Souci de ransomware
Résolu/Fermé
gab1
bazfile
- Messages postés
- 5986
- Date d'inscription
- samedi 2 février 2008
- Statut
- Membre
- Dernière intervention
- 8 juillet 2022
bazfile
- Messages postés
- 42334
- Date d'inscription
- samedi 29 décembre 2012
- Statut
- Modérateur, Contributeur sécurité
- Dernière intervention
- 12 août 2022
A voir également:
- Ransomware forum
- Revil ransomware - Guide
- Ransomware comment se proteger - Guide
- Protection contre les ransomware windows defender avis - Conseils pratiques - Sécurité
- Ufwj ransomware ✓ - Forum - Virus / Sécurité
- Ransomware Virus Gendarmerie : Votre ordinateur est bloqué - Conseils pratiques - Virus
6 réponses
bazfile
9 nov. 2020 à 15:27
- Messages postés
- 42334
- Date d'inscription
- samedi 29 décembre 2012
- Statut
- Modérateur, Contributeur sécurité
- Dernière intervention
- 12 août 2022
9 nov. 2020 à 15:27
Bonjour,
HijackThis est totalement obsolète.
Est-ce un ransomware ou un crypto-ransomware ?
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis ouvre-le tu auras ceci :
Puis coche la case shortcut comme ceci :
Clique sur Analyser à la fin de l'analyse tu auras trois fichiers texte sur le bureau FRST, Addition et Shortcut , attention de bien attendre que les messages disant que l'analyse est terminée s'affichent, ensuite envoie ces rapports sur https://pjjoint.malekal.com/ voir ce tutoriel paragraphe Envoyer les rapports d’analyse sur pjjoint puis donne les trois liens générés par Pjoint dans ton prochain message.
HijackThis est totalement obsolète.
Est-ce un ransomware ou un crypto-ransomware ?
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis ouvre-le tu auras ceci :
Puis coche la case shortcut comme ceci :
Clique sur Analyser à la fin de l'analyse tu auras trois fichiers texte sur le bureau FRST, Addition et Shortcut , attention de bien attendre que les messages disant que l'analyse est terminée s'affichent, ensuite envoie ces rapports sur https://pjjoint.malekal.com/ voir ce tutoriel paragraphe Envoyer les rapports d’analyse sur pjjoint puis donne les trois liens générés par Pjoint dans ton prochain message.
gab1
Modifié le 9 nov. 2020 à 16:11
- Messages postés
- 5986
- Date d'inscription
- samedi 2 février 2008
- Statut
- Membre
- Dernière intervention
- 8 juillet 2022
Modifié le 9 nov. 2020 à 16:11
Sur ce point la on est d'accord nettoyage et décryptage rien a voir
pour le décryptage je verrai ce que je peu faire avec mes connaissance je ne suis pas trop inquiet
Merci pour les liens je vais voir ce que cela donne
pour le décryptage je verrai ce que je peu faire avec mes connaissance je ne suis pas trop inquiet
Merci pour les liens je vais voir ce que cela donne
gab1
9 nov. 2020 à 16:15
- Messages postés
- 5986
- Date d'inscription
- samedi 2 février 2008
- Statut
- Membre
- Dernière intervention
- 8 juillet 2022
9 nov. 2020 à 16:15
bazfile
9 nov. 2020 à 20:25
- Messages postés
- 42334
- Date d'inscription
- samedi 29 décembre 2012
- Statut
- Modérateur, Contributeur sécurité
- Dernière intervention
- 12 août 2022
9 nov. 2020 à 20:25
pas de traces du crypto-ransomware juste quelques tâches planifiées obsolètes comme par exemple celles de F-Secure qui n'est plus installé sur le pc, pour les supprimer fait ce qui suit:
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
3- Une fois le script copié clique sur Corriger.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
Task: {0D8A891D-890C-4808-84D8-2F436AB14653} - \Microsoft\Windows\Application Experience\AitAgent -> Pas de fichier
Task: {1274336E-AB06-46B6-A48C-0671C5557CC6} - \Microsoft\Windows\TaskScheduler\Maintenance Configurator -> Pas de fichier
Task: {1687544D-7247-4F5A-965A-A6E920E55278} - \Microsoft\Windows\TaskScheduler\Manual Maintenance -> Pas de fichier
Task: {6F02587F-8A2B-4552-97F6-DEEF229E335B} - \Microsoft\Windows\TaskScheduler\Idle Maintenance -> Pas de fichier
Task: {B7992938-01F1-4F40-A0EC-0D23D2F0F152} - \Microsoft\Windows\TaskScheduler\Regular Maintenance -> Pas de fichier
Task: {CFD7C21A-808B-487B-A6EC-8A10E44E8360} - \Microsoft\Windows\SettingSync\BackupTask -> Pas de fichier
S2 McAfee SiteAdvisor Service; "c:\PROGRA~2\mcafee\SITEAD~1\mcsacore.exe" [X]
GroupPolicy: Restriction ?
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction
Task: {075E14A6-E214-400C-998B-360728444CC0} - System32\Tasks\F-Secure\Software Updater\F-Secure Software Updater Automatic Installation => C:\Program Files (x86)\F-Secure\PSB\swup\fssua.exe
Task: {FEFF2A25-41F0-45BE-BE8B-C521BE694977} - System32\Tasks\UninstallDDS-C960901F-CE14-4DE1-9729-1305F719A337 => C:\Windows\TEMP\DeleteFolderTask.exe [6656 2015-12-17] () [Fichier non signé]
Task: {1741E9E5-08C3-45D9-822B-9DEFD489CBCD} - System32\Tasks\Scheduled scanning task => C:\Program Files (x86)\F-Secure\PSB\fsscan.exe
Task: C:\Windows\Tasks\Scheduled scanning task.job => C:\Program Files (x86)\F-Secure\PSB\fsscan.exe
EmptyTemp:
End::
3- Une fois le script copié clique sur Corriger.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.
gab1
10 nov. 2020 à 09:19
- Messages postés
- 5986
- Date d'inscription
- samedi 2 février 2008
- Statut
- Membre
- Dernière intervention
- 8 juillet 2022
10 nov. 2020 à 09:19
Merci il a du partir avec un autre logiciel alors.
car les fichiers sont bien crypté en .mars
avec une demande de payer si on veux les fichiers
merci en tout cas je poste cela apres.
car les fichiers sont bien crypté en .mars
avec une demande de payer si on veux les fichiers
merci en tout cas je poste cela apres.
bazfile
Modifié le 10 nov. 2020 à 10:02
- Messages postés
- 42334
- Date d'inscription
- samedi 29 décembre 2012
- Statut
- Modérateur, Contributeur sécurité
- Dernière intervention
- 12 août 2022
Modifié le 10 nov. 2020 à 10:02
Les crypto-ransomwares ne sont en général pas rémanents seuls les fichiers cryptés restent avec leur demande de rançon associée, c'est donc normal qu'il n'y ait plus de processus actif du crypto-ransomware.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
gab1
10 nov. 2020 à 10:53
- Messages postés
- 5986
- Date d'inscription
- samedi 2 février 2008
- Statut
- Membre
- Dernière intervention
- 8 juillet 2022
10 nov. 2020 à 10:53
Voici le lien merci.
https://pjjoint.malekal.com/files.php?id=20201110_f12n7t9e12d6
https://pjjoint.malekal.com/files.php?id=20201110_f12n7t9e12d6
bazfile
10 nov. 2020 à 10:57
- Messages postés
- 42334
- Date d'inscription
- samedi 29 décembre 2012
- Statut
- Modérateur, Contributeur sécurité
- Dernière intervention
- 12 août 2022
10 nov. 2020 à 10:57
Tout est OK il ne te reste plus qu'à essayer de récupérer les fichiers cryptés via ShadowExplorerr ce sera peut-être possible vu qu'il y a 7 points de restauration disponibles sur le pc.
gab1
10 nov. 2020 à 12:07
- Messages postés
- 5986
- Date d'inscription
- samedi 2 février 2008
- Statut
- Membre
- Dernière intervention
- 8 juillet 2022
10 nov. 2020 à 12:07
Je passe le poste en résolu.
merci pour le suivi.
je vais voir ou attendre qu'un soft debloque cela
tres bonne journée.
Gabin
merci pour le suivi.
je vais voir ou attendre qu'un soft debloque cela
tres bonne journée.
Gabin
bazfile
10 nov. 2020 à 12:08
- Messages postés
- 42334
- Date d'inscription
- samedi 29 décembre 2012
- Statut
- Modérateur, Contributeur sécurité
- Dernière intervention
- 12 août 2022
10 nov. 2020 à 12:08
Bonne journée.
- Messages postés
-
5986
- Date d'inscription
- samedi 2 février 2008
- Statut
- Membre
- Dernière intervention
- 8 juillet 2022
6699 nov. 2020 à 15:54
Je ne doute pas que cela soit obsolète vu que ca fait des années que je ne suis plus windows
J'ai passé rogueKiller et adwcleaner ( malwarebyte) aussi obsolete ?
C'est bien un crypto-ransomware c'est MARS ransomware
je vous faite cela.
Encore merci.
- Messages postés
-
42334
- Date d'inscription
- samedi 29 décembre 2012
- Statut
- Modérateur, Contributeur sécurité
- Dernière intervention
- 12 août 2022
16 894 > gab19 nov. 2020 à 15:57
Vu que les fichiers ont été cryptés par un crypto-ransomware, actuellement il est impossible de les décrypter, met-les de côté en attendant une "éventuelle solution".
Tu peux essayer de récupérer une ancienne version de tes fichiers avec ShadowExplorer.
Par prudence fait aussi un scan de ton pc avec NOD 32 ONLINE, voir CETTE PAGE.
On peut désinfecter le pc mais pour ce qui est des fichiers cryptés ils le resteront jusqu'à ce qu'une solution de décryptage soit éventuellement trouvée, il ne faut pas confondre désinfection et décryptage.Quelques liens utiles:
L'outil de décryptage d'Emisoft et son mode d'emploiL'Outil de decryptage de Bitdefender
https://www.bleepingcomputer.com/forums/t/712909/stop-djvu-alka-ransomware/?p=4945134
https://id-ransomware.malwarehunterteam.com/
https://www.nomoreransom.org/fr/decryption-tools.html
https://forum.malekal.com/viewtopic.php?f=98&t=57145
https://www.malekal.com/ransomware-solutions-recuperer-fichiers/.