cheval de troie et fichiers endommagésRésolu/Fermé

Question

Bonjour, 

ce matin, j'ai reçu un avertissement concernant un cheval de troie et ensuite, aucun fichier ne peut s'ouvrir (indiqué endommagé ou non disponible). 

Pouvez vous m'aider s'il vous plaît ?

merci d'avance,

lisa



Configuration: Windows / Edge 86.0.622.68

Ray-78 · Answer

Peut tu faire ne restauration?

bazfile · Answer

Bonjour,
ce matin, j'ai reçu un avertissement concernant un cheval de troie 
Soit plus précis quand tu poses une question, tu as eu un avertissement de qui ?  Donne le message que tu as eu dans son intégralité.

Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis ouvre-le tu auras ceci:

Clique sur Analyser à la fin de l'analyse tu auras trois fichiers texte sur le bureau FRST, Addition et Shortcut , attention de bien attendre que les messages disant que l'analyse est terminée s'affichent, ensuite envoie ces rapports sur https://pjjoint.malekal.com/ voir ce tutoriel paragraphe Envoyer les rapports d’analyse sur pjjoint puis donne les deux liens générés par Pjoint dans ton prochain message.

lisa88 · Answer

bonjour bazfile, 

merci pour ta réponse. J'ai fais un scan UnHackMe et il a détecté plusieurs chevaux de troie. 

Depuis, si j'essaie d'ouvrir un fichier (pack office et pdf), j'ai un message d'erreur disant qu'il est introuvable ou endommagé. 

voici les liens (le troisième est pour les shortcuts) : 
https://pjjoint.malekal.com/files.php?id=FRST_20201114_n12x9k14y8i14
https://pjjoint.malekal.com/files.php?id=20201114_w9w9g14z10s7
https://pjjoint.malekal.com/files.php?id=20201114_g8n15g11v15d7

merci pour ton aide,

lisa

bazfile · Answer

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST 
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::CreateRestorePoint:CloseProcesses:HKLM\SOFTWARE\Policies\Google: RestrictionHKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe [2137744 2016-10-08] (Wondershare software CO., LIMITED -> Wondershare)HKLM-x32\...\Run: [haleng] => C:\Users\lisa_\AppData\Local\Temp\haleng.eHKLM-x32\...\Run: [haleng] => C:\Users\lisa_\AppData\Local\Temp\haleng.exeHKU\S-1-5-21-427369519-1269181548-251348850-1001\...\Run: [aqttsrit] => "C:\Users\lisa_\bwasitvt.exe"HKU\S-1-5-21-427369519-1269181548-251348850-1001\...\Run: [DreamTrip] => C:\Program Files (x86)\Sream\DreamTrip.exeHKU\S-1-5-21-427369519-1269181548-251348850-1001\...\Policies\system: [DisableTaskmgr] 1Task: {00E0F2AE-810E-4E36-8C9C-4AAA63A0D92A} - \Microsoft\Windows\UNP\RunCampaignManager -> Pas de fichier U3 aspnet_state; pas de ImagePathC:\Users\lisa_\bwasitvt.exeC:\Users\lisa_\bwasitvt.exe.vvoaC:\Program Files (x86)\SreamHosts:RemoveProxy:EmptyTemp:End::
3- Une fois le script copié clique sur Corriger.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.
5- Réinitialise tes navigateurs internet https://forums.commentcamarche.net/forum/affich-37585758-reinitialiser-son-navigateur
5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT
.

lisa88 · Answer

https://pjjoint.malekal.com/files.php?id=FRST_20201114_d14c7z6h9p11
 https://pjjoint.malekal.com/files.php?id=20201114_w12l10t11o12l15

lisa88290 · Answer

ok merci. en fait mes fichiers ne sont pas introuvables mais il semble que le trojan a modifié les extensions (si c'est possible). Quand j'essaie d'ouvrir un fichier j'ai ce message (voir photo1) et 

En plus, quelque soit l'extension, tous les fichiers pack office et PDF sont noté "fichier VVOA" (voir photo 2)

bazfile · Answer

Je pense que ce sont plutôt les associations de fichiers qui sont changées essaie de les remettre en état avec RSTassociation ou clique droit sur le fichier concerné et clique sur ouvrir avec.... puis tu cliques sur Choisir une autre application choisi l'application qui ouvre ces fichiers habituellement coche la case Toujours utiliser cette application pour ouvrir les fichiers......
 
 
bazfile
Modérateur/Contributeur sécurité.
un bonjour, une réponse, un merci font toujours plaisir.

Lisa88 · Answer

J'ai tenté avec shadow Explorer mais pas de résultat... Il y a une solution "manuelle" à tenter pour mes fichiers les plus importants ? 

Oui je vais faire plus attention... Merci

Cheval de troie et fichiers endommagés

8 réponses

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

Pour ton crypto-ransomware actuellement il est impossible de décrypter tes fichiers mais on peut éventuellement récupérer une ancienne version de ces fichiers avec ShadowExplorer, si la récupération ne fonctionne pas met tes fichiers de côté en attendant une "éventuelle solution".

Quelques liens utiles:

Newsletters