Cheval de troie et fichiers endommagés [Résolu]

Signaler
-
Messages postés
29199
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 novembre 2020
-
Bonjour,

ce matin, j'ai reçu un avertissement concernant un cheval de troie et ensuite, aucun fichier ne peut s'ouvrir (indiqué endommagé ou non disponible).

Pouvez vous m'aider s'il vous plaît ?

merci d'avance,

lisa



Configuration: Windows / Edge 86.0.622.68

8 réponses

Messages postés
78
Date d'inscription
samedi 14 mars 2020
Statut
Membre
Dernière intervention
21 novembre 2020
16
Peut tu faire ne restauration?
C'est ce que j'essaie de faire mais je dois créer une clé de restauration et pour l'instant je n'ai pas accès à un autre pc
Messages postés
29199
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 novembre 2020
11 261 > Lisa88
Fait ce qui est indiqué ci-dessous.
Messages postés
29199
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 novembre 2020
11 261
Bonjour,
ce matin, j'ai reçu un avertissement concernant un cheval de troie

Soit plus précis quand tu poses une question, tu as eu un avertissement de qui ? Donne le message que tu as eu dans son intégralité.

Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis ouvre-le tu auras ceci:

Clique sur Analyser à la fin de l'analyse tu auras trois fichiers texte sur le bureau FRST, Addition et Shortcut , attention de bien attendre que les messages disant que l'analyse est terminée s'affichent, ensuite envoie ces rapports sur https://pjjoint.malekal.com/ voir ce tutoriel paragraphe Envoyer les rapports d’analyse sur pjjoint puis donne les deux liens générés par Pjoint dans ton prochain message.
bonjour bazfile,

merci pour ta réponse. J'ai fais un scan UnHackMe et il a détecté plusieurs chevaux de troie.

Depuis, si j'essaie d'ouvrir un fichier (pack office et pdf), j'ai un message d'erreur disant qu'il est introuvable ou endommagé.

voici les liens (le troisième est pour les shortcuts) :
https://pjjoint.malekal.com/files.php?id=FRST_20201114_n12x9k14y8i14
https://pjjoint.malekal.com/files.php?id=20201114_w9w9g14z10s7
https://pjjoint.malekal.com/files.php?id=20201114_g8n15g11v15d7

merci pour ton aide,

lisa
Messages postés
29199
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 novembre 2020
11 261
Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Google: Restriction
HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe [2137744 2016-10-08] (Wondershare software CO., LIMITED -> Wondershare)
HKLM-x32\...\Run: [haleng] => C:\Users\lisa_\AppData\Local\Temp\haleng.e
HKLM-x32\...\Run: [haleng] => C:\Users\lisa_\AppData\Local\Temp\haleng.exe
HKU\S-1-5-21-427369519-1269181548-251348850-1001\...\Run: [aqttsrit] => "C:\Users\lisa_\bwasitvt.exe"
HKU\S-1-5-21-427369519-1269181548-251348850-1001\...\Run: [DreamTrip] => C:\Program Files (x86)\Sream\DreamTrip.exe
HKU\S-1-5-21-427369519-1269181548-251348850-1001\...\Policies\system: [DisableTaskmgr] 1
Task: {00E0F2AE-810E-4E36-8C9C-4AAA63A0D92A} - \Microsoft\Windows\UNP\RunCampaignManager -> Pas de fichier
U3 aspnet_state; pas de ImagePath
C:\Users\lisa_\bwasitvt.exe
C:\Users\lisa_\bwasitvt.exe.vvoa
C:\Program Files (x86)\Sream
Hosts:
RemoveProxy:
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger.

Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau envoie le via https://pjjoint.malekal.com/ puis met le lien généré par Pjoint dans ton prochain message.
5- Réinitialise tes navigateurs internet https://www.commentcamarche.net/faq/26679-reinitialiser-son-navigateur

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT

.
Messages postés
29199
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 novembre 2020
11 261 > lisa88
Le fixlog est OK, pour ton pc c'est mieux ?
Le problème est toujours présent
Messages postés
29199
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 novembre 2020
11 261 > lisa88
Quel problème est présent ?
>
Messages postés
29199
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 novembre 2020

les fichiers sont toujours endommagés
Messages postés
29199
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 novembre 2020
11 261 > lisa88
Fait une nouvelle analyse FRST et donne les rapports.
Messages postés
29199
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 novembre 2020
11 261
Le pc n'est plus infecté, Il y avait entre-autre un trojan downloader.

Pour tes fichiers introuvables, je pense que cela n'a rien à voir avec l'infection, tu devrais poser ta question concernant tes fichiers introuvables dans le forum Windows.

Tu peux éventuellement récupérer tes anciennes version de tes fichiers avec Shadow Explorer.

Pour information:
Ta version de Windows 10 n'est pas à jour vérifie-le en allant sur cette page et en cliquant sur mettre à jour maintenant.
Messages postés
2
Date d'inscription
samedi 14 novembre 2020
Statut
Membre
Dernière intervention
15 novembre 2020

ok merci. en fait mes fichiers ne sont pas introuvables mais il semble que le trojan a modifié les extensions (si c'est possible). Quand j'essaie d'ouvrir un fichier j'ai ce message (voir photo1) et

En plus, quelque soit l'extension, tous les fichiers pack office et PDF sont noté "fichier VVOA" (voir photo 2)
Messages postés
29199
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 novembre 2020
11 261
Je pense que ce sont plutôt les associations de fichiers qui sont changées essaie de les remettre en état avec RSTassociation ou clique droit sur le fichier concerné et clique sur ouvrir avec.... puis tu cliques sur Choisir une autre application choisi l'application qui ouvre ces fichiers habituellement coche la case Toujours utiliser cette application pour ouvrir les fichiers......


bazfile
Modérateur/Contributeur sécurité.
un bonjour, une réponse, un merci font toujours plaisir.
Messages postés
2
Date d'inscription
samedi 14 novembre 2020
Statut
Membre
Dernière intervention
15 novembre 2020

J'ai essayé les deux solutions mais ça ne fonctionne pas. J'ai était infectée par le ransomware VVOA assez récent apparemment... et tous mes fichiers sont encryptés. Pour le moment il n'existe pas d'outil permettant de décrypter les fichiers (sauf si encryptage offline, ce qui n'est pas le cas pour moi). Du coup, je n'ai pas le choix, je vais attendre et voir si un outil de décryptage sort prochainement...

En tout cas merci pour ton aide :! c'est la première fois que je fait appel à quelqu'un sur comment ça marche et c'est vraiment top ce site!
Messages postés
29199
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 novembre 2020
11 261 >
Messages postés
2
Date d'inscription
samedi 14 novembre 2020
Statut
Membre
Dernière intervention
15 novembre 2020

Le crypto-ransomware n'est plus sur ton pc par contre tu avais d'autres infections, soit plus prudente sur le net notamment lorsque tu télécharges.

Pour ton crypto-ransomware actuellement il est impossible de décrypter tes fichiers mais on peut éventuellement récupérer une ancienne version de ces fichiers avec ShadowExplorer, si la récupération ne fonctionne pas met tes fichiers de côté en attendant une "éventuelle solution".

Pour ton ransomware on en parle sur cette page il est apparu il y a quelques jours.
Nouvelle variante du ransomware STOP

Michael Gillespie a trouvé une nouvelle variante du ransomware STOP qui ajoute l'extension .vvoa aux fichiers cryptés.

Quelques liens utiles:

L'outil de décryptage d'Emisoft et son mode d'emploi

L'Outil de decryptage de Bitdefender

https://www.bleepingcomputer.com/forums/t/712909/stop-djvu-alka-ransomware/?p=4945134

https://id-ransomware.malwarehunterteam.com/

https://www.nomoreransom.org/fr/decryption-tools.html

https://forum.malekal.com/viewtopic.php?f=98&t=57145

https://www.malekal.com/ransomware-solutions-recuperer-fichiers/
.
J'ai tenté avec shadow Explorer mais pas de résultat... Il y a une solution "manuelle" à tenter pour mes fichiers les plus importants ?

Oui je vais faire plus attention... Merci
Messages postés
29199
Date d'inscription
samedi 29 décembre 2012
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 novembre 2020
11 261
Non ce crypto-ransomware est trop récent aucune solution pour l'instant, et je ne suis pas certain qu'il y en aura une un jour vu que beaucoup de Crypto-ransomwares sont online, voir les différents liens que je t'ai donné dans mon précédent message.