Your files are locked !! Résolu/Fermé

Question

Bonjour, 
aider moi s'ils vous plait je suis bloquer depuis ce matin je ne peut plus ouvrir mes fichier word exel photo etc 

un fichier text s'affiche sur le bureau avec le titre "Your files are locked !!"

et voila le texte qui contiens 

"Your personal files encryption produced on this computer: photos, videos, documents, etc.Encryption was produced using a unique public key RSA-2048 generated for this computer.To decrypt files you need to obtain the private key.If your time is up, or you or your antivirus deleted CryptoLocker from your computer,and you do not see CryptoLocker window - the latest copy of the key remains our support.To obtain the private key for this computer, you need pay 0.4 Bitcoin (~422 USD)---------------------------------------------------------------------------------------------------Your Bitcoin address:15LvcKeSxpfGFssugexhBhN5LhYkiH65LNYou must send 0.4 Bitcoin to the specified address and report it to e-mail customer support.In the letter title you must specify your Bitcoin address to which the payment was made.Support e-mail: buruk01@india.com buruk02@india.comPlease do not contact customer support with the request to get the key for free.Such messages will be marked as spam and decryption in the future will be impossible.Thank you for understanding.---------------------------------------------------------------------------------------------------The most convenient tool for buying Bitcoins in our opinion is the site:https://localbitcoins.com/There you can buy Bitcoins in your country in any way you like, including electronic payment systems,credit and debit cards, money orders, and others.Instructions for purchasing Bitcoins on account localbitcoins.com read here:https://localbitcoins.com/guides/how-to-buy-bitcoinsVideo tutorial detailing on buying Bitcoins using the site localbitcoins.com here:https://www.youtube.com/watch?v=JA6TXjhqomIPlease check other ways to buy bitcoins:https://www.google.com/search?q=how+to+buy+bitcoinshttps://www.youtube.com/results?search_query=how+to+buy+bitcoinsAlso you can use to buy Bitcoins these sites:https://www.bitstamp.net/ - Big BTC exchangerhttps://www.coinbase.com/ - Other big BTC exchangerhttps://btcdirect.eu/ - Best for Europehttps://coincafe.com/ - Recommended for fast, many payment methodshttps://bittylicious.com/ - Good service for Europe and Worldhttps://www.247exchange.com/ - Other exchanger---------------------------------------------------------------------------------------------------Please do not try to decrypt the files by third-party decryptors, an error that allowedto decrypt files for free, it has been found and corrected as early as one of the earliest versions.Decrypt the files for free at the moment is impossible. Do not waste your time!Attention!After 168 hours, we reserve the right to increase the amount of the payment at its discretion.

qu'es que je peux faire aider moi 

Configuration: Windows / Firefox 52.0

Malekal_morte- · Answer

Salut,

Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Tu peux tout de même tenter les version précédentes avec Shadow Explorer

Il faut d'abord vérifier qu'aucune menace ne soit encore active.
Par précaution, pense aussi à changer tous tes mots de passe.

1°) FRST
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :

 FRST.txt
 Shortcut.txt
 Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

benkhelil45 · Answer

salut

voila les rapport

https://pjjoint.malekal.com/files.php?id=FRST_20170330_x8z9y12z14y11

https://pjjoint.malekal.com/files.php?id=20170330_u14l5w10t14z10


https://pjjoint.malekal.com/files.php?id=20170330_i9n10u75h14

Malekal_morte- · Answer

Ton ordinateur est bourré de trojan. Trojan Kovter Sathurbot.. Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran. Ouvre le bloc-notes : Touche Windows + R, Dans le champs "Exécuter", saisir notepad et OK. Copie/Colle dedans ce qui suit : CreateRestorePoint:CloseProcesses:reg: reg delete "HKCU\software\qxac\uqzxffk"HKU\S-1-5-21-3329684625-3984026737-902014430-1001\Software\Classes\6638b7b5: "C:\Windows\system32\mshta.exe" "javascript:jZhi1GM5h="0tWkQED";qL43=new ActiveXObject("WScript.Shell");d1N1oONF="93B";I0Udk=qL43.RegRead("HKCU\software\qxac\uqzxffk");uXdXDUm46="O5";eval(I0Udk);GX2wum="bzOvin";" <===== ATTENTION HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [Odtsics] => regsvr32.exe C:\Users\TARGET 03\AppData\Local\Odtsics\jzxpotds.dll <===== ATTENTION HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [Amsxworks] => C:\Windows\SysWOW64 egsvr32.exe C:\Users\TARGET 03\AppData\Local\Etttion hxkidwj.dll <===== ATTENTION HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [*cvumh<*>] => C:\Users\TARGET 03\AppData\Local\6bae7f1f\0e83c706.bat <===== ATTENTION (Nom de valeur avec caractères invalides) HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [51475f32] => C:\Users\TARGET 03\AppData\Roaming\Microsoft twsys.exe HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [NetworkLan] => C:\Users\TARGET 03\AppData\Roaming etwork\GoogleUpdate.exe [59161088 2017-03-24] () HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [Network] => C:\Users\TARGET 03\AppData\Roaming etwork\GoogleUpdate.exe [59161088 2017-03-24] () ShellIconOverlayIdentifiers: [0TheftProtectionDll] -> {3B5B973C-92A4-4855-9D3F-0F3D23332208} => C:\ProgramData\Microsoft\Performance\TheftProtection\TheftProtection.dll [2017-03-14] () C:\ProgramData\Microsoft\Performance\TheftProtection2017-03-30 16:07 - 2017-03-30 16:07 - 00001600 _____ C:\EsgInstallerResumeAction_d0f0112f31a82dce19f6f1539add3443 2017-03-30 10:40 - 2017-03-30 10:40 - 00000000 ____D C:\Users\TARGET 03\AppData\Roaming\Enigma Software Group 2017-03-30 10:36 - 2017-03-30 16:11 - 00000000 ____D C:\Program Files\Enigma Software Group 2017-03-28 12:21 - 2017-03-28 12:21 - 00002770 _____ C:\Users\TARGET 03\Desktop\Your files are locked !.txt 2017-03-28 12:21 - 2017-03-28 12:21 - 00002770 _____ C:\Users\TARGET 03\Desktop\Your files are locked !!.txt 2017-03-28 12:21 - 2017-03-28 12:21 - 00002770 _____ C:\Users\TARGET 03\Desktop\Your files are locked !!!.txt 2017-03-28 12:21 - 2017-03-28 12:21 - 00002770 _____ C:\Users\TARGET 03\Desktop\Your files are locked !!!!.txt 2017-03-28 12:21 - 2017-03-28 12:21 - 00002770 _____ C:\Users\TARGET 03\Desktop\Your files are locked !!!!!.txt 2017-03-28 12:21 - 2017-03-28 12:21 - 00001011 _____ C:\Users\TARGET 03\Desktop\CryptoLocker.lnk 2017-03-28 12:20 - 2017-03-28 12:20 - 06349831 _____ C:\Users\TARGET 03\cl_data_15LvcKeSxpfGFssugexhBhN5LhYkiH65LN.bak 2017-03-28 10:55 - 2017-03-30 16:39 - 00000904 ____H C:\ProgramData\@system.temp 2017-03-28 10:55 - 2017-03-30 16:18 - 00004184 _____ C:\Windows\System32\Tasks\User_Feed_Synchronization-{795FF7F7-10A6-4335-8902-DC9642DCADAF} 2017-03-28 10:55 - 2017-03-28 10:55 - 00000008 ____H C:\ProgramData\@000001.dat 2017-03-24 17:03 - 2017-03-30 16:39 - 00000640 ____H C:\ProgramData\int.bin 2017-03-24 17:03 - 2017-03-30 16:38 - 00000000 ____D C:\Users\TARGET 03\AppData\Roaming etwork 2017-03-14 10:17 - 2017-03-14 10:17 - 00000000 ____D C:\Users\TARGET 03\AppData\Local\6bae7f1f 2017-03-28 12:21 - 2017-03-28 12:21 - 4320054 _____ () C:\Users\TARGET 03\AppData\Roaming\Microsoft\wp.jpg 2017-03-14 10:04 - 2017-03-30 11:18 - 00000000 ____D C:\Users\TARGET 03\AppData\Local\Odtsics 2017-03-14 10:00 - 2017-03-16 10:36 - 00000000 ____D C:\Users\TARGET 03\AppData\Local\Etttion 2017-03-14 10:00 - 2017-03-14 10:13 - 00000000 ___HD C:\Users\TARGET 03\AppData\Local\SysHashTable Hosts:EmptyTemp:RemoveProxy:Reboot: Une fois, le texte collé dans le Bloc-notes, Menu "Fichier" puis "Enregistrer sous", A gauche, place toi sur le Bureau, Dans le champs en bas, nom du fichier mets : fixlist.txt Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau. Relance FRST et clique sur le bouton "Corriger / Fix" Un redémarrage sera peut-être nécessaire ( pas obligatoire ) Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message. Redémarre l'ordinateur. 2°) Réinitialise/Répare les navigateurs WEB concernés par les problèmes : Réparer Mozilla Firefox (premier paragraphe) Réparer Google Chrome (seulement le premier paragraphe). Réinitialiser et réparer Internet Explorer 3°) Fais un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite 4°) Refais un scan FRST et donne les nouveaux rapports via pjjoint

benkhelil45 · Answer

bonjour voila le texte apparu Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 15-03-2017 Exécuté par TARGET 03 (31-03-2017 11:57:27) Run:4 Exécuté depuis C:\Users\TARGET 03\Desktop Profils chargés: TARGET 03 (Profils disponibles: defaultuser0 & TARGET 03) Mode d'amorçage: Normal ============================================== fixlist contenu: CreateRestorePoint: CloseProcesses: reg: reg delete "HKCU\software\qxac\uqzxffk" HKU\S-1-5-21-3329684625-3984026737-902014430-1001\Software\Classes\6638b7b5: "C:\Windows\system32\mshta.exe" "javascript:jZhi1GM5h="0tWkQED";qL43=new ActiveXObject("WScript.Shell");d1N1oONF="93B";I0Udk=qL43.RegRead("HKCU\software\qxac\uqzxffk");uXdXDUm46="O5";eval(I0Udk);GX2wum="bzOvin";" <===== ATTENTION HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [Odtsics] => regsvr32.exe C:\Users\TARGET 03\AppData\Local\Odtsics\jzxpotds.dll <===== ATTENTION HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [Amsxworks] => C:\Windows\SysWOW64 egsvr32.exe C:\Users\TARGET 03\AppData\Local\Etttion hxkidwj.dll <===== ATTENTION HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [*cvumh<*>] => C:\Users\TARGET 03\AppData\Local\6bae7f1f\0e83c706.bat <===== ATTENTION (Nom de valeur avec caractères invalides) HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [51475f32] => C:\Users\TARGET 03\AppData\Roaming\Microsoft twsys.exe HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [NetworkLan] => C:\Users\TARGET 03\AppData\Roaming etwork\GoogleUpdate.exe [59161088 2017-03-24] () HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [Network] => C:\Users\TARGET 03\AppData\Roaming etwork\GoogleUpdate.exe [59161088 2017-03-24] () ShellIconOverlayIdentifiers: [0TheftProtectionDll] -> {3B5B973C-92A4-4855-9D3F-0F3D23332208} => C:\ProgramData\Microsoft\Performance\TheftProtection\TheftProtection.dll [2017-03-14] () C:\ProgramData\Microsoft\Performance\TheftProtection 2017-03-30 16:07 - 2017-03-30 16:07 - 00001600 _____ C:\EsgInstallerResumeAction_d0f0112f31a82dce19f6f1539add3443 2017-03-30 10:40 - 2017-03-30 10:40 - 00000000 ____D C:\Users\TARGET 03\AppData\Roaming\Enigma Software Group 2017-03-30 10:36 - 2017-03-30 16:11 - 00000000 ____D C:\Program Files\Enigma Software Group 2017-03-28 12:21 - 2017-03-28 12:21 - 00002770 _____ C:\Users\TARGET 03\Desktop\Your files are locked !.txt 2017-03-28 12:21 - 2017-03-28 12:21 - 00002770 _____ C:\Users\TARGET 03\Desktop\Your files are locked !!.txt 2017-03-28 12:21 - 2017-03-28 12:21 - 00002770 _____ C:\Users\TARGET 03\Desktop\Your files are locked !!!.txt 2017-03-28 12:21 - 2017-03-28 12:21 - 00002770 _____ C:\Users\TARGET 03\Desktop\Your files are locked !!!!.txt 2017-03-28 12:21 - 2017-03-28 12:21 - 00002770 _____ C:\Users\TARGET 03\Desktop\Your files are locked !!!!!.txt 2017-03-28 12:21 - 2017-03-28 12:21 - 00001011 _____ C:\Users\TARGET 03\Desktop\CryptoLocker.lnk 2017-03-28 12:20 - 2017-03-28 12:20 - 06349831 _____ C:\Users\TARGET 03\cl_data_15LvcKeSxpfGFssugexhBhN5LhYkiH65LN.bak 2017-03-28 10:55 - 2017-03-30 16:39 - 00000904 ____H C:\ProgramData\@system.temp 2017-03-28 10:55 - 2017-03-30 16:18 - 00004184 _____ C:\Windows\System32\Tasks\User_Feed_Synchronization-{795FF7F7-10A6-4335-8902-DC9642DCADAF} 2017-03-28 10:55 - 2017-03-28 10:55 - 00000008 ____H C:\ProgramData\@000001.dat 2017-03-24 17:03 - 2017-03-30 16:39 - 00000640 ____H C:\ProgramData\int.bin 2017-03-24 17:03 - 2017-03-30 16:38 - 00000000 ____D C:\Users\TARGET 03\AppData\Roaming etwork 2017-03-14 10:17 - 2017-03-14 10:17 - 00000000 ____D C:\Users\TARGET 03\AppData\Local\6bae7f1f 2017-03-28 12:21 - 2017-03-28 12:21 - 4320054 _____ () C:\Users\TARGET 03\AppData\Roaming\Microsoft\wp.jpg 2017-03-14 10:04 - 2017-03-30 11:18 - 00000000 ____D C:\Users\TARGET 03\AppData\Local\Odtsics 2017-03-14 10:00 - 2017-03-16 10:36 - 00000000 ____D C:\Users\TARGET 03\AppData\Local\Etttion 2017-03-14 10:00 - 2017-03-14 10:13 - 00000000 ___HD C:\Users\TARGET 03\AppData\Local\SysHashTable Hosts: EmptyTemp: RemoveProxy: Reboot: Le Point de restauration a été créé avec succès. Processus fermé avec succès. ========= reg delete "HKCU\software\qxac\uqzxffk" ========= merci pour votre aide

benkhelil45 · Answer

Bonjour
pour Malwarebytes voila le log de rpport 

https://pjjoint.malekal.com/files.php?id=20170331_k8j8d8y12z11

j'ai nettoyer la liste afficher dans la quarantaine 

voila les pj  de FRST64

https://pjjoint.malekal.com/files.php?id=20170331_r15t12p9p10u6

 https://pjjoint.malekal.com/files.php?id=FRST_20170331_s13t6n15m13k10

https://pjjoint.malekal.com/files.php?id=20170331_t14z7g13z14z10

MERCI

Malekal_morte- · Answer

L'ordinateur est toujours infecté.
Il est sur un réseau d'entreprise ?

Le rapport Malwarebytes n'est pas bon.
Tu as bien fait une analyse et tout mis en quarantaine ?

Tu peux envoyer C:\Users\TARGET 03\AppData\Roaming
etwork\GoogleUpdate.exe  sur http://upload.malekal.com pour voir.

benkhelil45 · Answer

Re

non je suis pas sur un réseau d'entreprise au vrais sens du mot c' un réseau wifi pour le partage de connexion 

pour l'analyse avec Malwarebytes j'ai mis tous menaces identifier a peut prés 26 menace 
j'ai relancer encore l'analyse une deuxième fois j'ai trouvé un autre menace 
voila le rapport 
alwarebytes
www.malwarebytes.com

-Détails du journal-
Date de l'analyse: 31/03/2017
Heure de l'analyse: 20:47
Fichier journal: t.txt
Administrateur: Oui

-Informations du logiciel-
Version: 3.0.6.1469
Version de composants: 1.0.96
Version de pack de mise à jour: 1.0.1639
Licence: Essai

-Informations système-
Système d'exploitation: Windows 10
Processeur: x64
Système de fichiers: NTFS
Utilisateur: DESKTOP-TGANTFP\TARGET 03

-Résumé de l'analyse-
Type d'analyse: Analyse des menaces
Résultat: Terminé
Objets analysés: 505038
Temps écoulé: 14 min, 57 s

-Options d'analyse-
Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Désactivé
Heuristique: Activé
PUP: Activé
PUM: Activé

-Détails de l'analyse-
Processus: 0
(Aucun élément malveillant détecté)

Module: 0
(Aucun élément malveillant détecté)

Clé du registre: 0
(Aucun élément malveillant détecté)

Valeur du registre: 0
(Aucun élément malveillant détecté)

Données du registre: 0
(Aucun élément malveillant détecté)

Flux de données: 0
(Aucun élément malveillant détecté)

Dossier: 0
(Aucun élément malveillant détecté)

Fichier: 1
Trojan.Fileless.MTGen, C:\USERS\TARGET 03\APPDATA\LOCAL\6BAE7F1F\0E83C706.BAT, En quarantaine, [452], [339956],1.0.1639

Secteur physique: 0
(Aucun élément malveillant détecté)


(end)

pour le fichier que vous demander de l'envoyer sur le lien http://upload.malekal.com/ , je ne peux pas puisque la taille max et 8M
et le fichier demander 54M
qu'est-ce que je peux faire maintenant ?? 

merci encore

benkhelil45 · Answer

salut 

même après que je zipper le fichier je ne peux pas l'envoyer sur le site 

19 mega

une autre solution

Malekal_morte- · Answer

ok, tant pis,


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R, 
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 

CreateRestorePoint:CloseProcesses:HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [51475f32] => C:\Users\TARGET 03\AppData\Roaming\Microsoft
twsys.exeC:\Users\TARGET 03\AppData\Roaming\MicrosoftHKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [NetworkLan] => C:\Users\TARGET 03\AppData\Roaming
etwork\GoogleUpdate.exe [59161088 2017-03-24] ()HKU\S-1-5-21-3329684625-3984026737-902014430-1001\...\Run: [Network] => C:\Users\TARGET 03\AppData\Roaming
etwork\GoogleUpdate.exe [59161088 2017-03-24] ()C:\Users\TARGET 03\AppData\Roaming
etwork2017-03-28 10:55 - 2017-03-31 12:24 - 00000904 ____H C:\ProgramData\@system.temp2017-03-28 10:55 - 2017-03-28 10:55 - 00000008 ____H C:\ProgramData\@000001.dat2017-03-24 17:03 - 2017-03-31 12:25 - 00000640 ____H C:\ProgramData\int.bin2017-03-24 17:03 - 2017-03-31 12:24 - 00000000 ____D C:\Users\TARGET 03\AppData\Roaming
etworkEmptyTemp:RemoveProxy:Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.



Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur http://pjjoint.malekal.com/ et donne le lien ici.

benkhelil45 · Answer

Salut 

voila le lien demander après le scan on ligne de nod32

https://pjjoint.malekal.com/files.php?id=20170404_m15c8x6r15v10


merci

Malekal_morte- · Answer

ok : C:\FRST\Quarantine\C\Users\TARGET 03\AppData\Roaming
etwork\GoogleUpdate.exe	a variant of Win64/Fleercivet.AE trojan	 

Refais un scan FRST pour voir s'il reste des éléments malicieux.
Redonne les rapports via pjjoint.

benkhelil45 · Answer

RE

https://pjjoint.malekal.com/files.php?id=FRST_20170404_b13x10m7j5j13

https://pjjoint.malekal.com/files.php?id=20170404_k9p6n139d12

 https://pjjoint.malekal.com/files.php?id=20170404_d8p15x5v9k5

CORDIALEMENT

Malekal_morte- · Answer

Ca semble mieux.
Change tous tes mots de passe.

Refais des scans Malwarebytes et NOD32, ces prochains jours en les mettant à jour.

Pour tes documents chiffrés, voir: https://forum.malekal.com/viewtopic.php?t=57145
Tente les outils Trend-Micro ou Kaspersky.
 
Veuillez appuyer sur une touche pour continuer la désinfection...

benkhelil45 · Answer

MERCI infiniment je suis reconnaissance

Your files are locked !!

14 réponses

Discussions similaires