Ransomware nuke.jse et Win32/Kryptik.FTUQ

Fermé
Mél - Modifié le 3 oct. 2017 à 09:24
 Mél - 3 oct. 2017 à 11:18
Bonjour,

Mon ordinateur avait un virus : Variante de Win32/Kryptik.FTUQ Cheval de Troie. Je crois que j'ai réussi à l'enlever mais tous mes fichiers sont bloqués, je ne peux plus du tout les ouvrir et il est écrit : Fichier de script codé JScript.

Quelqu'un peut m'aider ?

Merci beaucoup

10 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
2 oct. 2017 à 16:03
Salut,

Ce serait bien que tu donnes les fichiers détectés puis :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ afin de les partager.
En retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

0
Voici les liens :

https://pjjoint.malekal.com/files.php?id=20171002_j12j6g10t7y8
https://pjjoint.malekal.com/files.php?id=FRST_20171002_c11k7w14s14i12
https://pjjoint.malekal.com/files.php?id=20171002_l7x11e15q12q10
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
2 oct. 2017 à 17:06
Désinstalle :
Google Toolbar for Internet Explorer
Web Companion


Donne le rapport de scan NOD32.
0
D'accord,

C'est quoi le rapport de scan NOD32 ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > Mél
2 oct. 2017 à 17:08
Le rapport d'analyse qui donne les détections avec tous les détails.
0
D'accord mais comment j'accède au rapport ? Merci
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > Mél
2 oct. 2017 à 17:13
A la fin du scan, tu dois avoir le journal que tu peux enregistrer.
Tu l'envoies sur https://pjjoint.malekal.com
et donne le lien ici
Désinstalle bien les deux programmes mentionnés dans mon précédent message
Web Companion est un programme parasite.
0
D'accord, je refais un scan et je vous l'envoi
0
Bonjour,

Voici le lien :
https://pjjoint.malekal.com/files.php?id=20171003_m12x9e5d11y9

Merci
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié le 3 oct. 2017 à 09:17
Aucune détection :
Nombre de menaces détectées : 0
Heure d'achèvement : 18:45:52 Temps d'analyse total : 5381 sec. (01:29:41)


donc tout va bien :)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Non tout va mal lol

Je ne peux plus du tout ouvrir mes fichiers, ils sont codés : Fichier de script codé JScript
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié le 3 oct. 2017 à 09:27
ha oui autant pour moi, je l'ai loupé sur FRST.

tu as choppé le ransomware Nemucod, surement à la suite de l'ouverture d'un mail piégé.

A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
Tu peux tout de même tenter les version précédentes avec Shadow Explorer
Garde les fichiers quelques mois et surveille cette page pour d'éventuelle solution à l'avenir et un outil qui permet de récupérer les fichiers : Liste des DecryptTools pour les ransomwares


Pour le supprimer :

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\nuke.jse [2017-10-02] ()
RemoveProxy:
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:



Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.


Veuillez appuyer sur une touche pour continuer la désinfection...
0
Si je fais ça, ça supprime quoi exactement ?

Désolée je suis un peu perdue
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié le 3 oct. 2017 à 10:37
Le problème c'est que tu donnes aucune information sur le nom de la menace et surtout l'emplacement (le fichier détecté)
du coup je ne sais pas de quoi tu parles.
En plus sur l'analyse NOD32, il y a 0 détection.

Ca peut-être un trojan, comme ça peut être simplement le fichier d'instruction de paiement du ransomware qui est détecté (inoffensif).

Bref donne toutes les informations sur la détection.
0
Mon ordinateur me dit encore que j'ai des virus
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
3 oct. 2017 à 10:22
Cela va supprimer le ransomware enfin le rendre inactif.
0
Malheureusement c'est que je n'en sais pas plus appart qu'il y avait écrit : Variante de Win32/Kryptik.FTUQ Cheval de Troie
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
3 oct. 2017 à 10:59
0
Un mail avec un PJ à été ouvert, c'était ce mail :

Bonjour,

Vous trouverez ci-joint le fichier PDF contenant la facture de 782.21 EUR TTC de votre contrat 48512667.

Afin de visualiser les fichiers PDF, vous pouvez utiliser l'outil Adobe Reader téléchargeable gratuitement depuis le site Web d'Adobe

Vous avez choisi le paiement par prélèvement automatique.

Nous vous informons que le compte bancaire renseigné sera automatiquement prélevé du montant de cette facture dans les prochains jours.

Remarque :
Si le montant de la facture est négatif, c'est qu'il s'agit d'un avoir qui vous sera remboursé via votre mode de paiement.

Cordialement,

Service Client 1&1 Internet SARL
Sylvain Lebedel
Responsable Relation Client
0
Voici le lien

https://pjjoint.malekal.com/files.php?id=20171003_y8n5g11j915
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
3 oct. 2017 à 11:12
ok bien, il a été supprimé :)
0
ah cool c'est déjà ça :) merci à vous pour votre aide.

Maintenant je ne sais pas comment on va faire pour nos dossiers.... c'est une catastrophe. Nous sommes une association ..
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > Mél
Modifié le 3 oct. 2017 à 11:18
Malheureusement, il n'y a pas de solution.
D'où la nécessité de faire des sauvegardes.
0
:'(
0