Mes fichier ont changer d'extension

amalou36 Messages postés 1 Statut Membre -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
une extension s'est rajouté a tous mes fichiers est transformer en ".xls.covm" ; ".mp3.covm" ; ".pdf.covm" et je n'arrive plus a les ouvrir si quelqu'un peut m'aider et merci d'avance.

J'ai fait un Scan avec FRST et voici les liens des rapports :

- FRS txt : https://pjjoint.malekal.com/files.php?id=FRST_20200522_p5s7r14l7h13
- Shortcut txt : https://pjjoint.malekal.com/files.php?id=20200522_n7c6i1111g7
- Addition txt : https://pjjoint.malekal.com/files.php?id=20200522_x7o14h13e6j8

2 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Tu as voulu cracker Adobe et du coup tu as téléchargé un ransomware.

    Voici la correction FRST à réaliser.
    Tu peux t'aider de cette note explicative avec des captures d'écran.

    1- Ouvre FRST -
    2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
    Start:
    CloseProcesses:
    CreateRestorePoint:
    2020-05-22 16:34 - 2020-05-22 16:34 - 000000049 _____ C:\Users\user\AppData\Local\script.ps1
    2020-05-22 16:34 - 2020-05-22 16:34 - 000000000 ____D C:\ProgramData\L1MJNKRJ0BDQ7LT3DWP0PDZ94
    2020-05-22 16:33 - 2020-05-22 17:37 - 000000000 ____D C:\Users\user\AppData\Local\ed9d68ca-3eb6-4bfb-9eed-2e9f2597cca8
    2020-05-22 16:33 - 2020-05-22 16:33 - 000000559 _____ C:\Users\user\AppData\Local\bowsakkdestx.txt
    2020-05-22 16:33 - 2020-05-22 16:33 - 000000000 ____D C:\SystemID
    2020-05-22 16:32 - 2020-05-22 17:49 - 000000000 ____D C:\Users\user\AppData\Local\f1f8dca9-5821-49b5-9d7f-db3de32a86c0
    2020-05-22 16:31 - 2020-05-22 16:36 - 012116814 _____ C:\Users\user\tkgnedhl.exe.covm
    2020-05-22 16:30 - 2020-05-22 17:49 - 000000000 ____D C:\Users\user\AppData\Roaming\Smart Clock
    2020-05-22 16:30 - 2020-05-22 17:40 - 000000000 ____D C:\ProgramData\RedTools
    2020-05-22 16:30 - 2020-05-22 16:31 - 002694656 _____ C:\Users\user\AppData\Roaming\ndfsr.exe
    2020-05-22 16:30 - 2020-05-22 16:30 - 002694656 _____ C:\Users\user\AppData\Roaming\qwedssd.exe
    2020-05-22 16:30 - 2020-05-22 16:30 - 000000000 ____D C:\ProgramData\Komare
    2020-05-22 16:29 - 2020-05-22 16:32 - 000000000 ____D C:\ProgramData\Fes
    2020-05-22 16:29 - 2020-05-22 16:31 - 000000000 ____D C:\ProgramData\Wds
    2020-05-22 16:29 - 2020-05-22 16:29 - 000000000 ____D C:\ProgramData\Odsa
    2020-05-22 16:29 - 2020-05-22 16:29 - 000000000 ____D C:\ProgramData\Newfasq
    2020-05-22 16:29 - 2020-05-22 16:29 - 000000000 ____D C:\Program Files (x86)\Seed Trade
    2020-05-22 16:28 - 2020-05-22 17:49 - 000000000 ____D C:\Program Files (x86)\RL
    2020-05-22 16:28 - 2020-05-22 16:39 - 005188358 _____ C:\Users\user\Downloads\setup_adobe acrobat 10
    2020-05-16 01:34 - 2020-05-16 01:36 - 000000000 ____D C:\ProgramData\000427188823789fre_817061736.zip.covm
    EmptyTemp:
    RemoveProxy:
    Reboot:
    End::

    3- Une fois le script copié clique sur Corriger.

    Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

    Puis une fois ton ordinateur redémarré :
    4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.
    5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT.

    ~~

    2°) ESET NOD32
    Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur https://pjjoint.malekal.com/ et donne le lien ici.

    ~~

    3°)

    Windows a été infecté par un ransomware / rançongiciel chiffreur de fichiers. Ces rançongiciels s'attrapent essentiellement par l'ouverture d'une pièce jointe malicieuse dans un e-mail ou par la visite d'une page internet piégée par des exploits WEB.

    A l'heure actuelle, il n'y a pas vraiment de méthode pour récupérer les documents chiffrés. Si les données sont très importantes, les stocker temporairement à l'abri car peut-être qu'il y aura dans le futur une solution pour les récupérer.
    Tu peux tout de même tenter les version précédentes avec Shadow Explorer
    Garde les fichiers quelques mois et surveille cette page pour d'éventuelle solution à l'avenir et un outil qui permet de récupérer les fichiers : Liste des DecryptTools pour les ransomwares

    L'attitude à suivre :
    Il faut envoyer un fichier de notice et un fichier chiffré par le ransomware.
    • Par sécurité il faut changer tes mots de passe WEB, ils peuvent avoir été volés.


    Plus d'infos : Ransomware : solution pour récupérer les fichiers

    0
  2. amalou36
     
    Je vous remercie pour votre réponse.

    J'ai suivi toute les étapes et voilà le rapport générer

    https://pjjoint.malekal.com/files.php?id=20200522_m5e14z5t9y5

    Pour le problème il est toujours présent.
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Si tu parles des fichiers, c'est normal.
      Tes fichiers ont été chiffrés (crypter si tu préfères).
      Voir explications en fin de mon message.
      0