microsoft\Performance\TheftProtection\TheftProtection.dll [2017-03-14] ()
C:\ProgramData\Microsoft\Performance\TheftProtection
2017-03-30 16:07 - 2017-03-30 16:07 - 00001600 _____ C:\EsgInstallerResumeAction_d0f0112f31a82dce19f6f1539add3443
2017-03-30 10:40 - 2017-03-30 10:40 - 00000000 ____D C:\Users\TARGET 03\AppData\Roaming\Enigma Software Group
2017-03-30 10:36 - 2017-03-30 16:11 - 00000000 ____D C:\Program Files\Enigma Software Group
2017-03-28 12:21 - 2017-03-28 12:21 - 00002770 _____ C:\Users\TARGET 03\Desktop\Your files are locked !.txt
2017-03-28 12:21 - 2017-03-28 12:21 - 00002770 _____ C:\Users\TARGET 03\Desktop\Your files are locked !!.txt
2017-03-28 12:21 - 2017-03-28 12:21 - 00002770 _____ C:\Users\TARGET 03\Desktop\Your files are locked !!!.txt
2017-03-28 12:21 - 2017-03-28 12:21 - 00002770 _____ C:\Users\TARGET 03\Desktop\Your files are locked !!!!.txt
2017-03-28 12:21 - 2017-03-28 12:21 - 00002770 _____ C:\Users\TARGET 03\Desktop\Your files are locked !!!!!.txt
2017-03-28 12:21 - 2017-03-28 12:21 - 00001011 _____ C:\Users\TARGET 03\Desktop\CryptoLocker.lnk
2017-03-28 12:20 - 2017-03-28 12:20 - 06349831 _____ C:\Users\TARGET 03\cl_data_15LvcKeSxpfGFssugexhBhN5LhYkiH65LN.bak
2017-03-28 10:55 - 2017-03-30 16:39 - 00000904 ____H C:\ProgramData\@system.temp
2017-03-28 10:55 - 2017-03-30 16:18 - 00004184 _____ C:\Windows\System32\Tasks\User_Feed_Synchronization-{795FF7F7-10A6-4335-8902-DC9642DCADAF}
2017-03-28 10:55 - 2017-03-28 10:55 - 00000008 ____H C:\ProgramData\@000001.dat
2017-03-24 17:03 - 2017-03-30 16:39 - 00000640 ____H C:\ProgramData\int.bin
2017-03-24 17:03 - 2017-03-30 16:38 - 00000000 ____D C:\Users\TARGET 03\AppData\Roaming\network
2017-03-14 10:17 - 2017-03-14 10:17 - 00000000 ____D C:\Users\TARGET 03\AppData\Local\6bae7f1f
2017-03-28 12:21 - 2017-03-28 12:21 - 4320054 _____ () C:\Users\TARGET 03\AppData\Roaming\Microsoft\wp.jpg
2017-03-14 10:04 - 2017-03-30 11:18 - 00000000 ____D C:\Users\TARGET 03\AppData\Local\Odtsics
2017-03-14 10:00 - 2017-03-16 10:36 - 00000000 ____D C:\Users\TARGET 03\AppData\Local\Etttion
2017-03-14 10:00 - 2017-03-14 10:13 - 00000000 ___HD C:\Users\TARGET 03\AppData\Local\SysHashTable
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
========= reg delete "HKCU\software\qxac\uqzxffk" =========
merci pour votre aide
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour
pour Malwarebytes voila le log de rpport
https://pjjoint.malekal.com/files.php?id=20170331_k8j8d8y12z11
j'ai nettoyer la liste afficher dans la quarantaine
voila les pj de FRST64
https://pjjoint.malekal.com/files.php?id=20170331_r15t12p9p10u6
https://pjjoint.malekal.com/files.php?id=FRST_20170331_s13t6n15m13k10
https://pjjoint.malekal.com/files.php?id=20170331_t14z7g13z14z10
MERCI
pour Malwarebytes voila le log de rpport
https://pjjoint.malekal.com/files.php?id=20170331_k8j8d8y12z11
j'ai nettoyer la liste afficher dans la quarantaine
voila les pj de FRST64
https://pjjoint.malekal.com/files.php?id=20170331_r15t12p9p10u6
https://pjjoint.malekal.com/files.php?id=FRST_20170331_s13t6n15m13k10
https://pjjoint.malekal.com/files.php?id=20170331_t14z7g13z14z10
MERCI
L'ordinateur est toujours infecté.
Il est sur un réseau d'entreprise ?
Le rapport Malwarebytes n'est pas bon.
Tu as bien fait une analyse et tout mis en quarantaine ?
Tu peux envoyer C:\Users\TARGET 03\AppData\Roaming\network\GoogleUpdate.exe sur http://upload.malekal.com pour voir.
Il est sur un réseau d'entreprise ?
Le rapport Malwarebytes n'est pas bon.
Tu as bien fait une analyse et tout mis en quarantaine ?
Tu peux envoyer C:\Users\TARGET 03\AppData\Roaming\network\GoogleUpdate.exe sur http://upload.malekal.com pour voir.
Re
non je suis pas sur un réseau d'entreprise au vrais sens du mot c' un réseau wifi pour le partage de connexion
pour l'analyse avec Malwarebytes j'ai mis tous menaces identifier a peut prés 26 menace
j'ai relancer encore l'analyse une deuxième fois j'ai trouvé un autre menace
voila le rapport
alwarebytes
www.malwarebytes.com
-Détails du journal-
Date de l'analyse: 31/03/2017
Heure de l'analyse: 20:47
Fichier journal: t.txt
Administrateur: Oui
-Informations du logiciel-
Version: 3.0.6.1469
Version de composants: 1.0.96
Version de pack de mise à jour: 1.0.1639
Licence: Essai
-Informations système-
Système d'exploitation: Windows 10
Processeur: x64
Système de fichiers: NTFS
Utilisateur: DESKTOP-TGANTFP\TARGET 03
-Résumé de l'analyse-
Type d'analyse: Analyse des menaces
Résultat: Terminé
Objets analysés: 505038
Temps écoulé: 14 min, 57 s
-Options d'analyse-
Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Désactivé
Heuristique: Activé
PUP: Activé
PUM: Activé
-Détails de l'analyse-
Processus: 0
(Aucun élément malveillant détecté)
Module: 0
(Aucun élément malveillant détecté)
Clé du registre: 0
(Aucun élément malveillant détecté)
Valeur du registre: 0
(Aucun élément malveillant détecté)
Données du registre: 0
(Aucun élément malveillant détecté)
Flux de données: 0
(Aucun élément malveillant détecté)
Dossier: 0
(Aucun élément malveillant détecté)
Fichier: 1
Trojan.Fileless.MTGen, C:\USERS\TARGET 03\APPDATA\LOCAL\6BAE7F1F\0E83C706.BAT, En quarantaine, [452], [339956],1.0.1639
Secteur physique: 0
(Aucun élément malveillant détecté)
(end)
pour le fichier que vous demander de l'envoyer sur le lien http://upload.malekal.com/ , je ne peux pas puisque la taille max et 8M
et le fichier demander 54M
qu'est-ce que je peux faire maintenant ??
merci encore
non je suis pas sur un réseau d'entreprise au vrais sens du mot c' un réseau wifi pour le partage de connexion
pour l'analyse avec Malwarebytes j'ai mis tous menaces identifier a peut prés 26 menace
j'ai relancer encore l'analyse une deuxième fois j'ai trouvé un autre menace
voila le rapport
alwarebytes
www.malwarebytes.com
-Détails du journal-
Date de l'analyse: 31/03/2017
Heure de l'analyse: 20:47
Fichier journal: t.txt
Administrateur: Oui
-Informations du logiciel-
Version: 3.0.6.1469
Version de composants: 1.0.96
Version de pack de mise à jour: 1.0.1639
Licence: Essai
-Informations système-
Système d'exploitation: Windows 10
Processeur: x64
Système de fichiers: NTFS
Utilisateur: DESKTOP-TGANTFP\TARGET 03
-Résumé de l'analyse-
Type d'analyse: Analyse des menaces
Résultat: Terminé
Objets analysés: 505038
Temps écoulé: 14 min, 57 s
-Options d'analyse-
Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Désactivé
Heuristique: Activé
PUP: Activé
PUM: Activé
-Détails de l'analyse-
Processus: 0
(Aucun élément malveillant détecté)
Module: 0
(Aucun élément malveillant détecté)
Clé du registre: 0
(Aucun élément malveillant détecté)
Valeur du registre: 0
(Aucun élément malveillant détecté)
Données du registre: 0
(Aucun élément malveillant détecté)
Flux de données: 0
(Aucun élément malveillant détecté)
Dossier: 0
(Aucun élément malveillant détecté)
Fichier: 1
Trojan.Fileless.MTGen, C:\USERS\TARGET 03\APPDATA\LOCAL\6BAE7F1F\0E83C706.BAT, En quarantaine, [452], [339956],1.0.1639
Secteur physique: 0
(Aucun élément malveillant détecté)
(end)
pour le fichier que vous demander de l'envoyer sur le lien http://upload.malekal.com/ , je ne peux pas puisque la taille max et 8M
et le fichier demander 54M
qu'est-ce que je peux faire maintenant ??
merci encore
salut
même après que je zipper le fichier je ne peux pas l'envoyer sur le site
19 mega
une autre solution
même après que je zipper le fichier je ne peux pas l'envoyer sur le site
19 mega
une autre solution
ok, tant pis,
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur http://pjjoint.malekal.com/ et donne le lien ici.
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [51475f32] => C:\Users\TARGET 03\AppData\Roaming\Microsoft\ntwsys.exe
C:\Users\TARGET 03\AppData\Roaming\Microsoft
HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [NetworkLan] => C:\Users\TARGET 03\AppData\Roaming\network\GoogleUpdate.exe [59161088 2017-03-24] ()
HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [Network] => C:\Users\TARGET 03\AppData\Roaming\network\GoogleUpdate.exe [59161088 2017-03-24] ()
C:\Users\TARGET 03\AppData\Roaming\network
2017-03-28 10:55 - 2017-03-31 12:24 - 00000904 ____H C:\ProgramData\@system.temp
2017-03-28 10:55 - 2017-03-28 10:55 - 00000008 ____H C:\ProgramData\@000001.dat
2017-03-24 17:03 - 2017-03-31 12:25 - 00000640 ____H C:\ProgramData\int.bin
2017-03-24 17:03 - 2017-03-31 12:24 - 00000000 ____D C:\Users\TARGET 03\AppData\Roaming\network
EmptyTemp:
RemoveProxy:
Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur http://pjjoint.malekal.com/ et donne le lien ici.
Salut
voila le lien demander après le scan on ligne de nod32
https://pjjoint.malekal.com/files.php?id=20170404_m15c8x6r15v10
merci
voila le lien demander après le scan on ligne de nod32
https://pjjoint.malekal.com/files.php?id=20170404_m15c8x6r15v10
merci
ok : C:\FRST\Quarantine\C\Users\TARGET 03\AppData\Roaming\network\GoogleUpdate.exe a variant of Win64/Fleercivet.AE trojan
Refais un scan FRST pour voir s'il reste des éléments malicieux.
Redonne les rapports via pjjoint.
Refais un scan FRST pour voir s'il reste des éléments malicieux.
Redonne les rapports via pjjoint.
Ca semble mieux.
Change tous tes mots de passe.
Refais des scans Malwarebytes et NOD32, ces prochains jours en les mettant à jour.
Pour tes documents chiffrés, voir: https://forum.malekal.com/viewtopic.php?t=57145
Tente les outils Trend-Micro ou Kaspersky.
Veuillez appuyer sur une touche pour continuer la désinfection...
Change tous tes mots de passe.
Refais des scans Malwarebytes et NOD32, ces prochains jours en les mettant à jour.
Pour tes documents chiffrés, voir: https://forum.malekal.com/viewtopic.php?t=57145
Tente les outils Trend-Micro ou Kaspersky.
Veuillez appuyer sur une touche pour continuer la désinfection...
voila les rapport
https://pjjoint.malekal.com/files.php?id=FRST_20170330_x8z9y12z14y11
https://pjjoint.malekal.com/files.php?id=20170330_u14l5w10t14z10
https://pjjoint.malekal.com/files.php?id=20170330_i9n10u75h14
merci